AbcLinuxu:/ Poradna / Linuxová poradna / Propojení 5 sítí přes VPN

Štítky: ahoj, bridge, C, Internet, klient, komunikace, mikrotik, OpenVPN, PC, popis, problém, programování, sdílení, server, síť, sítě, VPN, Windows

Dotaz: Propojení 5 sítí přes VPN

27.10.2020 23:27 Pavel | skóre: 17
Propojení 5 sítí přes VPN

Přečteno: 1738×

Odpovědět | Admin

Ahoj, hledám řešení jak vhodně propojit 3 lokace aby mezi nimi fungovalo především sdílení souborů windows - přes pevnou IP a vzdálená plocha. Momentálně to nějak propojený je na bázi Mikrotik řešení, chtěl bych použít linuxový server a klientí budou Mkčka nebo Windows. Popis lokací a současného stavu: lokace A: vnitřní síť 10.10.10.0/24, uvnitř tři důležitá PC a jeden mikrotik, každý zvlášť připojen přes OpenVPN k serveru, směrovač je pro mě nekonfigurovatelný, statické routy v každém PC, MK. MK je zde především pro přístup do celé sítě A z jiných sítí, mohl by teoreticky sloužit i opačně, zatím to jde rovnou z PC - je to stabilnější a mnohem rychlejší než přes MK.

lokace B: vnitřní síť 10.20.10.0/24, uvnitř několik zařízení, mikrotik sloužící jako GW směrovač a OpenVNP server.

lokace C: tři vnitřní podsítě Ca - 10.30.10.0/24, Cb - 10.30.20.0/24, Cc - 10.30.30.0/24, uvnitř několik zařízení, mikrotik sloužící jako GW směrovač a VPN klient.

Současně se k VPN připojuje i mobil pro kompletní dohled nad všemi sítěmi. VPN server je v režimu TAP a klientí mají přidělenou adresu ze sítě B. Na MK je pak již řešen transparentní bridge mezi sítěmi. Problém ovšem nastává při komunikaci mezi sítěmi A-C a opačně, která je velmi pomalá. Částečně tomu možná vadí i kvalita přípojky sítě B - 40Mbit/40Mbit/12ms.

Napadlo mi, celý VPN server zřidit v datacentru, kde již něco běží. Pak bych pro VPN síť udělal adresaci 192.168.1.1/24 a používal TUN. Zároveň bych server využil jako GW pro NB a mobily, když jsou připojený k internetu mimo sítě A,B,C.

Uvítám rady jestli je moje úvaha správná než se do toho pustím a i praktické zkušenosti. Stěžejní je pro funkčnost vzdálené plochy mezi C->A, výhodou bude když to půjde C->MK v A->PC. V současnosti je to použitelné pouze B->A, B->C a naopak. A samozřejmě pak kompletní komunikace mezi vším pro správu sítí.

Řešení dotazu:

Komentář #1 (Nereknu, 1 hlasů)

Nástroje: Začni sledovat (1) ?

Odpovědi

Řešení 1× (Brokarna)

28.10.2020 00:21 Nereknu | skóre: 23 | Neřeknu:)
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Lokace nemají každá svou IP adresu? Stará mikrotik RB3011 dává přes ipsec dává na pohodu mnohem víc, jak 200mbit/s. Máme 3 pobočky propojené mezi sebou přes EOIP s tím. Navíc EOIP umí bonding - tam, kde jsou 2 konektivity mám nasazený active-backup a nikdo si ani nevšimne, že vlastně něco vypadlo.

28.10.2020 00:27 Nereknu | skóre: 23 | Neřeknu:)
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Jinak, spíš, než strkat něco do serverovny (drahý špás) bych pořídil vps a na něj nahodil mikrotik (level4 za 45 dolarů) a řešil to přes něj s tím, že bys měl nějaký jednoduchý skript, který by v případě výpadku v datacentru nahodil automaticky backup přes lokaci, kde je pevná a z venku přístupná IP adresa.

28.10.2020 02:04 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Chtěl bych upozornit, že na běžném hardwaru co jsou takové ty malé Mikrotiky (velmi konkrétně RB750Gr3) dává OpenVPN jenom tak 20 Mb/s (a to i když snížíš šifrování na AES-128-CBC). Oproti tomu Wireguard tam dokáže zaplnit 100Mb/s uplink. Pro změnu na Windows 7 byly s WG neustálé problémy, například se nedokázal znovu připojit, když se protistrana resetovala. Ale třeba to na W10 bude lepší, protože si na to na internetu nikdo nestěžoval.

Dále v RouterOS je dokriplená openvpn, která umí jenom TCP, Wireguard je jenom v nějaké preview verzi, a vůbec je to strašně špatný systém v podstatě na cokoli. Ale to nevadí, protože OpenWRT běhá na Mikrotikách velmi dobře.

28.10.2020 09:28 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Preco na zariadeni s hw offloadingom pre ipsec, nepouzit ipsec, ktory dnes pomaly podporuje uz kazda krabicka, ale kadejake nedpodporovane protokoly s polovicnou funkcionalitou?

