Provoz přes VPN na Mikrotik

Provoz přes VPN na Mikrotik
« kdy: 13. 07. 2021, 19:12:23 »
Vážení kolegové,

potřebuji poradit, protože už jsem došel na konec svých znalostí.
Potřebuji propojit dvě sítě, jedna s veřejnou IP (DOMA) a druhá za NAT (CHATA), na obou stranách routery Mikrotik.
V lokaci DOMA již byl funkční L2TP/IPsec server a podařilo se mi navázat spojení z lokjace CHATA, takže tunel mám.
Teď potřebuji zavést do něj provoz:
IP rozsah DOMA je 192.168.1.0-250 GW: 192.168.1.1 (nelze přeadresovat)
IP rozsah CHATA je 192.168.88.0-250 GE: 192.168.88.1 s tím že před NAT je sít 192.168.1.0-250 s GW 192.168.1.1 (nelze přeadresovat)

Cílem je:
z DOMA se dostat na zařízení CHATA
z CHATA se dostat na zařízení DOMA (v nadřazená NAT na CHATA mi stačí přístup na router na 192.168.1.1 jiné služby tam nejsou přístupné)

A ideálně bych rád celý provoz některých zařízení podle IP adresy (static) ze sítě CHATA směroval celý do internetu přes VPN a připojení DOMA

VPN tunel má v lokaci CHATA
Local Address: 192.168.1.244
Remote Address: 192.168.1.254

Jak tam zavés provoz?

Díky za rady nebo odkaz na návod pro nesíťaře.

Díky
Martin


David

  • ***
  • 143
    • Zobrazit profil
Re:Provoz přes VPN na Mikrotik
« Odpověď #1 kdy: 13. 07. 2021, 21:37:13 »
Začal bych preadresovanim (proč to nejde?), protože jinak s tím budou zbytečné problémy - vzdálený router nebude vědět, že má poslat odpověď do VPN, když má na sobě stejný rozsah. Ale třeba někdo vymyslí nějaké řešení.

Re:Provoz přes VPN na Mikrotik
« Odpověď #2 kdy: 13. 07. 2021, 22:30:05 »
Citace
VPN tunel má v lokaci CHATA
Local Address: 192.168.1.244
Remote Address: 192.168.1.254
To je prece nesmysl. Vzhledem k tomu, ze mas pod kontrolou jen jedno zarizeni s verejnou IP, bude DOMA v roli serveru s verejnou IP a CHATA v roli klienta za NAT. To, ze CHATA ma pred sebou jeste 192.168.1.0/24 vubec nevadi, lokalni IP rozsahy jsou na obou stranach ruzne, 192.168.1.0/24 CHATA a 192.168.88.0/24 DOMA.

Priklady konfigurace je v manualu: https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:Provoz přes VPN na Mikrotik
« Odpověď #3 kdy: 13. 07. 2021, 22:39:03 »
Jenže on má chata/wan segment 192.168.1.0/24 a doma/lan má také 192.168.1.0/24. Což na chatě komplikuje routování, zda má jít provoz do VPN nebo do WAN.
Nastavit to na Mikrotiku jde (pomocí VRF), ale pokud nemám pistoli u hlavy, tak bych řešil přeadresování buď doma/lan nebo té chata/wan (to je nějaký LTE router nebo co, snad ani garážoví trotlové už ve svých CGNAT sítích nepoužívájí 192.168...), protože ta konfigurace bude výrazně jendodušší, zvláště pokud nejsem v sítích moc kován....

Re:Provoz přes VPN na Mikrotik
« Odpověď #4 kdy: 13. 07. 2021, 23:10:39 »
Určitě to řešit přes VRF, to by mělo být automaticky první řešení, jakmile se směrují víc jak dva nestejně postavené segmenty. VRF se hodně opomíjí a bastlí se to firewallem.

Nicméně, to už je nastavení, které není triviální popsat ani v docela dlouhém článku, natož jako odpověď v diskusi. Pokud pan kolega sítím tolik nerozumí (což se zdá), tak asi rychlé vykoupení je to přečíslování rozsahů, vyhnout se VRF a nabastlit to firewallem.


Re:Provoz přes VPN na Mikrotik
« Odpověď #5 kdy: 13. 07. 2021, 23:55:07 »
Jenže on má chata/wan segment 192.168.1.0/24 a doma/lan má také 192.168.1.0/24. Což na chatě komplikuje routování, zda má jít provoz do VPN nebo do WAN.
Nastavit to na Mikrotiku jde (pomocí VRF), ale pokud nemám pistoli u hlavy, tak bych řešil přeadresování buď doma/lan nebo té chata/wan (to je nějaký LTE router nebo co, snad ani garážoví trotlové už ve svých CGNAT sítích nepoužívájí 192.168...), protože ta konfigurace bude výrazně jendodušší, zvláště pokud nejsem v sítích moc kován....
Co to placas. Jasne tam ma napsano:
Citace
IP rozsah CHATA je 192.168.88.0-250 GE: 192.168.88.1
To ze ma za natem 192.168.1.0 je uplne jedno..

