Propojení dvou sítí

[rsaf]

Kristova noho, všichni klienti musí mít bránu ze svého rozsahu, takže polopatě:
- na tom čemu říkáš VPN server bude MASQUERADE na rozhraní směrem k ISP1, žádný jiný NAT
- na tom čemu říkáš VPN client bude MASQUERADE na rozhraní směrem k ISP2, žádný jiný NAT
- Nastavení VPN serveru necháš jak je, bude sloužit ale jen pro toho mobilního klienta přes ISP3
- Mezi oběma routery uděláš ještě jednu novou VPNku kde ten levý budem mít třeba adresu 10.255.255.1 a pravý 10.255.255.2
- Na levém routeru uděláš routy na sítě 10.100.0.0/16 a 10.200.0.0/16 s gw 10.255.255.2
- Na pravém routeru uděláš routy na síť 192.168.155.0/24 s gw 10.255.255.1
Samozřejmě pak ještě doděláš patřičný firewall na zaříznutí té veřejné sítě, na zabezpečení těch mikrotiků...

[rubaspavel]

Odpověď pro oba příspěvky:
Tři rozsahy jsou z důvodu bezpečnosti a hlavně přehlednosti. Teoreticky bych tam mohl nechat síť 10.0.0.0/8 a vše řešit FW ale jaksi je mi to proti srsti.
Podstatným požadavkem, je mít síť 10.100.200.0/24 a časem i 10.100.100.0/24 připojeného přes ISP1. Má to svoje důvody, nechtěl bych je rozebírat. Admin PC připojený přes VPN bude mít taky přístup přes ISP1.
Udělat separátní VPN mezi routery mohu, přijde mi to tak i lepší. Vytvoření rout na obou stranách mi je taky jasné. Pak určitě pujde z levé sítě se dostat do pravé a naopak, jak ale pak dostat internet přes VPN bez použití NATu?

[Dacesilian]

jak ale pak dostat internet přes VPN bez použití NATu?

Však se to bude NATovat při výstupu do internetu a může tomu být jedno, zda to jde "z lokální sítě" nebo z druhé sítě přes VPN, ne?

[rubaspavel]

Na tom levém routeru ano, ale jak nastavit ten pravý? To nechám jen defaultní routu na 192.168.155.1 pro síť 10.100.200.0/24 a o zbytek se postará forwarding? Defakto nechám to tak jak to mám teď a jen prostě vypnu maškarádu?

[ludvik]

Deset megabit download klienta z 10.100.100.0 udělá: 10 down ISP1, 10 up ISP1, 10 down ISP2. Aneb jak si efektivně ztrojnásobit datové toky ... jako kdybys toho ISP2 vlastně vůbec neměl. Vyhozené peníze.

Ale abych i poradil. Tvůj problém se jmenuje Policy based routing. Příklad je třeba zde: https://swkls.org/mikrotik-policy-based-routing/
Čili na pravém routeru nastavíš, aby vše src 10.100.100.0 mělo gateway konec toho tunelu.
SRC-NAT jsou pak jen dva - přes WAN z obou routerů jako vždy.
A oba routery musí být v routovací tabulce záznamy sítí z toho druhého. Viz kolega rsaf.

[rsaf]

Tři rozsahy jsou z důvodu bezpečnosti a hlavně přehlednosti. Teoreticky bych tam mohl nechat síť 10.0.0.0/8 a vše řešit FW ale jaksi je mi to proti srsti.

To mi teda vysvětli jak tři rozsahy přispívají k bezpečnosti (a už vůbec nerozumím, jak to zpřehledňují). I u sítí je dobré se držet principu KISS https://en.wikipedia.org/wiki/KISS_principle
Pokud je to na domácí soukromé použití tak vymýšlíš zbytečné hovadiny. Pokud je to někde ve firmě tak je 90% toho tvého výtvoru blbě a měli by tě vykopnout do co největší vzdálenosti.

Jinak jak říká ludvik - policy routing.

[Myghael]

Tak tak, zbytečně to komplikovat nemá cenu. Mít více sítí v každé lokalitě ok (třeba firemní + wifina pro zákazníky) je v pohodě, u všech by mělo platit, že pakety do sítě jiné lokality jsou přes příslušnou VPN nebo kudy vede cesta, pakety ven (mimo firmu) prostě přes místní internetovou přípojku. To je přehledné. Co kam může a nemůže, na to je tu přece firewall, tak ho k*rva použij. Dnes máme address a interface listy, takže udržet v tom přehled u takovéto sítě fakt nemůže být problém. Nedáváš náhodou na tu wifinu každý den jiné heslo, 63 znaků (maximum WPA/WPA2) co největší zmatlanina?

[rubaspavel]

Ale abych i poradil. Tvůj problém se jmenuje Policy based routing. Příklad je třeba zde: https://swkls.org/mikrotik-policy-based-routing/
Čili na pravém routeru nastavíš, aby vše src 10.100.100.0 mělo gateway konec toho tunelu.
SRC-NAT jsou pak jen dva - přes WAN z obou routerů jako vždy.

V tom příkladu jsou vlastně dva příklady, předpokládám, že na mě se vztahuje ten druhý příklad. Tam je jen označení packetů a nastavení defaultní routy. To již mám:

Kód: Vybrat vše

/ip route export
add comment="VPN route" distance=1 gateway=192.168.155.1 dst-address=0.0.0.0/0 routing-mark=vpn_isp
add comment="Default route" distance=1 gateway=192.168.143.161  dst-address=0.0.0.0/0
/ip route rulea
dd src-address=10.100.200.0/24 table=vpn_isp
add routing-mark=vpn_isp table=vpn_isp

akorát že packety označuji v pravidlech routování, nikoli ve FW. Jenže tam mám navíc ještě i maškarádu, takže jí jen odstraním a mám to?

