Neprístupný adresár na VPN

[tadelorko]

Čaute vytvoril som na mikrotiku VPN na ktorú sa v pohode pripojím dostanem pridelenú IP a funguje. Na mikrotik je napojený další router TP-link na ktorý pripojený PC na ktorom je zdieľaný adresár. V LAN sieti sa viem na neho dostať bez problémov a po pripojení na VPN z domu mi windows ukáže že je adresár neprístupný.
Prosím o pomoc, ďakujem.

[Reklama]

[_Jenda]

Je potřeba zjistit jestli je stroj dostupný a odpovídá na ping. Dále je potřeba zkusit zda je dostupný samba port (tipuju 139 a 445?), například telnetem. Při uvedeném je vhodné, pokud se zjistí, že ne nefunguje, pustit wireshark nebo tcpdump na obou koncích, případně i po cestě (e.g. "tcpdump -i eth0 icmp" zobrazí jen pingy, takže tam nebude moc bordelu, ve kterém se nedá vyznad). Dále bych doporučil to nejdřív zkusit řádkovým smbclientem (smbclient -L hostname -Uuzivatel -I 192.168.123.123).

[mikesznovu]

Možná by mohl být problém i v WORKGROUP

[altrok]

O jakých operačních systémech mluvíme?
DNS fungují? Zkus do složky přistupovat přes IP adresu místo jmenného názvu.
\\server\slozka
\\192.168.0.xx\slozka

[tadelorko]

WIN10
SKúšal som aj cez IP ale nefunguje.

[Reklama]

[robac]

WIN10
SKúšal som aj cez IP ale nefunguje.

Smarja, opravdu si myslite, ze takhle Vam nekdo pomuze? Neodpovidate na dotazy (rozhodne ne na cele), neobtezujete se ani uvest, o jakou VPN se jedna...

Pokud to chcete opravdu resit, tak napiste:

• typ VPN - IPSec, SSTP, OpenVPN...,
• konfiguraci Mikrotiku, ocistenou o duverne udaje,
• pripadne OVPN konfiguracni soubor,
• kompletni adresaci LAN (ten TP-Link slouzi jakou router nebo jen switch?)

[tadelorko]

Ospravedlňujem sa stále sa učím.
Typ VPN je OpenVPN

Kód: [Vybrat]

client
dev tun
proto tcp-client
remote <verejná IP>
port 1190
nobind
persist-key
persist-tun
tls-client
remote-cert-tls server
ca cert_export_CA.crt
cert cert_export_client.crt
key cert_export_client.key
verb 4
mute 10
cipher AES-256-CBC
auth SHA1
auth-user-pass secret
auth-nocache
redirect-gateway def1

Mikrotik konfigurácia

Kód: [Vybrat]