28.10.2020 17:52 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Já mám lokace propojené přes mikrotiky a používám L2TP/IPSEC a i z mobilu se na to připojím.

Pokud tam jsou mikrotiky nevidím problém to propojit přes ně, samozřejmě musí to být typ který uroutuje ten provoz v síti.

29.10.2020 00:29 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Ano, mám na mysli VPS, lokace B,C mají veřejnou IP A nikoliv, tam jsem v podstatě jen takový nevítaný host co obchází veškeré zabezpečení a zpřístupňuje obsah sítě druhým - samozřejmě, že to tak není :-)

Současný VPN server běží v B na RB750Gr3, lokace A má zatím RB433 a lokace C RB433AH. Dle vytížení procesoru se ani jedna nedostává přes 20%.

Použití IPsec se nebráním, podmínkou je, že na PC W7 se musí spouštět automaticky po spuštění PC - mám ošetřeno, že VPN se připojuje k doméně, která je viditelná pouze z venku, tudíž na vnitří síti se nepřihlásí VPNka. Vyjímkou jsou PC v síti A, tam by asi byl problém co jsem tak zjistil, tak není možné se na server přihlásit s dvěmi zařízeními schované za NATem pod jednou IP. To by byl asi velký problém. Když pojedu na dovolenou, budu si chtít připojit PC i mobily.

Původní návrh OpenVPN na Linux byl především proto, že MK server neumí šířit statické routy pro klienty, což je ale kosmetický detail, pokud IPsec pojede bez nějakých dalších změn topologie na stávajícím HW.

29.10.2020 08:42 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Trochu nechápu tvůj popis to s těmi windows?

Prostě mikrotik v tom B bude VPN server a k němu připojíš přes VPN ty další sítě A a B a budou se k němu připojovat i další zařízení.

No a teď nechápu co pleteš to s těmi windows, prostě když celá síť bude mít IP 192.168.0.0/16 tak se uvnitř můžeš spojit s jakýmkoliv PC ve své stíti a nezajímá tě v jaké lokalitě ten PC je.

U sebe kde nemám veřejnou IPv4 mám zase IPv6 (dsl O2) takže pokud se nenaváže spojení mezi sítěmi tak se z internetu na tu síť dostanu přes IPv6.

Jediné co se mi nepovedlo a neřeším to se z windows přes L2TP/IPSEC připojit k té VPN - proč netuším a je mi to jedno protože windows nepoužívám (pouze jsem to skoušel) a přes linux spojení funguje a z androidu spojení taky funguje.

29.10.2020 09:02 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

A je možné připojit na server více zařízení současně schované pod jednou IP (NAT)? V nějakém návodu jsem vyčetl, že to je právě problém, když si v kavárně chci připojit jak NB tak telefon tak ten klient druhý připojený odpojí prvního klienta.

29.10.2020 09:30 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

S OpenVPN není problém a s IPSEC i L2TP také ne. U všech třech funguje multiple client za stejným natem. Takže netuším, jaké VPN řešíš, ale všechny tři nejznámější jsou s tímto ok.
Zdar Max

Měl jsem sen ... :(

29.10.2020 09:07 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Btw, na tom Mikrotiku v lokalitě A se může nastavit NAT, pak není potřeba na ty tři stroje dávat statický routy a bude přístup do celé sítě 10.10.10.0/24.

29.10.2020 09:34 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Pokud máš ve všech lokcací Mikrotik i veřejnou IP, tak nechápu, co se tu řeší. Mezi lokacema IPSEC tunnel (nebo EoIP over IPSEC) a externí klienty lze připojit taktéž přes ipsec nebo openvpn (k tomu lze zneužít také jeden z Mikrotiků).
Zdar Max

Měl jsem sen ... :(

29.10.2020 10:36 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Lokace B,C veřejnou IP má. Stále však uvažuji o VPN serveru na VPS kvůli rychlosti připojení pro proxy externích klientů. Přípojka B 40/40 může být na hraně když bych chtěl ze zahraničí sledovat třeba TV a bylo tam omezení na české IP. Navíc ISP řeší přípojku bezdrátem.

A nebo mezi lokacemi udělat tunel a k němu připojit i VPS a tam by se připojovaly externí klientí.