To mi teda vysvětli jak tři rozsahy přispívají k bezpečnosti (a už vůbec nerozumím, jak to zpřehledňují).

Jak rozlišit síť pro 5 PC, 20x IoT ; několik zařízení pro návštěvy, které by neměli mít přístup do vnitřní sítě až na nějaké vyjímky a poté pro cizí lidi, kteří jen potřebují na chvíli internet, takový malý hotspot. Teď to mám rozlišené na 3 sítě a tu 10.200.0.0 mám rozlišenou na zařízení IoT, servery, pc připojené kabelem, bezdrátem, pracovní zařízení, dočasní hosté.. Ano, vím že je to přehnané, lze to udělat velmi jednoduše za použití 1 routeru TP-LINK, switche a několika AP na síti 192.168.1.0/24 ale to zvládne každý a nikdy bych se nanaučil to, co teď dělám. Ale když mi poradíš jinou topologii, určitě ji nebudu ignorovat.

Deset megabit download klienta z 10.100.100.0 udělá: 10 down ISP1, 10 up ISP1, 10 down ISP2. Aneb jak si efektivně ztrojnásobit datové toky ... jako kdybys toho ISP2 vlastně vůbec neměl. Vyhozené peníze.

Kdyby to šlo řešit bez ISP2, tak mi to vůbec nevadí, ale dělat vlastní spoj na 50Km mi přijde cenově náročnější. A dvojnásobné datové toky u ISP1 mi opravdu netrápí

201833114106.png (15.17 KiB) Zobrazeno 4520 x

[ludvik]

Nemám nic proti tomu, že máš mezi lokalitami VPNku. Ale ta by se (v ideálním případě) měla týkat jen lokálního provozu. Tam to smysl tak nějak dává.

[rsaf]

Nemám nic proti více sítím na LAN straně, jen by to podle mě měly být vlany na switchi (je to flexibilnější, neplevelí se tolik konfigurace routeru různým nastavením mnoha interface), do APček by spíše opět měly vést VLANy a mít nastaveno vice SSID - bude lepší pokrytí...

Já se ptal na ty adresy směrem k ISP1 kde je z nějakého důvodu 10.110.102.0/24, 10.110.102.1, 10.120.105.7 a podobný chaos je u ISP2. To nějak nechápu jak vůbec může fungovat.

[rubaspavel]

No důvodů může být několik, třeba zvídavý admin ISP, facebook který pozná kde se nacházíte nebo klidně i manželka ).

[rubaspavel]

Nemám nic proti více sítím na LAN straně, jen by to podle mě měly být vlany na switchi (je to flexibilnější, neplevelí se tolik konfigurace routeru různým nastavením mnoha interface), do APček by spíše opět měly vést VLANy a mít nastaveno vice SSID - bude lepší pokrytí...

Já se ptal na ty adresy směrem k ISP1 kde je z nějakého důvodu 10.110.102.0/24, 10.110.102.1, 10.120.105.7 a podobný chaos je u ISP2. To nějak nechápu jak vůbec může fungovat.

Ano ty sítě mám přes VLANy, jinak by v tom byl chaos. To jsem však neuváděl, ke způsobu propojení sítí to nemá vliv. Ty adresy u ISP jsou pomatené, uváděl jsem to někde výše v příspěvku. Mám schéma pro svoji potřebu a trochu jsem jej poupravil zde pro publikaci, avšak ne úplně správně

[rubaspavel]

Tvůj problém se jmenuje Policy based routing. Příklad je třeba zde: https://swkls.org/mikrotik-policy-based-routing/
Čili na pravém routeru nastavíš, aby vše src 10.100.100.0 mělo gateway konec toho tunelu.
SRC-NAT jsou pak jen dva - přes WAN z obou routerů jako vždy.
A oba routery musí být v routovací tabulce záznamy sítí z toho druhého. Viz kolega rsaf.

Tak mám opět pokračování stejného problému na pravém routeru. Výchozí stav je čistý FW i routovací tabulka. Jako první nastavím routovací tabulku:

Kód: Vybrat vše

/ip route
add check-gateway=ping comment="VPN route" distance=1 gateway=192.168.155.1 routing-mark=vpn_isp
add comment="Default route" distance=1 gateway=192.168.13.11

Poté označím všechny packety jdoucí z rozhraní 10.100.200.0/24

Kód: Vybrat vše

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=vpn_isp passthrough=yes src-address=10.100.200.0/24

Nebo mohu označit všechny packety jdoucí z fyzického rozhraní

Kód: Vybrat vše

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=vpn_isp passthrough=yes in-interface=bHotspot_2G

Výsledek je však stejný. Dokud nepřidám pravidlo maškarády:

Kód: Vybrat vše

/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=client_vpn src-address=10.100.200.0/24

internet prostě nejde vůbec. Po přidání jde přes VPN.

[rsaf]

To firewallové pravidlo nějaká data napočítá? Traceroute končí kde? Jsou na druhé straně nastavené routy pro cestu zpět? Je na druhé straně správně NAT?

[rubaspavel]

Pravidlo pro označování packetů počítá cca 2 za vteřinu. Je tam síť o cca 5 aktivních zařízení, co se chtějí připojit k netu. Traceroute končí na bráně té sítě, tedy 10.100.200.1. Na druhé straně routy jsou nastavené jak pro síť 192.168.155.0/24 tak pro 10.100.200.0/24. Ping z PC v síti 192.168.155.0/24 do sítě 10.100.200.0/24 projde. NAT je nastaven:

Kód: Vybrat vše

add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.155.0/24 to-addresses=0.0.0.0


Ostatní PC ze sítě 192.168.155.0/24 se do internetu normálně dostanou.