Hejka
Potrzebuję uruchomić polaczenie VPN 2 sieci ale nie mam dostępu do routerów brzegowych.
Kiedyś ktoś mi opowiadał, że można wewnątrz 2 sieci na Mikrotikach uruchomić połączenie do publicznego serwera i ten serwer może routować pakiety pomiędzy tymi wewnętrznymi sieciami. Ponoć na OpenVPN.
Prawda to? Wie ktoś coś więcej?
0
1
Załóżmy, że zestawiłeś VPNa między dwoma mikrotikami, za pomocą zewnętrznego serwisu. Masz kontrolę nad klientami w ramach tych 2 sieci, tak by ustawić im routing do tych mikrotików?
1
@jacek.placek Czy dobrze rozumiem - chcesz zrobić tunel z jednej sieci wewnętrznej (za SNATEM) do zupełnie innej wewnętrznej również za SNAT-em? O ile się nie mylę to dałoby się to zrobić z jednym hostem osiągalnym gdzieś w necie globalnie do którego masz dostęp po ssh. Kluczowa jest tu opcja "-w" ssh.
0
@yarel Te Mikrotiki są moje, serwer publiczny też jest mój.
Rozumiem, że kompy wewnątrz tych sieci muszą mieć dostępny odpowiedni routing.
Ich domyślna brama powinna routować inną sieć do mikrotika a ten dalej do servera i na serwerze dalej do drugiej sieci? Czy na każdym kompie trzeba to ustawiać?
@userek_jakis Dokładnie tak.
1
Ok, to z tego co pamietam to robilo sie sie to tak ze na obydwu hostach za SNAT-em odpalało sie cos w rodzaju:
ssh root@serwer -w any:any
i to tworzylo tunel z interfejsami tun, ktorym wystarczy nadac adresy IP po obydwu stronach + odpowiedni routing w tablicach routingu. Zalaczyc forwarding i powinno smigac. Tzn ja to podaje dla sytuacji kiedy kazdy z tych hostow jest Linuxem. Na Windows tego nie probowalem.
Po poprawnym skonfigurowaniu powinieneś mieć możliwość przejścia z jednej sieci za SNAT do drugiej za SNAT poprzez ten serwer ssh.
Szczegoly sa oczywiscie w man ssh.
1
jacek.placek napisał(a):
Czy na każdym kompie trzeba to ustawiać?
Jeśli możesz się wpięć między router brzegowy a komputerya i de facto stworzyć wewnętrzną sieć a komputery korzystają z DHCP to nie.
W dobie IPv6 nie ma też znaczenia czy to router brzegowy czy nie, o ile ruch nie jest blokowany to mogą sobie swobodnie gadać po IPv6 bez żadnych zewnętrznych hostów ani zmian konfiguracji na routerze
1
jacek.placek napisał(a):
@yarel Te Mikrotiki są moje, serwer publiczny też jest mój.
Rozumiem, że kompy wewnątrz tych sieci muszą mieć dostępny odpowiedni routing.
Ich domyślna brama powinna routować inną sieć do mikrotika a ten dalej do servera i na serwerze dalej do drugiej sieci?
Czy na każdym kompie trzeba to ustawiać?
Brama domyślna może routować, albo możesz mieć na kliencie regułkę mówiącą, że daną podsieć routujesz przez mikrotika, a nie przez domyślną bramę, czy jakiś inny router.
Pozostaje kwestia czy możesz modyfikować reguły na domyślnej bramie? Czy każda podsieć za routerem brzegowym ma tę samą bramę domyślną?