•  

    #mikrotik #siecikomputerowe
    Szanowni, potrzebuję pomocy - odpłatnej bądź nie - to już zależy od Was.
    Mam 3 sieci:
    1) 192.168.1.0/24
    2) Z adresacją 10.1.1.0/24
    3) Z adresacją 10.1.1.0/24
    W sieci numer 1 znajduje się mikrotik na którym skonfigurowałem OpenVPN server, przydziela klientom adresy z zakresu 10.0.0.0/24. Mogę się do niego bez problemu podłączyć z zewnątrz telefonem/komputerem/mikrotikami z sieci 2 i 3.
    W sieci 2 i 3 znajdują się serwery, załóżmy że jest to www na porcie 8080. Niestety adresacji w tych sieciach nie mogę zmienić i musi w obu pozostać 10.1.1.0/24. Chciałbym aby komputery z sieci 2 widziały serwer z sieci 3 pod adresem 10.0.0.11:8080, a komputery z sieci 3 widziały serwer z sieci 2 pod adresem 10.0.0.10:8080.
    Obecnie jestem w stanie dostać się do tych zasobów 10.0.0.10:8080 i 10.0.0.11:8080 z telefonu który dostaje adres 10.0.0.3 jednak z wewnątrz sieci 2 i 3 nie mogę dostać się do nich.
    Jakie reguły dodać, na jakim urządzeniu aby opisywana komunikacja z sieci 2 i 3 była możliwa z serwerami pod adresem 10.0.0.10:8080 i 10.0.0.11:8080?

    źródło: Untitled Diagram(1).jpg

    •  

      @snx: w czym się maluje takie obrazki?

    •  

      @jedyny_wolny_login: draw.io
      Chciałbym dodać, że z każdy z mikrotików może się obecnie pingować.

    •  

      @snx: Pingi pomiędzy 10.0.0.1, 10.0.0.10, 10.0.0.11 idą bez problemu.

    •  

      @snx: wydaje mi sie, ze na mikrotikach site2 i 3 brakuje Ci rulki firewall POWYZEJ srcnat, ktora akceptuje ruch do dst puli OpenVPN, czyli 10.0.0.0/24

    •  

      @kthxbye: Dzięki, sprawdzę jutro i zgłoszę się czy pomogło :)

    •  

      Po dodaniu tej reguły odrzuca ruch również z telefonu 10.0.0.3 :(

      źródło: 2018-07-29 13_25_57-admin@10.1.1.1 (MikroTik) - WinBox v6.40.4 on hAP lite (smips).png

    •  

      @kthxbye: Zaktualizowany schemat na którym pokazuję to co mi nie działa i na czym mi zależy.

      źródło: Untitled Diagram3.jpg

    •  

      @snx: i tak to zrozumialem. Ty natomiast nie zrozumiales mnie ;)
      Z tego co widze, zrobiles rulke dstnat. Firewall dziala na zasadzie first match. Chodzi o to, aby zlapac ruch wchodzacy do tunelu openvpn od serwera, zeby nie lapala go rula maskarady :)
      Zatem wydaje mi sie, ze na routerach, za ktorymi sa serwery powinienes dodac rule, gdzie sourcem sa hosty, ktore maja mozliwosc komunikowac sie z tunelem (moze byc cala podsiec LAN 10.1.1.0/24, a destination to 10.0.0.0/24. Action accept, chain to chyba byl forward

    •  

      @snx: bardzo upierdliwie pisze sie na telefonie, wybacz

    •  

      @snx: aaa czekaj, wroc? Z telefonu dziala :)

    •  

      @snx: to te rule dodaj na routerze, gdzie sa komputery, z ktorych chcesz sie dobic. Na testy mozesz dac jako source jeden IP (/32) testowego PC.

      Urlop rozleniwia :)))))))

    •  

      @kthxbye: Tak, z telefonu działa. Nie wiem czy po wprowadzeniu tych zmian nie trzeba wykonywać jakiegoś restartu, czy te reguły, tablice routingu czy jakieś inne cuda się odświeżają odpowiednio szybko. Wprowadziłem taką regułę na routerze w sieci 1 ale nadal nie działa. Jeżeli chciałbyś mogę zorganizować teamviewer oraz możemy uzgodnić stawkę za rozwiązanie tego problemu.

      źródło: 2018-07-29 14_04_00-Clipboard.png

    •  

      Komentarz usunięty przez autora

    •  

      @snx: rula jest w chain srcnat. Zmien na forward

    •  

      @snx: jak wciaz nie dziala, to pokaz jeszcze routing na routerach site2 i 3

    •  

      @kthxbye: Wygląda to tak jakby te pakiety miały ttl 2 albo coś nie tak było z routingiem... Zrzut z routera 1 w załączniku, za chwilę zrzut z 3 gdyż do tego dzisiaj mam tylko dostęp.

