Propojení dvou sítí

[rubaspavel]

Zdravím, potřebuji poradit jak propojit dvě sítě. Jedná se o moje soukromé sítě na domácí použití, rychlost připojení od ISP je 30Mbit. Chtěl bych, aby ze sítě 192.168.155.0 jsem se dostal do sítí 10.200.0.0, 10.100.100.0 a 10.100.200.0 a naopak. Default routa bude vždy do sítě příslušného ISP. Pouze síť 10.100.100.0 bude přistupovat do internetu přes ISP1 a nesmí mít přístup do žádné jiné sítě - síť pro hosty. Sítě jsem propojil přes OpenVPN, asi dokáži nakonfigurovat router u ISP2 aby měl dvojí routování v závislosti na síti, ale jak nastavit router u ISP1? Napadaj mi dvě možnosti: a) použít dva linky OpenVPN. Jeden na propojení sítí a druhý na routování sítě 10.100.100.0. b) požít jeden link, za předpokladu, že nebude možné přistoupit ze sítě ISP2 do sítě ISP1.

Na VPN server se budou ještě přihlašovat 2 klienti pro administraci obou sítí. Více snad napoví schéma.


Poznámka: ty 3 AP RB433 jsou součástí routeru.

[rubaspavel]

Tak jsem začal stavět na této topologii. Internet v obou sítích funguje, pro síť 10.100.200.0 jsem přidal src-nat na VPN a nastavil defaultní routu:

Kód: Vybrat vše

/ip route export
add comment="VPN route" distance=1 gateway=192.168.155.1    routing-mark=vpn_isp
add comment="Default route" distance=1 gateway=192.168.143.161
/ip route rule
add src-address=10.100.200.0/24 table=vpn_isp
add routing-mark=vpn_isp table=vpn_isp

Tím jsem připojil síť k ISP1.

Dále jsem chtěl získat přístup ze sítě 192.168.155.0 do sítí od ISP2. Přidal jsem tedy routu v síti 192.168.155.0

Kód: Vybrat vše

add distance=1 dst-address=10.200.0.0/16 gateway=192.168.155.210
add distance=1 dst-address=10.100.100.0/24 gateway=192.168.155.210
add distance=1 dst-address=10.100.200.0/24 gateway=192.168.155.210

To stačilo k tomu, abych se dostal do sítě 10.200.0.0. Už se ale nedostanu do sítě 10.100.100.0 ani 10.100.200.0. Obě sítě jsou připojené přes wifi. Ping z vlastní sítě projde, pokud udělám traceroute z druhé sítě dostanu:

Kód: Vybrat vše

Výpis trasy k 10.100.200.4 s nejvýše 30 směrováními
  1    < 1 ms    < 1 ms    < 1 ms  192.168.155.1
  2    23 ms   106 ms    46 ms  192.168.155.210
  3     *        *        *     Vypršel časový limit žádosti.
  4     *        *        *     Vypršel časový limit žádosti.

Zkoušel jsem nastavit FW, který mám jinak prázdný

Kód: Vybrat vše

add action=accept chain=forward in-interface=client_vpn out-interface=bHotspot_2G
add action=accept chain=forward in-interface=bHotspot_2G out-interface=client_vpn

případně i netmap:

Kód: Vybrat vše

add action=netmap chain=dstnat src-address=192.168.155.0/24 to-addresses=10.100.200.0/24
add action=netmap chain=dstnat src-address=10.100.200.0/24 to-addresses=192.168.155.0/24

Ale obojí bez úspěchu.
Routovací tabulka má dynamické záznamy, zkoušel jsem i statický ale bez úspěchu

Kód: Vybrat vše

add distance=1 dst-address=10.100.200.0/24 gateway=bHotspot_2G pref-src=10.100.200.2

Jak mám obejít NAT?

[Dacesilian]

Otázka je, zda tam ten NAT vůbec musí být. Já mám přes OpenVPN spojených několik různých sítí a stačí jen nastavit routování a povolit forward, pak to funguje. Ale třeba někdo zkušenější z toho pozná, kde máte chybu.

[rubaspavel]

NAT je zapotřebí řešit jen proti sítím 10.120.105.7/24 a 192.168.13.14/24, jináč se to snažím udělat bez něj. Pravda, ještě mám další nat ze sítě 10.100.100.0/24 do sítě 192.168.155.0/24, ale to jen kvůli snažšímu přepínání poskytovatele ISP1 či ISP 2.

[Dacesilian]

Říkám si, že když máte všude samostatné rozsahy, tak NAT nepotřebujete - tedy bych ho nastavil jen vůči ISP. Uvnitř své sítě (obou sítí) bych NAT neměl, protože to bude vždy vědět, kam směrovat. Také nevím, proč máte u ISP1 IP adresu routeru z jiného rozsahu.