29.10.2020 11:11 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Záleží, jaký máš traffic mezi pobočkama. Pokud očekáváš nějaký větší, tak přihodit do toho VPSku není problém. U 5ks poboček není tak obtížné je prošpikovat skrz na skrz ipsecem, aby každá mohla napřímo komunikovat s každou pobočkou + i s VPS.
Resp. záleží na tobě, jak to máš s trafficem mezi nima a jaký tam chceš mít latence. Pronájem VPS, kde nepotřebuješ diskový výkon, jen rychlou linku a rozumný CPU, to vyjde levno.
Zdar Max

Měl jsem sen ... :(

29.10.2020 17:30 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tak jsem prozatím rozběhal IPsec mezi pobočkami B a C, server je na pobočce B. Zařízení mezi pobočkami se navzájem vidí. Zatímco však OpenVPN v síti C dynamicky nastavil routu sítě 10.20.10.0/24 přes vpn rozhraní na adresu 10.20.10.210 což je IP toho VPN klienta, tak IPsec přidal dynamickou routu ze sítě 10.20.10.254 přes vpn rozhraní na adresu 10.20.10.210. Těch 254 je IP VPN na straně serveru. Musel jsem tak ručně přidat routu pro celou síť 10.20.10.0/24. Což ok, nějaké drobné rozdíly oproti OpenVPN tam být mohou.

Pak ale do sítě B mám i routu 0.0.0.0/0 pro pakety ozačené routovací značkou: add check-gateway=arp comment="VPN route se znackou vpn_route" distance=1 gateway=10.20.10.1 routing-mark=vpn_route a to již neprojde a hlásí to nedostupná IP, čemuž nerozumím když se na ní pingnu.

29.10.2020 18:06 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Vyzkoušel jsem mezitím i BandWidth test mezi serverem a klientem. TX/RX v případě OpenVPN mám 12/3.5Mbit, po přepnutí na IPsec jen 1.5/1.5Mbit. Maximum by přitom mělo být 30/4Mbit. MTU je nastavené stejně - 1450, maximum je někde okolo 1500. Proč je to tak líné?

29.10.2020 19:30 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Buď špatné MTU, anebo používáš šifrování co ten mikrotik neumí a pak to počítá CPU.

29.10.2020 20:10 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Pokial to merias medzi RB433 alebo RB433AH, alebo dokonca medzi nimi, tak viac ti to asi ani neda. Mne RB951G-2HnD dal cca 2-4Mb/s. Nemaju hw podporu pre ipsec.

29.10.2020 20:58 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tak v tom případě ipsec je špatná volba, to tam nechám zpátky to OpenVPN, takže L2TP/IPsec není řešením. Co takhle EOIP s/bez IPsec? Když bez, tak externí klienty z free wifi připojovat přes jiný server s šifrováním.

Jedinná výhoda L2TP/IPsec oproti OpenVPN je, že se mi konečně podařilo přihlásit na mikrotik umístěný v druhé síti. Předtím to stále zamrzalo na přihlašování.

29.10.2020 21:33 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

hw podpora pro ipsec je hloupost. To, co MK většinou nemá, je podpora hw encodingu nějakého šifrování. U RB433AH bych vzhledem k jeho slabému CPU používal sha1 128/192. a nižší šifry.
Jinak s hAP ac2 dávám 40Mbit a ten také nemá podporu pro hw encoding.
Zdar Max

Měl jsem sen ... :(

29.10.2020 21:42 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tak jinak, je to "RouterBOARD 962UiGS-5HacT2HnT" a běží přes to EoIP over ipsec a ipsec je sestavený jako "auth sha1" a "enc aes256" a jede to kolem 40Mbit.
Jinak u označování MK lze poznat podporu hw encodingu tak, že podporu v hw mají routery a switche ne.
Takže modely "CRS" jsou switche a modely "CCR" jsou rutery. To jen tak pro info, kdyby něco kupoval něco nového.
Zdar Max

Měl jsem sen ... :(

30.10.2020 00:04 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

tak ono ani tie CRS nie su uplne vhodne na switchovanie. jedine seria CRS3xx, ktora ma komplet hw offloading na bridge (vlan, r/m/stp, igmp/dhcp snooping, vlan filtering, bonding...). seriam CRS1xx/CRS2xx chyba hw offloading dost sklucovych funkcii (mstp, vlan filtering, bonding) a ostatne mikrotiky v podstate vobec nie su pouzitelne ako switch.

30.10.2020 10:05 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

CRS1xx/CRS2xx už jsou doufám historie a nikdo příčetný by to už dnes neměl kupovat, ale umělo to HW offloadovat vlan filtering a bonding, jen se to musí nastavovat přímo na Switch chipu (/interface ethernet switch) a ne tak jak je zvykem, že se to v Mikrotiku dělá.

30.10.2020 12:52 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tak oni změnu nastavení už provedli dávno, ne? Nicméně je pravda, že starý způsob je stále možný. Každopádně u MK stále platí, že člověk musí vždy vědět, co dělá.
Zdar Max

Měl jsem sen ... :(

29.10.2020 22:01 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

hw podpora pro ipsec je hloupost.

ano, blbe vyjadrenie, ale tak hadam sa to da pochopit. ale zase pisat, ze nieco ma hw podporu sifrovania, moze viest k domienke, ze to bude fungovat aj pri openvpn, co nie je pravda - mkt nevie pri ovpn vyuzit hw offloading, pri ipsec ano.