/interface bridge
add admin-mac=E4:8D:8C:CA:30:04 arp=proxy-arp auto-mac=no fast-forward=no \
    name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether1-gateway
set [ find default-name=ether2 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether2-master-local
set [ find default-name=ether3 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
    ether3-slave-local
set [ find default-name=ether4 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full arp=proxy-arp \
    name=ether4-slave-local
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=2 band=2ghz-b/g/n channel-width=\
    20/40mhz-Ce country=slovakia default-ap-tx-limit=15000000 \
    default-authentication=no distance=indoors frequency=2427 frequency-mode=\
    regulatory-domain mode=ap-bridge ssid="AP " wireless-protocol=802.11 \
    wps-mode=disabled
/interface list
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=12345678
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.88.30-192.168.88.199
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
    bridge-local lease-time=3d10m name=default
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether3-slave-local
add bridge=bridge-local interface=ether4-slave-local
/interface l2tp-server server
set ipsec-secret=tl6271 one-session-per-host=yes use-ipsec=required
/interface list member
add interface=ether2-master-local list=mac-winbox
add interface=ether3-slave-local list=mac-winbox
add interface=ether4-slave-local list=mac-winbox
add interface=wlan1 list=mac-winbox
add interface=bridge-local list=mac-winbox
/interface ovpn-server server
set auth=sha1 certificate=server cipher=aes256 enabled=yes port=1190 \
    require-client-certificate=yes
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=\
    ether2-master-local network=192.168.88.0
add address=10.202.45.229/25 interface=ether1-gateway network=10.202.45.128
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
    ether1-gateway
/ip dhcp-server lease
add address=192.168.88.201 comment="NAS Synology - Lesnak" mac-address=\
    00:11:32:98:99:E5 server=default
add address=192.168.88.200 client-id=1:d8:d:17:d0:29:b9 mac-address=\
    D8:0D:17:D0:29:B9 server=default
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    109.236.119.2,109.236.120.2 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=10.202.254.1,8.8.8.8
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=drop chain=input comment=\
    "20.9.2019 <ISP> - zapnute kvoli DNS utokom z vonku" dst-port=53 \
    in-interface=ether1-gateway protocol=udp
add action=drop chain=input comment=\
    "20.9.2019 <ISP> - zapnute kvoli DNS utokom z vonku" dst-port=53 \
    in-interface=ether1-gateway protocol=tcp
add action=accept chain=input comment="Vzdialena sprava" dst-port=8291 \
    protocol=tcp
add action=accept chain=input comment=OpenVPN dst-port=1190 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway
/ip firewall service-port
set ftp disabled=yes
/ip route
add distance=1 gateway=10.202.45.129
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=ether1-gateway type=external
/ppp secret
add local-address=192.168.88.1 name=tade password=<heslo> remote-address=\
    192.168.88.251 service=ovpn
add local-address=192.168.88.1 name=jan password=<heslo> remote-address=\
    192.168.88.252 service=ovpn
/system clock
set time-zone-name=Europe/Bratislava
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool romon port
add

od ISP ide gpon do Mikrotiku takže IP je NAT 1:1
Mikrotik je v režime CAP
LAN je 192.168.88.0/24
Od Mikrotiku je cez eth4 kábel do switchu a od switchu ďalej na TP-link router v móde router a LAN na ňom je 192.168.0.0/24
PC má IP 192.168.0.180 na ňom je zdieľaný priečinok
Ostatné PC majú cestu na tento priečinok \\DESKTOP-ALJKSH5\AZsoft
V lokálnej LAN sa viem pripojiť ale cez VPN nie.

Ďakujem za pomoc

[_Jenda]

Je potřeba zjistit jestli je stroj dostupný a odpovídá na ping. Dále je potřeba zkusit zda je dostupný samba port (tipuju 139 a 445?), například telnetem. Při uvedeném je vhodné, pokud se zjistí, že ne nefunguje, pustit wireshark nebo tcpdump na obou koncích, případně i po cestě (e.g. "tcpdump -i eth0 icmp" zobrazí jen pingy, takže tam nebude moc bordelu, ve kterém se nedá vyznad). Dále bych doporučil to nejdřív zkusit řádkovým smbclientem (smbclient -L hostname -Uuzivatel -I 192.168.123.123).

[tadelorko]

Nedokážem pingnúť PC kde je zdieľaný adresár. Problém je že neviem pracovať s wireshark neviem čo mám hľadať a ani neviem ako sa pripojiť na sambu.

[_Jenda]

Nedokážem pingnúť PC kde je zdieľaný adresár.

V tom případě problém vůbec nesouvisí se Sambou a jako první musíš rozchodit toto.

Problém je že neviem pracovať s wireshark

Máš poměrně komplikovaný setup se dvěma/třema routerama a někde po cestě (tam i zpět, takže máš efektivně 4-6 hopů co se musí správně nastavit) je blbě nastavená routa a pakety se ztrácí. Obávám se, že tohle nemáš šanci vyřešit, pokud si sítě nenastuduješ.