[rubaspavel]

Špatné rozsahy tam vznikli když jsem upravoval originální schéma, takže u ISP1 i ISP2 vznikli blbě adresace, nicméně to narozdíl od zbytku funguje. Mezi vlastními sítěmi NAT nemám, ani jej nechci. Teď už mi to konečně začíná nějak poslouchat, upravuji to na funkční síti, tak to jde pomálu. Musel jsem ale zrušit připojení sítě 10.100.200.0 do internetu přes VPN. Oba routery jsou RB433. ISP2 poskytuje přojení 20/5Mbit, ISP1 30/30Mbit. Když jsem zkoušel měření rychlosti přes VPN tak jsem se nedostal nad 3/3Mbit s využitím CPU 70% na MK právě pro VPN. Přímou cestou k ISP2 to bylo 18/4Mbit. Četl jsem, že OpenVPN hodně zatěžuje CPU, jak to zlepšit? Pomůže změna VPN? Mám vyhlídnuté RB433AH, případně 435G. Ten rozdíl 300 vs 680Mhz by znát měl být, případně můžete doporučit něco co to bez problémů utáhne?

[Myghael]

Potřebuješ v tom routeru mít bezdrátovou kartu? Pokud ne, tak si místo té RB433 pořiď RB750r2 (hEX lite). Pořídíš ho fungl nový s dvouletou zárukou za <1000 Kč a výkonu bude mít více, než kterékoliv RB4xx, ať už to bude RB433UAH, RB450G nebo cokoliv. Pokud stačí tři ethernety a potřebuješ bezdrát, kup RBM33G (aktuální nástupce RB433/RB433AH a podobně - cca. 1100 Kč za nový kus) a k tomu R11e (B/G/N a/nebo A/N a/nebo A/N/AC) podle potřeby. Jsou-li ta AP jen jako AP a stačí jeden ethernet, pak můžeš něco ušetřit pořízením RBM11G (nástupce RB411 a podobných - jen jeden ethernet místo tří, jen jeden slot na kartu místo tří, jinak identický board)

[rubaspavel]

Bezdrát potřebuji minimálně v jednom. Na strane VPN clienta mám 3 karty a na straně VPN serveru mám 1 kartu pro domácí AP. Uvažuji jestli místo RB433 nedám RB750Gr3 s gigovým portem a poté nějaké AP, byť třeba i tu RB433. NA druhou stranu bych RBM33G dával velice nerad, z důvodu investice do karet. RB433 má miniPCI a aktuálně používám R52HnD. Třeba je čas na upgrade...

[Myghael]

V tom případě bude hEX (RB750Gr3) jistě vhodnou volbou, na prosté AP má RB433 výkonu dost. Pokud ne, dá se za RBM11G / RBM33G + nové karty vyměnit i později. A pokud je tomu situace nakloněna, můžeš trochu připlatit na hEX PoE a ušetřit více napájecích zdrojů (napájet wifinu můžeš z toho hEXu).

[rubaspavel]

Tak hardware mám vyřešený, ale stále se nedokáži dostat ze sítě 192.168.155.0/24 do sítě 10.100.200.0/24 kvůli managementu. Je to přes NAT, takže to je jednoduché proč, ale spíš jak to zařídit topologií? Zatím mám 2 nápady:
1) Celou síť 10.100.200.0 protáhnout skrz VPN a udělat NAT až v VPN serveru.
2) Přidat druhý VPN spoj pro management a současný nechat pro internet. Asi rozumější volba. Ale to pak mam mít dva paralelní VPN spoje?

Nešlo by to řešit nějak elegantněji?

[rsaf]

Buďto jsem něco nepochopil nebo něco přehlížím, ale prostě tam nevidím žádnou komplikaci.
Když si odmyslíš tu VPN tak sítě samostatně fungují? Pak se mezi nimi udělá VPN na nějakých spojovacích adresách a na routerech na obou stranách se udělají statické routy na sousední sítě. Kde je problém?

[rubaspavel]

Koukni na to schéma sítě. Internet funguje jak má, Síť 10.100.200.0/24 je připojena k internetu přes ISP1 a tedy VPN tunelem. Prochází to dvojím NATem jak na straně VPN clienta, tak na VPN serveru. Potřebuji mít ale z admin PC, respektivé celé sítě 192.168.155.0/24 mít přístup všude, bez používání dstnat. To znamená, že u VPN clienta mám nastavený forvard na sítě 10.200.0.0/16, 10.100.100.0/24 a 10.100.200.0/24. Jelikož ale ta poslední je NATována, není možné se do ní dostat. Ostatní jsou bez problému. Takže stále řešení problému mi vede na použití dvou sítí přes VPN. Jedna funkční pro připojení k ISP1 a druhá administrátorská.

[Dacesilian]

Zeptám se znovu - proč máte NAT jinde než jen na výstupech do internetu?

[rubaspavel]

Možná mi to konečně trklo. Zbavit se NATu mezi sítěmi 10.100.200.0 a 192.168.155.0 tak, že všichní klienti v této síti budou mít výchozí bránu ne 10.100.200.1 ale 19.168.155.1 - tedy adresu VPN serveru. To by mohlo fungovat.

[rsaf]

Proč 10.100.200.0/24 jede do internetu přes ISP1 a VPN? Jaký to má smysl? Proč jsou tam "směrem k ISP" vždy tři nějaké rozsahy?