Jinak s hAP ac2 dávám 40Mbit a ten také nemá podporu pro hw encoding.

praveze ma - https://mikrotik.com/product/hap_ac2

30.10.2020 00:32 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Opravil jsem se, že to není hAP ac2.
Zdar Max

Měl jsem sen ... :(

5.11.2020 20:17 j
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Ale kdeze, zase pises o necem a nic o tom nevis?

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_acceleration

Tady mas ruzny kombinace pro ruzny mikrotiky. Kdyz zvolis jinou, tak proste smula, pak to jede ciste pres CPU a omezuje to jeho vykon.

---

Dete s tim guuglem dopice!

29.10.2020 20:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Zvážil bych, jestli nekoupit nějaký normální hardware, třeba APU2.

29.10.2020 21:29 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

MTU se nemění, v ramci mangle tabulky by jsi měl menit MSS, doporučuji nastavit na 1100
Zdar Max

Měl jsem sen ... :(

29.10.2020 19:23 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Nevím kde se ti tam bere ta default 0.0.0.0/0.

Prostě máš na tom spojení do sítě B zaškrtnuto v nastavení Add Default Route

29.10.2020 20:48 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tu routu tam potřebuji, část C sítě přistupuje k internetu přes B síť. Ale MK neví kde ta B síť je, i když na ní pingne...?

29.10.2020 21:46 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tak tam musíš dodat statické směrování....

29.10.2020 22:09 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

No jasný, jenže jakou tam dát GW v té routě? Měl jsem tam IP adresu toho MK, tu to teď nebere, jedinný co to zná je adresa toho VPN serveru, je ve stejné síti, jedná se o totéž zařízení, bude to stačit?

30.10.2020 10:47 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Já jako gateway vyberu ten odchozí interface....

[petr@router-bezrucova] > /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          O2-VDSL                   1
 1 ADC  10.12.61.5/32      10.243.17.185   O2-VDSL                   0
 2 A S  ;;; Olomouc router
        192.168.1.0/24                     Olomouc                   1
 3 ADC  192.168.1.3/32     192.168.10.3    Olomouc                   0
 4 ADC  192.168.2.0/24     192.168.2.2     ether1                    0
 5 ADC  192.168.10.0/24    192.168.10.1    bridge1                   0

Asi by to chtělo zde vypsat jak to máte konkrétně nastavené.....

192.168.1.x Olomouc
192.168.2.x modem DSL
192.168.10.x Zlaté Hory

30.10.2020 15:32 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tak mám rozběhané spojení mezi B a C, ping ze zařízení v síti B projde na zařízení v síti C. Úplně stejně jsem nakonfiguroval i MK v síti A a připojil ho k B. Ping z vpn serveru na zařízení v síti A projde, ale když to zkusím z jiného zařízení v té B síti tak to zkončí na GW, nejde ani ping na adresu toho VPN klienta.

Klient A: síť 10.10.10.0/24, VPN klient 10.20.10.201

Klient C: síť 10.30.10.0/24, VPN klient 10.20.10.203

Server B: síť 10.20.10.0/24, IP 10.20.10.1, VPN server 10.20.10.254

test PC v B: IP: 10.20.10.105/24, GW 10.20.10.1

Ping ze zařízení 10.20.10.105:

cíl 10.20.10.203 je funkční
cíl 10.30.10.něco je funkční
cíl 10.20.10.201 neprojde
cíl 10.10.10.něco neprojde

přitom ze serveru to něco pingnu.

Přikládám i konfiguraci, FW prakticky žádnej.

server:
[admin@pobB] /ppp secret> print detail
Flags: X - disabled 
 0   name="l2tp_link_pobA" service=l2tp caller-id="" password="pwdA" profile=l2tpProfile remote-address=10.20.10.201 routes="" limit-bytes-in=0 limit-bytes-out=0 
 1   name="l2tp_link_pobC" service=l2tp caller-id="" password="pwdC" profile=l2tpProfile remote-address=10.20.10.203 routes="" limit-bytes-in=0 limit-bytes-out=0
 
[admin@remeri] /ip route> print detail 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit  
 0 A S  ;;; gateway do ISP
        dst-address=0.0.0.0/0 pref-src=10.110.102.9 gateway=10.110.102.1 gateway-status=10.110.102.1 reachable via  ether1 distance=1 scope=30 target-scope=10 
 1 A S  ;;; Routa do pobA
        dst-address=10.10.10.0/24 gateway=10.20.10.201 gateway-status=10.20.10.201 reachable via  <l2tp-l2tp_link_pobA> distance=1 scope=30 target-scope=10 
 2 ADC  dst-address=10.110.102.0/24 pref-src=10.110.102.9 gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10 
 3 A S  ;;; Routa do pobC
        dst-address=10.30.10.0/24 gateway=10.20.10.203 gateway-status=10.20.10.203 reachable via  <l2tp-l2tp_link_pobC> distance=1 scope=30 target-scope=10 
 4 ADC  dst-address=10.20.10.0/24 pref-src=10.20.10.1 gateway=bridge gateway-status=bridge reachable distance=0 scope=10 
 5 ADC  dst-address=10.20.10.203/32 pref-src=10.20.10.254 gateway=bridge,<l2tp-l2tp_link_pobC> gateway-status=bridge reachable,<l2tp-l2tp_link_pobC> reachable distance=0 scope=10 
 6 ADC  dst-address=10.20.10.201/32 pref-src=10.20.10.254 gateway=<l2tp-l2tp_link_pobA> gateway-status=<l2tp-l2tp_link_pobA> reachable distance=0 scope=10 

