abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Helix 25.07
    dnes 00:11 | Nová verze

    Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Nvidia po souhlasu od Trumpovy vlády obnoví prodej čipů pro AI do Číny
    včera 20:44 | IT novinky

    Americký výrobce čipů Nvidia získal od vlády prezidenta Donalda Trumpa souhlas s prodejem svých pokročilých počítačových čipů používaných k vývoji umělé inteligence (AI) H20 do Číny. Prodej těchto čipů speciálně upravených pro čínský trh by tak mohl být brzy obnoven, uvedla firma na svém blogu. Americká vláda zakázala prodej v dubnu, v době eskalace obchodního sporu mezi oběma zeměmi. Tehdy to zdůvodnila obavami, že by čipy mohla využívat čínská armáda.

    Ladislav Hagara | Komentářů: 0
    Blender 4.5 LTS
    včera 17:22 | Nová verze

    3D software Blender byl vydán ve verzi 4.5 s prodlouženou podporou. Podrobnosti v poznámkách k vydání. Videopředstavení na YouTube.

    Ladislav Hagara | Komentářů: 0
    Open source webový aplikační framework Django slaví 20. narozeniny
    14.7. 22:22 | Komunita

    Open source webový aplikační framework Django slaví 20. narozeniny.

    Ladislav Hagara | Komentářů: 0
    DebConf25
    14.7. 16:11 | Komunita

    V Brestu dnes začala konference vývojářů a uživatelů linuxové distribuce Debian DebConf25. Na programu je řada zajímavých přednášek. Sledovat je lze online.

    Ladislav Hagara | Komentářů: 0
    Před 30 lety se začala používat přípona .mp3
    14.7. 11:33 | IT novinky

    Před 30 lety, tj. 14. července 1995, se začala používat přípona .mp3 pro soubory s hudbou komprimovanou pomocí MPEG-2 Audio Layer 3.

    Ladislav Hagara | Komentářů: 26
    Commodore 64 Ultimate
    14.7. 10:55 | IT novinky

    Výroba 8bitových domácích počítačů Commodore 64 byla ukončena v dubnu 1994. Po více než 30 letech byl představen nový oficiální Commodore 64 Ultimate (YouTube). S deskou postavenou na FPGA. Ve 3 edicích v ceně od 299 dolarů a plánovaným dodáním v říjnu a listopadu letošního roku.

    Ladislav Hagara | Komentářů: 20
    Reachy Mini, open source robot od Hugging Face
    13.7. 17:55 | Zajímavý projekt

    Společnost Hugging Face ve spolupráci se společností Pollen Robotics představila open source robota Reachy Mini (YouTube). Předobjednat lze lite verzi za 299 dolarů a wireless verzi s Raspberry Pi 5 za 449 dolarů.

    Ladislav Hagara | Komentářů: 17
    Počítačová hra DOGWALK
    11.7. 16:44 | Komunita

    Dnes v 17:30 bude oficiálně vydána open source počítačová hra DOGWALK vytvořena v 3D softwaru Blender a herním enginu Godot. Release party proběhne na YouTube od 17:00.

    Ladislav Hagara | Komentářů: 3
    AI řešení náboru pracovníku pro McDonald's mělo přihlašovací jméno 123456 a heslo 123456
    11.7. 14:55 | Humor

    McDonald's se spojil se společností Paradox a pracovníky nabírá také pomocí AI řešení s virtuální asistentkou Olivii běžící na webu McHire. Ian Carroll a Sam Curry se na toto AI řešení blíže podívali a opravdu je překvapilo, že se mohli přihlásit pomocí jména 123456 a hesla 123456 a získat přístup k údajům o 64 milionech uchazečů o práci.

    Ladislav Hagara | Komentářů: 16
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (26%)
     (7%)
     (3%)
     (1%)
     (1%)
     (4%)
    Celkem 399 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / VPN - stejné IP rozsahy na obou stranách
    Štítky: LAN, sítě, VPN

    Dotaz: VPN - stejné IP rozsahy na obou stranách

    12.2.2020 12:14 jan.rok | skóre: 21
    VPN - stejné IP rozsahy na obou stranách
    Přečteno: 1215×
    Dobrý den,

    z vnitřní LAN s rozsahem 192.168.1.0/24 se přes VPN (L2TP, Mikrotik) připojuju do vzdálené sítě (opět L2TP, Mikrotik), která má bohužel stejný rozsah IP adres 192.168.1.0/24.

    Po připojení do VPN dostanu adresu z rozsahu 10.0.0.0/24. Problémem je, že když se potřebuju dostat na vzdálený interní fileserver běžící na adrese 192.168.1.1, dostanu se místo toho na svůj fileserver, který má totožnou IP adresu 192.168.1.1 jako ten vzdálený.

    Samozřejmě čisté řešení je mít na každé straně jiný rozsah, ale toho nemůžu teď hned dosáhnout. Vzdálenou stranu neovlivním, u sebe je to organizačně náročné a přistoupil bych k tomu až v okamžiku, kdy nebude jiné technické řešení.

    Tak se jen ptám, jestli se tohle nějak dá vyřešit. Díky. J.R.

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Josef Kufner avatar 12.2.2020 12:44 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Můžeš zkusit nastavit routu pro tu konkrétní IP adresu, aby to nešlo na lokální síť, ale do VPN. Samozřejmě se pak nepřipojíš na oba servery současně.
    Hello world ! Segmentation fault (core dumped)
    12.2.2020 12:52 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Současné spojení na oba servery by potřeba nebylo.

    route -p add 10.0.0.55 mask 255.255.255.255 192.168.1.1, kde

    192.168.1.1 je adresa fileserveru na vzdálené straně,

    10.0.0.55 je adresa , kterou mi přidělí vzdálený VPN server

    Chápu to správně?

    12.2.2020 14:13 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Ta VPN je natažená mezi těmi mikrotiky (jeden jako server, druhý jako klient), nebo dostáváte IP VNP adresu přímo na tom stroji, ze kterého se připojujete?

    Jestli mezi těmi mikrotiky, tak si musíte nastavit routu na tom stroji tak, aby nutila provoz k cílovému serveru přes mikrotik na vaší straně: ip route add 192.168.1.1/32 via 192.168.1.254, přičemž 192.168.1.254 odhaduji, že je vaše výchozí brána. Na tomhle mikrotiku pak budete muset nastavit, že provoz na 192.168.1.1 nemá hnát do sítě, ve které sedí, ale přes tu VPN (tj. pokud na své straně taky máte stroj s IP 192.168.1.1, tak se s tím mikrotikem nedomluví.) Nejspíš taky budete potřebovat NAT, aby pakety odcházející do té VPN neměly vaší IP adresu 192.168.1.x, ale adresu VPN, jinak vám ten vzdálený server nebude schopný odpovědět.

    Jako když se budete hodně snažit, tak ta data nakonec nějak protlačíte, ale osobně bych se tomu, pokud by to jen trochu šlo, pokusil vyhnout. Ať vymyslíte cokoliv, tak vás to s velkou pravděpodobností jednoho krásného dne klepne přes prsty.

    Quando omni flunkus moritati
    12.2.2020 14:19 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Dostávám IP VPN adresu přímo na tom stroji, ze kterého se připojuju. Routery VPNkou spojené nejsou.
    12.2.2020 14:44 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Tak to je o něco lepší, v takovém případě ip route add 192.168.1.1/32 via 10.0.0.X - místo IP adresy z VPN na vaší straně je potřeba tam dát IP adresu ve VPN toho stroje, který vidí na cílový server. NAT potřebujete i tak - pakety odcházející do té VPN musí mít jako zdrojovu adresu 10.0.0.55 (zajistí jednoduché pravidlo masquerade v nastavení firewallu)
    Quando omni flunkus moritati
    12.2.2020 16:01 a1bert | skóre: 23
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    tady pomuze IMHO jedine SNAT+DNAT , adresuj tu vzdalenou sit jinym rozsahem a prekladej SNATem zdrojovou adresu na lokalnim routeru a cilovou na vzdalenem routeru)

    napr:

    ping na vzdaleny server (skutecna ip 192.168.1.1) fiktivni 192.168.10.1 
    
                           src ip         dst ip
lokalni sit           192.168.1.123  192.168.10.1
vpn                   192.168.11.123 192.168.10.1
vzdalena sit          192.168.11.123 192.168.1.1
    12.2.2020 18:01 j
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    A nebylo by mnohem jednodussi se vykaslat na vyrabeni VPNky? Pokud ti jde o jednorazovej pristup z jednoho stroje, tak je mnohem efektivnejsi, kdyz cil (server) forwardnou z nejakyho portu (ssh/rdp/...), klidne s omezenim ze jen ze tvoji IP, a ty se proste pripojis na verejnou IP a ten port.

    Jinak budes resit strasny vopicarny ktery stejne nebudou fungovat.

    BTW: Reseni (jediny spravny a bezproblemovy) je ipv6.
    Max avatar 12.2.2020 20:34 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Bavíme se tu čistě o L2TP? Nebo je to L2TP over IPSEC?
    Jinak standardně se split tunneling nedělá, třeba Windows by default vše routujou do tunelu. Kolizní síť pak nevadí, protože prio má tunel (routa 0.0.0.0 -> tunel).
    Takže by to chtělo aspoň výpis ip route, případně i info o nastavení na straně toho Mikrotiku.
    Zdar Max
    Měl jsem sen ... :(
    12.2.2020 21:04 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Měl jsem to upřesnit hned: jde o L2TP over IPSEC.

    Prosím o vysvětlení tohoto:

    Ta informace o Windows, že by default vše routujou do tunelu: má tím být myšleno, že po ustavení VPN se na svou lokální síť nedostanu? Tak to ale není: když to ve Windows zkusím, tak můžu jak na lokální síť, tak přes VPN na vzdálenou. A kdyby kolizní síť na druhé straně nevadila (kdyby měla prioritu routa 0.0.0.0 --> tunel), pak bych se na vzdálený fileserver 192.168.1.1 dostal. Ale já se dostanu na lokální 192.168.1.1.

    Takže tomu tvrzení nerozumím.
    12.2.2020 22:24
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Jestliže jsou na obou stranách vpn tunelu stejné rozsahy a neroutuješ všechno do tunelu, tak potom nějak nechápu, jak se na druhou stranu toho tunelu vůbec dostaneš... Nebylo by lepší sem hodit výpis routovací tabulky?
    12.2.2020 22:32 panika
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Příloha:
    snad myslime oba to samy - widle udelaj na vpn default gateway, da se to vypnout viz priloha a pak to jede podle routovaci tabulky..

    // ja bych teda sel cestou dnatu a snatu
    12.2.2020 23:44 j
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Ted to ovsem vypada, ze ty netusis, co je to default a jak funguje routovani.

    Na default GW se provoz posila AZ v pripade, ze neni znama exaktni routa = vzdy az nakonec. Tudiz pokud jde provoz do lokalni site, kterou ten stroj primo zna, tak to jde vzdy naprimo. Ostatne bez toho bys ani tu VPNku vubec nezprovoznil, kam bys asi tak chtel posilat provoz toho tunelu, do nej?

    Jinak receno, to co ti widle (a ostatne kazdej tunel) umoznuje, je pochopitelne poslat default skrz nej, ale to nijak neresi problem stejnych rozsahu.
    12.2.2020 23:58 j
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Kolizni sit samozrejme vadi zcela vzdy. Viz nekde kolem, jak bys asi tak chtel napojit ten tunel, kdyz veskerej provoz posles do nej. Ano, muzes do nej poslat default, ale lanka ti pude naprimo. A pokud do toho tunelu rucne preroutujes i ten lankovej rozsah, tak se ti pochopitelne obratem ten tunel rozpadne.

    Japa bys chtel systemu vysvetlovat, ze na cojavim 192.168.1.1 v lance ma posilat provoz toho tunelu, ale ze zaroven, ma pozadavky na 192.168.1.1 posilat dovnitr toho tunelu? Tohle se da delat tema vopicarnama s NATem. Na kterym si nabijes hubu hned o krok dal.

    Pri routovani plati, ze se vzdy nejdriv pouzije nejmensi prefix. Default = "vsechno co nevim kam".