Pro sledování propingávání používám typicky tcpdump, návod máš výše -- zkus si třeba "tcpdump -ni eth0 icmp" a v druhém okně "ping root.cz" -- uvidíš pingy a odpovědi. Pak udělej totéž s pingnutím na stroj za VPN -- měl bys vidět jenom výzvy a odpovědi ne, když to nefunguje (pokud nevidíš ani výzvy, máš blbě nastavenou routu už u sebe a musíš to opravit -- dočasně pomocí "ip r a 1.2.3.0/24 via server_ve_vpn", trvale pak přidáním "route 1.2.3.0 255.255.255.0" do konfigu openvpn). Následně se musíš přihlásit na další hop, přes který mají data proudit, a podívat se tam také (stejným tcpdumpem) - pokud má dvě rozhraní (e.g. VPN rozhraní a fyzické rozhraní, protože dělá koncový bod VPN), tak nejdřív na tom prvním a potom na tom druhém. V jednom okamžiku uvidíš, že nechodí ani výzvy, nebo naopak že přišla odpověď, ale neprošla na druhou stranu -- a nebo že přišla odpověď a má blbě nastavenou cílovou adresu, nebo tak něco. No a pak víš kde je problém a musíš vymyslet, jak udělat konfiguraci správně - změnit routing table nebo firewall. Ale tím se velmi posuneme, než "někde v 6 hopech po cestě se to nějak ztratí".

Pokud je navíc po cestě Router"OS", tak ti popřeju hodně štěstí a pevné nervy, protože tam nic jako tcpdump výrobce nedovolí spustit, a musíš si zařídit aby tě ten systém viděl a nastavit si jejich packet sniffer forward a následně to zachytávat lokálně. A nebo to přehrát na openwrt.

[_Jenda]

Jinak moje tipy:

• Vůbec nemáš routu na ten cílový počítač na svém počítači via VPN.
• Mikrotik nepřeposílá provoz do té sítě kde je tplink přes ten tplink (v RouterOS konfiguraci se moc nevyznám, ale v poskytnutém výpise nevidím žádnou specifickou routu).
• tplink neforwarduje provoz do jeho LAN dovnitř
• Mít za VPN stroj s adresou 192.168.0.180 bude problematické, protože rozsah 192.168.0.0/24 používá skoro každý a jakmile do takové sítě přijdeš, tak budeš mít kolizi.
• tplink neposílá odpovědi via mikrotik, případně je nějak blbě znatuje a mikrotik tak neví že to má poslat do VPN tobě.

[altrok]

Ještě jedna technická - jde ten stroj pingnout z LAN (tedy přímo v rámci tvé lokální sítě)?

[tadelorko]

Ďakujem za odpovede. Siete sa učím ale zatiaľ máme "základy" a iba na Cisco zariadeniach. Toto zapojenie realizoval technik od ISP.
Takže ta routa ma vôbec nenapadla. Z Mikrotiku na zariadenia v subnete 192.168.88.0/24 teda od Mikrotiku sa dokážem pingnut.
Router TP-link ktorý je za Mikrotikom má na wan statickú IP 192.168.88.15. V LAN TP-linku teda 192.168.0.0/24 sa dokážem pingnut na 192.168.0.180 čo je PC s adresárom. Zo subnetu 192.168.0.0/24 sa dokážem pingnut na zariadenia v subnete 192.168.88.0/24 ale z Mikrotiku do subnetu 192.168.0.0/24 sa pingnut nedokážem. Takže asi bude treba pridať routu, no aj keď som ju pridal, pingnut sa nedokážem. Kolíziou sietí som sa poistil a doma mám subnet 192.168.2.0/24.
v konf Mikrotiku sú tieto routy:

       Dst. address         Gateway
AS   0.0.0.0/24            10.202.45.129 reachable ether1-gateway
DAC 10.202.45.128/25 ether1-gateway reachable
DAC 192.168.88.0/24   bridge-local reachable
DAC 192.168.88.251    <ovpn-tade-1> reachable

Routing table v TP-linku je:
Network destination  Subnet Mask     Gateway        Interface
0.0.0.0                     0.0.0.0            192.168.88.1  wan
192.168.0.0             255.255.255.0  0.0.0.0           lan
192.168.88.0           255.255.255.0  0.0.0.0           wan