Re:Provoz přes VPN na Mikrotik
« Odpověď #6 kdy: 13. 07. 2021, 23:57:18 »
Co to placas. Jasne tam ma napsano:
Citace
IP rozsah CHATA je 192.168.88.0-250 GE: 192.168.88.1
To ze ma za natem 192.168.1.0 je uplne jedno..

Není. Po propojení sítí bude mít v routovací tabulce 192.168/24 jak ethernetu, tak v tunelu.
Vzhledem k tomu, že na této síti bude hledat bránu, tak si ji připojením VPN buďto odřízne, nebo se nedostane do sítě přes VPN (podle toho, jak budou nastavené metriky).

Re:Provoz přes VPN na Mikrotik
« Odpověď #7 kdy: 14. 07. 2021, 07:19:10 »
Já teda nechápu, proč jsou 2 IP rozsahy na chatě. Možná nákres by pomohl porozumění.

Re:Provoz přes VPN na Mikrotik
« Odpověď #8 kdy: 14. 07. 2021, 08:32:42 »
Já teda nechápu, proč jsou 2 IP rozsahy na chatě. Možná nákres by pomohl porozumění.

Ten druhý je rozsah směrem k providerovi. Pan kolega ho napsal, aby ukázal, že čísla sítí mezi sebou kolidují.

5nik

  • ***
  • 133
    • Zobrazit profil
    • E-mail
Re:Provoz přes VPN na Mikrotik
« Odpověď #9 kdy: 14. 07. 2021, 08:51:24 »
Asi bych v tomto případě nedělal VPN bridgovanou, ale routovanou - použil pro její adresaci úplně jiný rozsah (např. 192.168.99.0/30). Tím se Vám zjednodušší konfigurace routování na routeru CHATA. Na router CHATA vytvořte novou routovací tabulku (např. VPN), přidejte do této tabulky výchozí bránu směrovanou do VPN a vybraná zařízení na CHATA můžete do internetu směrovat přes DOMA pomocí routing rules.
Stejně tak pomocí routing rules nasměrujete na CHATA routeru provoz pro síť DOMA do VPN.
Řešení kolize IP rozsahů není nikdy úplně jednoduchá.

Re:Provoz přes VPN na Mikrotik
« Odpověď #10 kdy: 14. 07. 2021, 08:57:06 »
Já teda nechápu, proč jsou 2 IP rozsahy na chatě. Možná nákres by pomohl porozumění.

Ten druhý je rozsah směrem k providerovi. Pan kolega ho napsal, aby ukázal, že čísla sítí mezi sebou kolidují.

To jsem si myslel, ale přijde mi divný že by mu ISP dal masku /24 a tento rozsah.

Možná se zkusit domluvit s ISP ať Vám přeadresuje subnet pro WAN.

Re:Provoz přes VPN na Mikrotik
« Odpověď #11 kdy: 14. 07. 2021, 09:00:07 »
Já teda nechápu, proč jsou 2 IP rozsahy na chatě. Možná nákres by pomohl porozumění.

Ten druhý je rozsah směrem k providerovi. Pan kolega ho napsal, aby ukázal, že čísla sítí mezi sebou kolidují.

To jsem si myslel, ale přijde mi divný že by mu ISP dal masku /24 a tento rozsah.

Možná se zkusit domluvit s ISP ať Vám přeadresuje subnet pro WAN.

Tohle se dá řešit poměrně jednoduše dvěma způsoby.
Pokud má znalosti, tak přes VRF. Není to žádná atomová věda, ale už to vyžaduje znát síťování.

Rychlé vykoupení je ale v tom, vrazit před ten router ještě jeden malý, laciný, který do toho vrazí jinak očíslovanou síť. Routery, které potřebuje propojit VPN pak nebudou mít kolize IP adres.

Nedělal bych z toho zase takové drama :).

Re:Provoz přes VPN na Mikrotik
« Odpověď #12 kdy: 14. 07. 2021, 11:16:56 »
Ahoj,

díky všem za rady.
Pokusím se nastavit VRF - podle tutoriálů to vypadá realizovatelně.
O této možnosti jsme nevěděl, takže jste mi moc pomohli.
Pokud se mi to nepovede, tak se toho až tam moc neděje.

Martin