[admin@pobB] /interface l2tp-server> print detail
Flags: X - disabled, D - dynamic, R - running 
 0  DR name="<l2tp-l2tp_link_pobA>" user="l2tp_link_pobA" mtu=1450 mru=1450 client-address="158.199.17.219" uptime=34m58s encoding="cbc(aes) + hmac(sha1)"
 1  DR name="<l2tp-l2tp_link_pobC>" user="l2tp_link_pobC" mtu=1450 mru=1450 client-address="190.253.17.157" uptime=33m10s encoding="cbc(aes) + hmac(sha1)"
 
client A:
[admin@pobA] > /interface l2tp-client print detail
Flags: X - disabled, R - running 
 0  R name="l2tp_client" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=vpn.pobB.cz user="l2tp_link_pobA" password="pwdA" profile=default-encryption keepalive-timeout=60 use-ipsec=yes ipsec-secret="xxx" allow-fast-path=no add-default-route=no dial-on-demand=no allow=pap,chap,mschap1,mschap2
 
client C:
[admin@pobC] > interface l2tp-client print detail 
Flags: X - disabled, R - running 
 0 R name="l2tp_client" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=vpn.pobB.cz user="l2tp_link_pobC" password="pwdC" profile=default-encryption keepalive-timeout=60 use-ipsec=yes ipsec-secret="xxx" allow-fast-path=no add-default-route=no dial-on-demand=no allow=pap,chap,mschap1,mschap2

30.10.2020 18:36 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Hned co mě trklo tak v routovací tabulce máš rozdíl hned zde:

5 ADC  dst-address=10.20.10.203/32 pref-src=10.20.10.254 gateway=bridge,<l2tp-l2tp_link_pobC> gateway-status=bridge reachable,<l2tp-l2tp_link_pobC> reachable distance=0 scope=10 
 6 ADC  dst-address=10.20.10.201/32 pref-src=10.20.10.254 gateway=<l2tp-l2tp_link_pobA> gateway-status=<l2tp-l2tp_link_pobA> reachable distance=0 scope=10

Jedno máš přidané do bridge druhé ne.

Podle mě to bridge tam nemá co dělat....a v tom bude ten zádrhel asi...

30.10.2020 18:39 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

A ještě asi bude chtít nastavit na bridge položku arp na proxi-arp na těch mikroticich.

30.10.2020 20:16 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Jenže ten klient s bridgem je ten co jde pingnout... Kde tohle nastavim? V tabulce bridge tohle není. Na bridge proxy-arp nastaveno mám.

30.10.2020 22:09 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Skoukni profily těch spojení na serveru "/ppp profile" taky by se mělo nastavit aby se přidaly do LAN při navázání spojení.... "interface-list=LAN"

30.10.2020 22:17 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

PS. Samozřejmě i na klientech a co máš u uživatelů za profil....tam někde bude rozdíl.

31.10.2020 02:06 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Na klientech se používá profil default-ecryption a nastavený jsou stejně. Na serveru je pouze jeden profil. Zkoušel jsem i totožný Secret. Klienti neměli vůbec založený interface list, tak jsem jej založil a přidal do FW - povolit vše. Už zmizel i ten bridge z rout, ale stále se to chová stejně - MK se do sítě dostane, PC již ne.

V tools ping jsem nastavil cíl v síti A a jako zdrojovou IP jsem dal 10.20.10.254 - VPN serveru a ping prošel. Poté jsem zdroj nastavil na IP 10.20.10.1 a ping neprošel. Síť C odpověděla na obě adresy normálně. Koukl jsem do adresace, nevím zda je to takto správně.

[admin@pobB] > ip address print detail
Flags: X - disabled, I - invalid, D - dynamic
 0   address=10.110.102.9/24 network=10.110.102.0 interface=ether1 actual-interface=ether1
 1   address=10.20.10.1/24 network=10.20.10.0 interface=bridge actual-interface=bridge
 2 D address=10.20.10.254/32 network=10.20.10.201 interface=<l2tp-l2tp_link_pobA> actual-interface=<l2tp-l2tp_link_pobA>
 3 D address=10.20.10.254/32 network=10.20.10.203 interface=<l2tp-l2tp_link_pobC> actual-interface=<l2tp-l2tp_link_pobC>

31.10.2020 07:19 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Naserveru by to mělo být OK a máš správně nastavené routy na klientech?

Prostě ping ze serveru na mikrotik projde a na PC za mikrotikem neprojde protože tam sice dorazí, ale neví jak zpátky?