      źródło: 2018-07-29 14_26_17-Clipboard.png

    •  

      @kthxbye: Router 3 który łączy się do konta openvpn z przypisanym adresem 10.0.0.11

      źródło: 2018-07-29 15_34_43-admin@10.1.1.1 (MikroTik) - WinBox v6.40.4 on hAP lite (smips).png

    •  

      @kthxbye: W telefonie wygląda to fajnie ale nie zadowala mnie w pełni ;)

      . . . kliknij, aby rozwinąć obrazek . . .

      źródło: Screenshot_2018-07-29-15-28-39-217_com.server.auditor.ssh.client (2).png

    •  

      @kthxbye: Na mikrotiku 3:

      źródło: 2018-07-29 15_40_13-admin@10.1.1.1 (MikroTik) - WinBox v6.40.4 on hAP lite (smips).png

    •  

      @snx: OK, mam chwilowo laptopa.
      Chyba widzę w czym jest problem.
      1. Wcześniej rulkę założyłeś poprawnie, tj. w chain srcnat. Mój błąd.
      2. Wygląda na to, że masz konflikt adresów IP. Podsieć dostępowa Liveboxa ma adresacje 192.168.1.0/24 - taką sama jak podsieć z PCtami. Oznacza to, że ruch powrotny nigdy nie trafi do PCtów, jeżeli ruch od nich dociera do serwera z ich oryginalnym IP (przez tunel OpenVPN). Aby rozwiązać ten problem, przychodza mi do głowy poniższe rozwiązania:
      A. Jeżeli to mozliwe, readresacja podsieci dostępowej Liveboxów na inną, nie pokrywającaą się w sieci, np. 192.168.255.0/24. Następnie dodanie routingu na routerach site2 i 3: 192.168.1.0/24 via 10.0.0.X (adres OpenVPN site1, który jest rozumiem bramą).
      B. SRCNATowanie ruchu pomiędzy PCtami, a 10.0.0.10/31 na routerze site1. (moim zdaniem niepotrzebna komplikacja konfiguracji, preferowałbym osobiście opcję A.)
      C. Readresacja podsieci z PCtami ( ͡° ͜ʖ ͡°)

    •  

      @kthxbye: Opcją numer 1 rozwiązała problem! W site 3 zmieniłem adresację na 192.168.2.0/24 i dodałem regułę:
      Dst Address: 192.168.1.0/24
      Gateway: 10.0.0.1
      Teraz zrodziło mi się w głowie pytanie -
      site 2 i 3 mają serwery z adresami 10.1.1.200 i czy będą one w stanie się zobaczyć? Widzę problem w tym jaki dst.addr. musiałbym podać w routingu.

    •  

      @snx: musialbys zastosowac NAT dla komunikacji miedzy tymi serwerami

    •  

      @kthxbye: Nie wystarczy to że są w innych podsieciach i mogą być dostępne dla siebie na wzajem pod różnymi adresami z puli openvpn tj. 10.0.0.10:8000 i 10.0.0.11:8000?
      Chcialbym odwdzięczyć się chociaż trochę za poświęcony czas, wolisz PayPal czy przelew Blik na numer telefonu?

    •  

      @snx: dstnat na adresach openvpna bedzie wystarczajacy. Komunikacja bezposrednia jest co do zasady niemozliwa bez jakichs tuneli z powodu konfilktu adresacji.

      Dzieki Mireczku za propozycje, ale nie trzeba :) cieszę się, że udało się pomóc w wolnej chwili podczas wracania z urlopu ;)

    •  

      @kthxbye: Gdybyś mi mógł w prosty sposób podpowiedzieć co do tej konfiguracji dorzucić bardzo by mi pomogło.
      Jeszcze jednym tematem jest to, że tych Liveboxów z chęcią bym się pozbył i ruch z podsieciach tworzona przez nie jest mi do niczego nie potrzebny więc czy nie ma innej opcji aby odciąć się od niej i nie zmieniać ich konfiguracji tak jak to zrobiłem teraz?

    •  

      @snx: Żeby serwery mogły ze sobą gadać? Dodaj sobie dstnat na kolejne porty w taki sam sposób, w jaki dodałeś 8080. Adresy w podsieci 10.0.0.0/24 (OpenVPN) nie nakładają się na siebie :)

      A co do pozbycia się Liveboxów - musiałbyś sobie 'przekonwertować' sygnał ADSL czy tam VDSL na skrętke i na mikrotiku realizować uwierzytelnienie.
      Przychodza mi na myśl dwie opcje:
      1. Livebox w tryb bridge (o ile można) i PPP(oE?) z Mikrotika.
      2. Jeżeli nie można z Liveboxa zrobić bridge - pozostaje dedykowany konwerter. Pytanie czy warto :)

      Lektura google powinna conieco rozjaśnić: "adsl bridge pppoe mikrotik"

      Z góry jednak uprzedzam, że nigdy nie robiłem takich manewrów na MT i nie wiem czy jest to kompatybilne z Twoim dostawcą.

      Ja osobiście dla ADSLa stosuję pudła Cisco z odpowiednimi interfejsami i wywalam urzadzenia operatora :-)