abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Videozáznam z Czech Open Source Policy Forum 2024
    dnes 14:22 | Komunita

    Na YouTube je k dispozici videozáznam z včerejšího Czech Open Source Policy Forum 2024.

    Ladislav Hagara | Komentářů: 0
    Fossil 2.24
    dnes 13:22 | Nová verze

    Fossil (Wikipedie) byl vydán ve verzi 2.24. Jedná se o distribuovaný systém správy verzí propojený se správou chyb, wiki stránek a blogů s integrovaným webovým rozhraním. Vše běží z jednoho jediného spustitelného souboru a uloženo je v SQLite databázi.

    Ladislav Hagara | Komentářů: 0
    Vivaldi 6.7
    dnes 12:44 | Nová verze

    Byla vydána nová stabilní verze 6.7 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 124. Přehled novinek i s náhledy v příspěvku na blogu. Vypíchnout lze Spořič paměti (Memory Saver) automaticky hibernující karty, které nebyly nějakou dobu používány nebo vylepšené Odběry (Feed Reader).

    Ladislav Hagara | Komentářů: 0
    Node.js 22
    dnes 04:55 | Nová verze

    OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.

    Ladislav Hagara | Komentářů: 0
    Proxmox Virtual Environment 8.2
    dnes 04:22 | Nová verze

    Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.

    Ladislav Hagara | Komentářů: 0
    R 4.4.0 (Puppy Cup)
    dnes 04:11 | Nová verze

    R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.

    Ladislav Hagara | Komentářů: 0
    IBM kupuje společnost HashiCorp za 6,4 miliardy dolarů
    včera 22:44 | IT novinky

    IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.

    Ladislav Hagara | Komentářů: 12
    TrueNAS SCALE 24.04 “Dragonfish”
    včera 15:55 | Nová verze

    Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Raspberry Pi Compute Module 4S s 2 GB, 4 GB a 8 GB paměti
    včera 13:44 | IT novinky

    Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.

    Ladislav Hagara | Komentářů: 0
    nginx 1.26.0
    včera 04:44 | Nová verze

    Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    KDE Plasma 6
     (72%)
     (9%)
     (2%)
     (17%)
    Celkem 749 hlasů
     Komentářů: 4, poslední 6.4. 15:51
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / VPN - stejné IP rozsahy na obou stranách
    Štítky: LAN, sítě, VPN

    Dotaz: VPN - stejné IP rozsahy na obou stranách

    12.2.2020 12:14 jan.rok | skóre: 21
    VPN - stejné IP rozsahy na obou stranách
    Přečteno: 1160×
    Dobrý den,

    z vnitřní LAN s rozsahem 192.168.1.0/24 se přes VPN (L2TP, Mikrotik) připojuju do vzdálené sítě (opět L2TP, Mikrotik), která má bohužel stejný rozsah IP adres 192.168.1.0/24.

    Po připojení do VPN dostanu adresu z rozsahu 10.0.0.0/24. Problémem je, že když se potřebuju dostat na vzdálený interní fileserver běžící na adrese 192.168.1.1, dostanu se místo toho na svůj fileserver, který má totožnou IP adresu 192.168.1.1 jako ten vzdálený.

    Samozřejmě čisté řešení je mít na každé straně jiný rozsah, ale toho nemůžu teď hned dosáhnout. Vzdálenou stranu neovlivním, u sebe je to organizačně náročné a přistoupil bych k tomu až v okamžiku, kdy nebude jiné technické řešení.

    Tak se jen ptám, jestli se tohle nějak dá vyřešit. Díky. J.R.

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Josef Kufner avatar 12.2.2020 12:44 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Můžeš zkusit nastavit routu pro tu konkrétní IP adresu, aby to nešlo na lokální síť, ale do VPN. Samozřejmě se pak nepřipojíš na oba servery současně.
    Hello world ! Segmentation fault (core dumped)
    12.2.2020 12:52 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Současné spojení na oba servery by potřeba nebylo.

    route -p add 10.0.0.55 mask 255.255.255.255 192.168.1.1, kde

    192.168.1.1 je adresa fileserveru na vzdálené straně,

    10.0.0.55 je adresa , kterou mi přidělí vzdálený VPN server

    Chápu to správně?

    12.2.2020 14:13 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Ta VPN je natažená mezi těmi mikrotiky (jeden jako server, druhý jako klient), nebo dostáváte IP VNP adresu přímo na tom stroji, ze kterého se připojujete?

    Jestli mezi těmi mikrotiky, tak si musíte nastavit routu na tom stroji tak, aby nutila provoz k cílovému serveru přes mikrotik na vaší straně: ip route add 192.168.1.1/32 via 192.168.1.254, přičemž 192.168.1.254 odhaduji, že je vaše výchozí brána. Na tomhle mikrotiku pak budete muset nastavit, že provoz na 192.168.1.1 nemá hnát do sítě, ve které sedí, ale přes tu VPN (tj. pokud na své straně taky máte stroj s IP 192.168.1.1, tak se s tím mikrotikem nedomluví.) Nejspíš taky budete potřebovat NAT, aby pakety odcházející do té VPN neměly vaší IP adresu 192.168.1.x, ale adresu VPN, jinak vám ten vzdálený server nebude schopný odpovědět.

    Jako když se budete hodně snažit, tak ta data nakonec nějak protlačíte, ale osobně bych se tomu, pokud by to jen trochu šlo, pokusil vyhnout. Ať vymyslíte cokoliv, tak vás to s velkou pravděpodobností jednoho krásného dne klepne přes prsty.

    Quando omni flunkus moritati
    12.2.2020 14:19 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Dostávám IP VPN adresu přímo na tom stroji, ze kterého se připojuju. Routery VPNkou spojené nejsou.
    12.2.2020 14:44 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Tak to je o něco lepší, v takovém případě ip route add 192.168.1.1/32 via 10.0.0.X - místo IP adresy z VPN na vaší straně je potřeba tam dát IP adresu ve VPN toho stroje, který vidí na cílový server. NAT potřebujete i tak - pakety odcházející do té VPN musí mít jako zdrojovu adresu 10.0.0.55 (zajistí jednoduché pravidlo masquerade v nastavení firewallu)
    Quando omni flunkus moritati
    12.2.2020 16:01 a1bert | skóre: 23
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    tady pomuze IMHO jedine SNAT+DNAT , adresuj tu vzdalenou sit jinym rozsahem a prekladej SNATem zdrojovou adresu na lokalnim routeru a cilovou na vzdalenem routeru)

    napr:

    ping na vzdaleny server (skutecna ip 192.168.1.1) fiktivni 192.168.10.1 
    
                           src ip         dst ip
lokalni sit           192.168.1.123  192.168.10.1
vpn                   192.168.11.123 192.168.10.1
vzdalena sit          192.168.11.123 192.168.1.1
    12.2.2020 18:01 j
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    A nebylo by mnohem jednodussi se vykaslat na vyrabeni VPNky? Pokud ti jde o jednorazovej pristup z jednoho stroje, tak je mnohem efektivnejsi, kdyz cil (server) forwardnou z nejakyho portu (ssh/rdp/...), klidne s omezenim ze jen ze tvoji IP, a ty se proste pripojis na verejnou IP a ten port.

    Jinak budes resit strasny vopicarny ktery stejne nebudou fungovat.

    BTW: Reseni (jediny spravny a bezproblemovy) je ipv6.
    Max avatar 12.2.2020 20:34 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Bavíme se tu čistě o L2TP? Nebo je to L2TP over IPSEC?
    Jinak standardně se split tunneling nedělá, třeba Windows by default vše routujou do tunelu. Kolizní síť pak nevadí, protože prio má tunel (routa 0.0.0.0 -> tunel).
    Takže by to chtělo aspoň výpis ip route, případně i info o nastavení na straně toho Mikrotiku.
    Zdar Max
    Měl jsem sen ... :(
    12.2.2020 21:04 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Měl jsem to upřesnit hned: jde o L2TP over IPSEC.

    Prosím o vysvětlení tohoto:

    Ta informace o Windows, že by default vše routujou do tunelu: má tím být myšleno, že po ustavení VPN se na svou lokální síť nedostanu? Tak to ale není: když to ve Windows zkusím, tak můžu jak na lokální síť, tak přes VPN na vzdálenou. A kdyby kolizní síť na druhé straně nevadila (kdyby měla prioritu routa 0.0.0.0 --> tunel), pak bych se na vzdálený fileserver 192.168.1.1 dostal. Ale já se dostanu na lokální 192.168.1.1.

    Takže tomu tvrzení nerozumím.
    12.2.2020 22:24
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Jestliže jsou na obou stranách vpn tunelu stejné rozsahy a neroutuješ všechno do tunelu, tak potom nějak nechápu, jak se na druhou stranu toho tunelu vůbec dostaneš... Nebylo by lepší sem hodit výpis routovací tabulky?
    12.2.2020 22:32 panika
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Příloha:
    snad myslime oba to samy - widle udelaj na vpn default gateway, da se to vypnout viz priloha a pak to jede podle routovaci tabulky..

    // ja bych teda sel cestou dnatu a snatu
    12.2.2020 23:44 j
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Ted to ovsem vypada, ze ty netusis, co je to default a jak funguje routovani.

    Na default GW se provoz posila AZ v pripade, ze neni znama exaktni routa = vzdy az nakonec. Tudiz pokud jde provoz do lokalni site, kterou ten stroj primo zna, tak to jde vzdy naprimo. Ostatne bez toho bys ani tu VPNku vubec nezprovoznil, kam bys asi tak chtel posilat provoz toho tunelu, do nej?

    Jinak receno, to co ti widle (a ostatne kazdej tunel) umoznuje, je pochopitelne poslat default skrz nej, ale to nijak neresi problem stejnych rozsahu.
    12.2.2020 23:58 j
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Kolizni sit samozrejme vadi zcela vzdy. Viz nekde kolem, jak bys asi tak chtel napojit ten tunel, kdyz veskerej provoz posles do nej. Ano, muzes do nej poslat default, ale lanka ti pude naprimo. A pokud do toho tunelu rucne preroutujes i ten lankovej rozsah, tak se ti pochopitelne obratem ten tunel rozpadne.

    Japa bys chtel systemu vysvetlovat, ze na cojavim 192.168.1.1 v lance ma posilat provoz toho tunelu, ale ze zaroven, ma pozadavky na 192.168.1.1 posilat dovnitr toho tunelu? Tohle se da delat tema vopicarnama s NATem. Na kterym si nabijes hubu hned o krok dal.

    Pri routovani plati, ze se vzdy nejdriv pouzije nejmensi prefix. Default = "vsechno co nevim kam".

    BTW: Pokud se nic zasadne nezmenilo, tak pokud je pravda, ze dotycny hodla tunel navazovat az z privatni site, a zaroven chce pouzivat ipsec, tak se ani nespoji. Protoze pokud mi skleroza slouzi, tak ipsec je prave jeden z tech protokolu, ktery IPcka posilaji primo uvnitr, a tudiz se da navazat pouze mezi strojema kde kazdej jeden ma verenou IP.
    Max avatar 13.2.2020 15:41 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    To se bohužel trochu pleteš. A skoro ve všem.
    Teď tu u sebe nemám kolizní sít, abych ti hodil přesný example, jak to funguje. Pokud si najdu čas, tak si doma překonfiguruju síť na kolizní a pak se na vpn připojím a pošlu ti info o routách apod.
    Jinak provozuji IKEv2 byod VPN na Debianu+Strongswan asi pro 500 lidí a aktuálně vidím jednoho, který je připojen z kolizní sítě 192.168.1.0/24. 
    byod-ikev2[1017024]: ESTABLISHED 12 minutes ago, 172.xx.xx.20[vpn-ph.corp.domain.tld]...89.xxx.xxx.64[192.168.1.35]
byod-ikev2[1017024]: Remote EAP identity: user@domain.tld
byod-ikev2[1017024]: IKEv2 SPIs: a20c9c1ec771c123_i 5a627cc60c0aad4b_r*, public key reauthentication in 7 hours
byod-ikev2[1017024]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
byod-ikev2{1520034}:  INSTALLED, TUNNEL, reqid 878100, ESP in UDP SPIs: cc56a343_i 05c1f8fe_o
byod-ikev2{1520034}:  AES_CBC_256/HMAC_SHA2_256_128, 254 bytes_i (4 pkts, 424s ago), 720 bytes_o (4 pkts, 425s ago), rekeying in 42 minutes
byod-ikev2{1520034}:   10.xxx.xxx.0/16 10.xxx.xxx.0/14 192.168.1.0/24 192.168.83.0/24 === 192.168.83.250/32
    Z aktivního spojení je vidět, že klient má ve vnitřní síti adresu "192.168.1.35", z VPN serveru dostal adresu 192.168.83.250/32 a připojuje se na servery, které jsou u nás v síti 192.168.1.0/24.
    Na ipsec serveru mám (ipsec server má jinak jednu z ip taktéž ze subnetu 192.168.1.0/24): 
    ...
leftsubnet=192.168.83.0/24,192.168.1.0/24,10.xxx.xxx.0/16,10.xxx.xxx.0/14
...
right=%any
rightid=%any
rightsourceip=192.168.83.0/24
...
    + mám nastavený SPLIT tunneling, takže k nám uživatel přistupuje na služby, ale na internet přistupuje přímo.
    Je to odzkoušeno a funkční na Windows 7,8,8.1,10, Android 4.4 a vyšší (se strongswann app), iOS 9 a vyšší, Windows Mobile Phone 8.1 i 10.
    Zdar Max
    Měl jsem sen ... :(
    13.2.2020 22:45 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Ale i když to řešit jde, tak je kolizní síť trochu ojeb. Když si na doma dám nejakou neobvyklejší jako třeba 172.27.14.0/24 tak pravděpodobnost kolize je značně malá a nemusím nic řešit. Jediný co může být problém je když z nějakého důvodu musím resetnout router, tak musím si pamatovat do jaké sítě se resetnul.
    Max avatar 14.2.2020 01:07 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Pokud neřeším site2site ipsec tunel, tak mně kolize moc nezajímají (viz ten příklad pro klienty). Pokud řeším site2site a mám kolizi, tak jen přihodím nat over ipsec a no problemo (osobní zkušenost z jobu, kdy jsem toto provozoval s jinou firmou).
    Zdar Max
    Měl jsem sen ... :(
    12.2.2020 22:11 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Řešit to jde, ale je na tom celkem dost hezky vidět, že nechat default není dobrá strategie i u rozsahu interní sítě.
    13.2.2020 09:47 jan.rok | skóre: 21
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Díky všem za názory.

    Že jsou stejné rozsahy problém, to jsem věděl/vyčetl. Spíš mě zajímalo, jestli zkušenější nemají nějakou chytrou obezličku, kterou bych mohl dočasně použít. Nějaké problematické možnosti tedy jsou.

    Mezitím jsem se domluvil na vzdálené straně, kde je menší problém změnit síťový rozsah. Myslím, že debatu uzavřeme a budu si pamatovat, že je dobré změnit defaultní adresy, které nabízí běžný router na něco méně obvyklého, abych se tím vyhnul podobným kolizím.