Jakou IP máš na konci těch tunelů na klientech je z rozsahu těch klientů....

Je tam taky správná routa spátky na ten server?

Pokud to chápu správně jeden spoj funguje a druhý ne?

Prostě chce aby na to mrknul někdo kdo tomu pořádně rozumí, já používám mikrotik chvíli takže to tak dopodrobna neznám.

Třeba teď jsem dva dny bojoval s nastavením QoS na DSL lince abych neucpal pomalý upload....protože mi ho rsync ucpe a pak nefunguje nic jiného....

1.11.2020 12:40 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tak se mi to podařilo zprovoznit. První zádrhel byl v nastavení rout na serveru do ostatních sítí. Když jsem tam za cíl dal pouze interface tak se po restartu VPN stal nedostupný. Pak stačilo jen server i klient restartovat ale než jsem na to přišel...

1.11.2020 12:43 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tak nyní mám komplet propojené všechny 3 lokace, jede to za použití stejného šifrování o trochu rychleji než OpenVPN. Ping mezi klienty A - C trvá cca 80 ms, všechny 3 lokace mají bezdrát na straně ISP, nevím zda je to hodně nebo málo. Jsou funkční i různé programy tahající data ze sítě, prakticky nepoznám, že jsou sítě propojené. V souvislosti s tím mi napadlo nekolik otázek:

1: Je možné nějak donutit OpenVPN aby přenášel krom TCP/UDP i další protokoly požívané v sítích? Přechodem na L2TP se mi kompletně rozběhlo sdílení souborů v sítích bez jakýchkoliv problémů.

2: Když provádím ping do druhé sítě a restartuje se připojení, začne ho směrovač pouštět na default GW a trvá to i po obnovení spojení dokud to na chvíli nepřeruším. Nevím zda to může něčemu vadit, ale v monitoringu to je nepříjemné. Lze to odstranit?

3: Kvůli rychlosti bych zkusil propojit sítě bez šifrování, je ale pak nějak možné aby se externí zařízení k síti připojily na tentýž server přes šifrované spojení a také přes L2TP?

4: Plánuji přesun serveru na VPSku na ubuntu server, přes jakou aplikaci se to dá pohodlně řešit? Ideálně kdyby alespoň monitoring měl podporu na webminu.

5: V případě, že nedonutím OpenVPN pro klienty přenášet komplet všechny protokoly, jakého klienta pro W7 by jste mi doporučili?

1.11.2020 17:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Je možné nějak donutit OpenVPN aby přenášel krom TCP/UDP i další protokoly požívané v sítích?

Uff, snad jo? Přes ten tun by doufám mělo projít jakékoli IP. Jako minimálně ICMP zjevně chodí :-)

. Ale jaké protokoly to jsou? Já kromě IPv6 tunelů nic neznám, sdílení souborů jede přes TCP (Samba, NFS, NBD…) nebo UDP (torrent).

Když provádím ping do druhé sítě a restartuje se připojení, začne ho směrovač pouštět na default GW a trvá to i po obnovení spojení dokud to na chvíli nepřeruším. Nevím zda to může něčemu vadit, ale v monitoringu to je nepříjemné. Lze to odstranit?

Přidat si routu nebo pravidlo firewallu, které to pošlou do nikam?

1.11.2020 22:23 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

1.) Netuším OpenVPN nepoužívám a údajně na mikrotiku je to právě osekané.

2.) Netuším mám propojené pouze dva mikrotiky, ale zkus se kouknout do firewallu a zkusit zakázat fasttrack zda to nedělá on že si pamatuje kam posílat pakety...

3.) Podle mě si tím nepomůžeš, možná výkonnější HW s HW šifrováním.

4.) webmin nepoužívám takže neporadím.

5.) Taktéž netušim windows nepoužívám.

5.11.2020 19:08 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

A s jakým VPN serverem máš nejlepší zkušenosti, co běží na L2TP? Chtěl bych něco lehce konfigurovatelnýho, ale aby to splnilo i postupně náročnější požadavky ale maximálně tak do 10 tunelů.

5.11.2020 20:56 j
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

1) proleze ti cokoli na IP, vpnce je to ukradeny.

2) nastav si firewall, ten nat si drzi session, takze dokud ty pakety povazuje za jednu sesnu, tak je bude routovat porad stejne, kdyz ve firevalu (a to bys mel vzdy) odstrelis posilani danyho rozsahu do netu, tak se ti to dit nebude (dej si tam nejakej reject, at to netrva dlouho).

3) jasne ze to mozny je, ale je to faaakt hodne blbej napad. Navic pokud jde o firemni site, porusujes tim hned nekolik zakonu.

---

Dete s tim guuglem dopice!

5.11.2020 19:30 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Ještě jedna technická otázka, jakým způsobem udělat tunel pro přenos dvou různých, oddělených, sítí? Šlo by to pomocí VLAN? Nebo je lepší udělat druhý identický tunel? Jak to pak řešit na straně serveru aby věděl jak přidělit připojení do správné sítě? Potřebuji druhou síť kvůli managementu a pouze jen na jednu pobočku.