    BTW: Pokud se nic zasadne nezmenilo, tak pokud je pravda, ze dotycny hodla tunel navazovat az z privatni site, a zaroven chce pouzivat ipsec, tak se ani nespoji. Protoze pokud mi skleroza slouzi, tak ipsec je prave jeden z tech protokolu, ktery IPcka posilaji primo uvnitr, a tudiz se da navazat pouze mezi strojema kde kazdej jeden ma verenou IP.
    Max avatar 13.2.2020 15:41 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    To se bohužel trochu pleteš. A skoro ve všem.
    Teď tu u sebe nemám kolizní sít, abych ti hodil přesný example, jak to funguje. Pokud si najdu čas, tak si doma překonfiguruju síť na kolizní a pak se na vpn připojím a pošlu ti info o routách apod.
    Jinak provozuji IKEv2 byod VPN na Debianu+Strongswan asi pro 500 lidí a aktuálně vidím jednoho, který je připojen z kolizní sítě 192.168.1.0/24. 
    byod-ikev2[1017024]: ESTABLISHED 12 minutes ago, 172.xx.xx.20[vpn-ph.corp.domain.tld]...89.xxx.xxx.64[192.168.1.35]
byod-ikev2[1017024]: Remote EAP identity: user@domain.tld
byod-ikev2[1017024]: IKEv2 SPIs: a20c9c1ec771c123_i 5a627cc60c0aad4b_r*, public key reauthentication in 7 hours
byod-ikev2[1017024]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
byod-ikev2{1520034}:  INSTALLED, TUNNEL, reqid 878100, ESP in UDP SPIs: cc56a343_i 05c1f8fe_o
byod-ikev2{1520034}:  AES_CBC_256/HMAC_SHA2_256_128, 254 bytes_i (4 pkts, 424s ago), 720 bytes_o (4 pkts, 425s ago), rekeying in 42 minutes
byod-ikev2{1520034}:   10.xxx.xxx.0/16 10.xxx.xxx.0/14 192.168.1.0/24 192.168.83.0/24 === 192.168.83.250/32
    Z aktivního spojení je vidět, že klient má ve vnitřní síti adresu "192.168.1.35", z VPN serveru dostal adresu 192.168.83.250/32 a připojuje se na servery, které jsou u nás v síti 192.168.1.0/24.
    Na ipsec serveru mám (ipsec server má jinak jednu z ip taktéž ze subnetu 192.168.1.0/24): 
    ...
leftsubnet=192.168.83.0/24,192.168.1.0/24,10.xxx.xxx.0/16,10.xxx.xxx.0/14
...
right=%any
rightid=%any
rightsourceip=192.168.83.0/24
...
    + mám nastavený SPLIT tunneling, takže k nám uživatel přistupuje na služby, ale na internet přistupuje přímo.
    Je to odzkoušeno a funkční na Windows 7,8,8.1,10, Android 4.4 a vyšší (se strongswann app), iOS 9 a vyšší, Windows Mobile Phone 8.1 i 10.
    Zdar Max
    Měl jsem sen ... :(
    13.2.2020 22:45 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Ale i když to řešit jde, tak je kolizní síť trochu ojeb. Když si na doma dám nejakou neobvyklejší jako třeba 172.27.14.0/24 tak pravděpodobnost kolize je značně malá a nemusím nic řešit. Jediný co může být problém je když z nějakého důvodu musím resetnout router, tak musím si pamatovat do jaké sítě se resetnul.
    Max avatar 14.2.2020 01:07 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Pokud neřeším site2site ipsec tunel, tak mně kolize moc nezajímají (viz ten příklad pro klienty). Pokud řeším site2site a mám kolizi, tak jen přihodím nat over ipsec a no problemo (osobní zkušenost z jobu, kdy jsem toto provozoval s jinou firmou).
    Zdar Max
    Měl jsem sen ... :(
    12.2.2020 22:11 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Řešit to jde, ale je na tom celkem dost hezky vidět, že nechat default není dobrá strategie i u rozsahu interní sítě.
    13.2.2020 09:47 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Díky všem za názory.

    Že jsou stejné rozsahy problém, to jsem věděl/vyčetl. Spíš mě zajímalo, jestli zkušenější nemají nějakou chytrou obezličku, kterou bych mohl dočasně použít. Nějaké problematické možnosti tedy jsou.