    14.2.2020 08:53 [Jooky]
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Mikrotik zvlada BCP (e.g. Bridge Control Protocol). Funguje to nad vacsinou PPP liniek. Idea je taka, ze namiesto klasickeho IP a routovania sa v tuneli posielaju L2 ramce a viacmenej sa spojenie tvari ako "ethernet". Tym padom vies spravit taku vec, ze VPN na oboch stranach "pichnes" do brigu/switchu pre LAN. Tym padom sa dve rozdielne lokality tvaria ako jeden broadcast segment (e.g. pre IP zariadenia je to transparentne). Ma to sice aj svoje negativa, ale funguje to dobre (vid dole). Ja som napr dlhu dobu tak pouzival povodny magio box od telekomu ... magio box (a aj telekom) si myslel, ze ho mam stale doma a ja som mal mobilnu kombinaciu s mikrotik routerom :-)

    MikroTik BCP

    Druha moznost je si postavit klasicke IP spojenie a ponad neho dat EoIP. Logika je ta ista, ale ine "prevedenie". EoIP (Ethernet over IP) vytvara ethernet tunel, ktory je mozny pridat do lokalneho bridge, alebo switcha. Tym padom ako BCP vyraba transparetne spojenie. Akurat sa to inac konfiguruje a ma iny overhead. Ja pouzivam EoIP niekedy namiesto VLAN/VPN, na spojenia, kde nie je velky load (lahsie sa to nastavuje).

    MikroTik - EoIP

    ... pri oboch si ale treba uvedomit, ze cez tunel bude chodit aj broadcast. Windows masiny niekedy broadcastuju netbios / cifs spojenia a rozne ilo/remote krabicky tiez vedia dost broadcastovat traffic. V takej situacii sa moze stat, ze sa bude tunel zahlcovat balastom. Druha vec je, ze napr duplikatnu IP budes musiet hladat nie na jednom mieste, ale na dvoch :D kedze to bude stale jeden segment ... a ked tie IP budu na roznych stranach, tak sa moze stat, ze "masina" bude vidiet vsetko lokalne, ale nebude davat zmysel, preco nejdu veci remote :-D ... Ja by som bol za to, ze obe riesenia budu dobry workaround, ale finalne riesenie by mal byt routing.

    (obe linky maju nielen detaily nastavenia, ale aj example konfiguracie presne na ten styl, ze 2x office na roznych miestach)
    14.2.2020 08:59
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    A nevznikne propojením dvou sítí se stejným ip rozsahem a se stejnými používanými ip adresami (jak píše tazatel) na síti poněkud maglajs?
    15.2.2020 23:33 L
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Pokud je na tom počítači Linux, tak bych doporučil fyzické rozhraní přesunout do odděleného síťového jmenného prostoru, tunel sestavovat v tomto odděleném síťovém jmenném prostoru a do hlavního síťového jmenného prostoru přidat pouze virtuální rozhraní tunelu.

    Pak tyto problémy kompletně odpadají a bonusem je i mnohem menší pravděpodobnost, že špatná konfigurace nebo nějaký jiný omyl způsobí degradaci bezpečnosti. Také je pak mnohem snadnější a čistší řešení autokonfigurace fyzického síťového rozhraní.

    Používám to takto na OpenVPN, ale mělo by se to dát zprovoznit v podstatě s jakýmkoliv tunelem.

    Nevýhodou je, že ač to v Linuxu funguje velmi dobře, tak na jiných systémech není pro síťové jmenné prostory podpora žádná.
    17.2.2020 14:36 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    Tipnul bych si, že ten server potřebuje vidět i do své vlastní sítě, takže bych to udělal spíš obráceně a do jmenného prostoru přestěhoval to virtuální rozhraní od VPN. (Krom toho když přesunete fyzické rozhraní, tak v hlavním jmenném prostoru tu VPN nevyrobíte, protože se nebude mít jak připojit.)
    Quando omni flunkus moritati
    17.2.2020 18:05 alkoholik | skóre: 40 | blog: Alkoholik
    Rozbalit Rozbalit vše Re: VPN - stejné IP rozsahy na obou stranách
    OpenBSD ma routing domains. Ty by se daly nejspis taky pouzit.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.