5.11.2020 21:06 j
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Hele, ty to fakt nekomu adminujes? Nebo si jen doma hrajes? Vis ze za tohle muzes klidne skoncit v base? Mas totiz naprosto zasadni neznalosti. A je dokonce uplne jedno, jestli si to delas ve vlastni firme.

vlana je l2, zatimco IP je l3, takze na l3 coz je i ta vpnka tezko protlacis l2. Ale urcite na to existuje nejakej zhuverilej system markovani paketu, kterej rozbije 158 jinych veci.

Tunelu si muzes otevrit kolik chces, ale nedava to zadnej zasadni smysl. Protoze uplne stejne muzes v jednom tunelu prenaset 150 rozsahu. Oddeleni siti se resi na routeru za pomoci firewallu.

---

Dete s tim guuglem dopice!

5.11.2020 21:58 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Potřebuji kvůli práci a zálohování mít přístup na domácí NAS odkudkoliv a zároveň mám pod sebou připojené 4 chataře přes léto a víkendy. Ty se však z jistých důvodů potřebují taky dostat na NAS, ale ten je v jiné lokaci, takže tunel. Do firmy se připojuji přes šifrované RDP, takže tam bezpečnost neřeším. Komunikace s NAS probíhá přes HTTPS, takže tam taky může být nezabezpečený tunel i když to není mým cílem.

Takže řešením by bylo na tunel dát síť 192.168.1.0/23 a na firewallu to pak rozdělit na sítě 192.168.1.0/24 a 192.168.2.0/24?

6.11.2020 09:00 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

V tom případě by bylo dobré si uvědomit, že pokud nemáš správně nastavený firewall, tak jakýkoliv ten chatař se může dostat do sítě té firmy a té by se to nemělo líbit, že tam někdo takhle leze.

6.11.2020 09:49 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Jak by se tam dostal? Odposlechl by šifrované spojení RDP? To klidně může, ale úplně stejně tak to může odposlouchávat na straně ISP - lokace je připojená přes wifi. O bezpečnosti RDP se tu bavit klidně můžem, ale tohle je čistě věc firmy a z mé strany neovlivnitelné.

Spíše se mohou ty chataří dostat do lokální sítě, to je to co tu teď řeším, jak přes tunel přenést 2 sítě odděleně.

6.11.2020 09:09
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Vzhledem k názvu dotazu, který mě zaujal, se snažím sledovat diskusi, abych se poučil... Zatím měla diskuse 50 příspěvků... Ale pořád jsem se nepoučil...

Do teďka jsem totiž ještě nějak nepochopil schéma, jak to má celé fungovat. Ok, je to moje chyba. Ale na druhou stranu, po takové době, kdy to řešíš a pořád jsi to ještě nevyřešil... Nestálo by za to, nakreslit si to schéma, napsat si požadavky a možnosti? Třeba se to potom vyjasní a povede to k řešení.

14.11.2020 00:02 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Tak jsem začal na VPS používat strongswan jako l2tp server pro MK. Postupoval jsem přesně podle návodu, jen s tím rozdílem, že mám ubuntu 18.04. Obšlehl jsem to stejně i s hesly, jen IP adresu serveru a název rozhraní jsem změnil.

Na MK jsem vytvořil klienta:

/interface l2tp-client
add connect-to=IP_SERVERU disabled=no ipsec-secret=private name=IP_SERVERU password=password use-ipsec=yes user=\
    username

V logu MK je vidět:

23:50:21 l2tp,ppp,info IP_SERVERU: initializing...
23:50:21 l2tp,ppp,info IP_SERVERU: connecting...
23:50:22 ipsec,info initiate new phase 1 (Identity Protection): 10.110.102.9[500]<=>IP_SERVERU[500]
23:50:52 l2tp,ppp,info IP_SERVERU: terminating... - session closed
23:50:52 l2tp,ppp,info IP_SERVERU: disconnected
23:50:52 l2tp,ppp,info IP_SERVERU: initializing...
23:50:52 l2tp,ppp,info IP_SERVERU: connecting...
23:50:54 l2tp,ppp,info IP_SERVERU: terminating...
23:50:54 l2tp,ppp,info IP_SERVERU: disabled
23:50:55 ipsec,info ISAKMP-SA deleted 10.110.102.9[500]-IP_SERVERU[500] spi:cf3d7c46978772e3:0000000000000000 rekey:1

Na serveru to hlásí něco o špatném paketu:

systemctl status xl2tpd.service
● xl2tpd.service - LSB: layer 2 tunelling protocol daemon
   Loaded: loaded (/etc/init.d/xl2tpd; generated)
   Active: active (running) since Fri 2020-11-13 23:35:57 CET; 1min 52s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 800 ExecStart=/etc/init.d/xl2tpd start (code=exited, status=0/SUCCESS)
    Tasks: 1 (limit: 4659)
   CGroup: /system.slice/xl2tpd.service
           └─852 /usr/sbin/xl2tpd