    Mezitím jsem se domluvil na vzdálené straně, kde je menší problém změnit síťový rozsah. Myslím, že debatu uzavřeme a budu si pamatovat, že je dobré změnit defaultní adresy, které nabízí běžný router na něco méně obvyklého, abych se tím vyhnul podobným kolizím.

    14.2.2020 08:53 [Jooky]
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Mikrotik zvlada BCP (e.g. Bridge Control Protocol). Funguje to nad vacsinou PPP liniek. Idea je taka, ze namiesto klasickeho IP a routovania sa v tuneli posielaju L2 ramce a viacmenej sa spojenie tvari ako "ethernet". Tym padom vies spravit taku vec, ze VPN na oboch stranach "pichnes" do brigu/switchu pre LAN. Tym padom sa dve rozdielne lokality tvaria ako jeden broadcast segment (e.g. pre IP zariadenia je to transparentne). Ma to sice aj svoje negativa, ale funguje to dobre (vid dole). Ja som napr dlhu dobu tak pouzival povodny magio box od telekomu ... magio box (a aj telekom) si myslel, ze ho mam stale doma a ja som mal mobilnu kombinaciu s mikrotik routerom :-)

    MikroTik BCP

    Druha moznost je si postavit klasicke IP spojenie a ponad neho dat EoIP. Logika je ta ista, ale ine "prevedenie". EoIP (Ethernet over IP) vytvara ethernet tunel, ktory je mozny pridat do lokalneho bridge, alebo switcha. Tym padom ako BCP vyraba transparetne spojenie. Akurat sa to inac konfiguruje a ma iny overhead. Ja pouzivam EoIP niekedy namiesto VLAN/VPN, na spojenia, kde nie je velky load (lahsie sa to nastavuje).

    MikroTik - EoIP

    ... pri oboch si ale treba uvedomit, ze cez tunel bude chodit aj broadcast. Windows masiny niekedy broadcastuju netbios / cifs spojenia a rozne ilo/remote krabicky tiez vedia dost broadcastovat traffic. V takej situacii sa moze stat, ze sa bude tunel zahlcovat balastom. Druha vec je, ze napr duplikatnu IP budes musiet hladat nie na jednom mieste, ale na dvoch :D kedze to bude stale jeden segment ... a ked tie IP budu na roznych stranach, tak sa moze stat, ze "masina" bude vidiet vsetko lokalne, ale nebude davat zmysel, preco nejdu veci remote :-D ... Ja by som bol za to, ze obe riesenia budu dobry workaround, ale finalne riesenie by mal byt routing.

    (obe linky maju nielen detaily nastavenia, ale aj example konfiguracie presne na ten styl, ze 2x office na roznych miestach)
    14.2.2020 08:59
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    A nevznikne propojením dvou sítí se stejným ip rozsahem a se stejnými používanými ip adresami (jak píše tazatel) na síti poněkud maglajs?
    15.2.2020 23:33 L
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Pokud je na tom počítači Linux, tak bych doporučil fyzické rozhraní přesunout do odděleného síťového jmenného prostoru, tunel sestavovat v tomto odděleném síťovém jmenném prostoru a do hlavního síťového jmenného prostoru přidat pouze virtuální rozhraní tunelu.

    Pak tyto problémy kompletně odpadají a bonusem je i mnohem menší pravděpodobnost, že špatná konfigurace nebo nějaký jiný omyl způsobí degradaci bezpečnosti. Také je pak mnohem snadnější a čistší řešení autokonfigurace fyzického síťového rozhraní.

    Používám to takto na OpenVPN, ale mělo by se to dát zprovoznit v podstatě s jakýmkoliv tunelem.

    Nevýhodou je, že ač to v Linuxu funguje velmi dobře, tak na jiných systémech není pro síťové jmenné prostory podpora žádná.
    17.2.2020 14:36 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Tipnul bych si, že ten server potřebuje vidět i do své vlastní sítě, takže bych to udělal spíš obráceně a do jmenného prostoru přestěhoval to virtuální rozhraní od VPN. (Krom toho když přesunete fyzické rozhraní, tak v hlavním jmenném prostoru tu VPN nevyrobíte, protože se nebude mít jak připojit.)
    Quando omni flunkus moritati
    17.2.2020 18:05 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    OpenBSD ma routing domains. Ty by se daly nejspis taky pouzit.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.