Nov 13 23:36:41 vm27105 xl2tpd[852]: handle_packet: bad control packet!
Nov 13 23:36:48 vm27105 xl2tpd[852]: check_control: Received out of order control packet on tunnel 134 (got 3, expected 1)
Nov 13 23:36:48 vm27105 xl2tpd[852]: handle_packet: bad control packet!
Nov 13 23:36:49 vm27105 xl2tpd[852]: check_control: Received out of order control packet on tunnel -1 (got 1, expected 0)
Nov 13 23:36:49 vm27105 xl2tpd[852]: handle_packet: bad control packet!
Nov 13 23:36:57 vm27105 xl2tpd[852]: check_control: Received out of order control packet on tunnel -1 (got 1, expected 0)
Nov 13 23:36:57 vm27105 xl2tpd[852]: handle_packet: bad control packet!
Nov 13 23:37:04 vm27105 xl2tpd[852]: Maximum retries exceeded for tunnel 8562.  Closing.
Nov 13 23:37:04 vm27105 xl2tpd[852]: Connection 134 closed to MOJE_IP, port 1701 (Timeout)
Nov 13 23:37:35 vm27105 xl2tpd[852]: Unable to deliver closing message for tunnel 8562. Destroying anyway.

Log /var/log/xl2tpns.log jsem nenašel, vadí tomu jiná verze ubuntu?

14.11.2020 10:48 Pavel | skóre: 17
Rozbalit Rozbalit vše Re: Propojení 5 sítí přes VPN

Vyzkoušel jsem ještě jiné nastavení a to se již naváže, ale stejně to na něčem spadne. Dokáže někdo poradit jak to rozchodit?

systemctl status xl2tpd.service
● xl2tpd.service - LSB: layer 2 tunelling protocol daemon
   Loaded: loaded (/etc/init.d/xl2tpd; generated)
   Active: active (running) since Sat 2020-11-14 10:39:04 CET; 4min 33s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 801 ExecStart=/etc/init.d/xl2tpd start (code=exited, status=0/SUCCESS)
    Tasks: 1 (limit: 4659)
   CGroup: /system.slice/xl2tpd.service
           └─882 /usr/sbin/xl2tpd

Nov 14 10:39:03 vm27098 systemd[1]: Starting LSB: layer 2 tunelling protocol daemon...
Nov 14 10:39:04 vm27098 xl2tpd[801]: Starting xl2tpd: xl2tpd.
Nov 14 10:39:04 vm27098 xl2tpd[882]: xl2tpd version xl2tpd-1.3.10 started on vm27098 PID:882
Nov 14 10:39:04 vm27098 systemd[1]: Started LSB: layer 2 tunelling protocol daemon.
Nov 14 10:39:04 vm27098 xl2tpd[882]: Written by Mark Spencer, Copyright (C) 1998, Adtran, Inc.
Nov 14 10:39:04 vm27098 xl2tpd[882]: Forked by Scott Balmos and David Stipp, (C) 2001
Nov 14 10:39:04 vm27098 xl2tpd[882]: Inherited by Jeff McAdams, (C) 2002
Nov 14 10:39:04 vm27098 xl2tpd[882]: Forked again by Xelerance (www.xelerance.com) (C) 2006-2016
Nov 14 10:39:04 vm27098 xl2tpd[882]: Listening on IP address 0.0.0.0, port 1701

10:44:02 l2tp,ppp,info IP_SERVERU: initializing...
10:44:02 l2tp,ppp,info IP_SERVERU: connecting...
10:44:02 ipsec,info initiate new phase 1 (Identity Protection): 10.110.102.9[500]<=>IP_SERVERU[500]
10:44:02 ipsec,info ISAKMP-SA established 10.110.102.9[4500]-IP_SERVERU[4500] spi:7ce63e5c3e0f396b:a550ae124a5069ff
10:44:26 l2tp,ppp,info IP_SERVERU: terminating... - session closed
10:44:26 l2tp,ppp,info IP_SERVERU: disconnected
10:44:26 l2tp,ppp,info IP_SERVERU: initializing...
10:44:26 l2tp,ppp,info IP_SERVERU: connecting...
10:44:26 l2tp,ppp,info IP_SERVERU: terminating... - old tunnel is not closed yet
10:44:26 l2tp,ppp,info IP_SERVERU: disconnected
10:44:26 l2tp,ppp,info IP_SERVERU: initializing...
10:44:26 l2tp,ppp,info IP_SERVERU: connecting...
10:44:34 l2tp,ppp,info IP_SERVERU: terminating...
10:44:34 l2tp,ppp,info IP_SERVERU: disabled
10:44:35 ipsec,info ISAKMP-SA deleted 10.110.102.9[4500]-IP_SERVERU[4500] spi:7ce63e5c3e0f396b:a550ae124a5069ff rekey:1

Založit nové vlákno • Nahoru

Tiskni Sdílej: