Osiągnięcie sieci za tunelem vpn i routerem.

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
umbro
wannabe
wannabe
Posty: 321
Rejestracja: 07 mar 2009, 21:20

Osiągnięcie sieci za tunelem vpn i routerem.

#1

#1 Post autor: umbro »

Hej Forumowicze,
Chciałbym się was poradzić w następującej kwestii.
Mam zestawiony tunel vpn do nie swojej sieci, w której mam umieszczony swój router.
Aktualnie poszukuje sposobu , aby móc dostawać się do adresu IP i portu za routerem w sieci 10.15.3.65/26.

Próbowałem to robić poprzez przekierowanie portu , jednak niestety wygląda na to, że tunel tego nie toleruje lub coś brakuje w routingu.
Przekierowany port to 172.28.31.200:40001 -> 10.15.6.91:80

Zastanawiam się czy skoro przekierownaie portów odpada to czy jest jakaś inne możliwość, np zestawienie jakiegoś dodatkowego tunelu z routerem 172.28.31.200.

Co sądzicie ?

MojeCISCO----VPN Site to site IPSEC---- (część sieci za którą nie odpowiadam) Routery, być może wiele---- Mój router 172.28.31.200 - mój lan 10.15.3.65/26
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#2

#2 Post autor: frontier »

Jak dla mnie coś z NATem na tym routerze, ewentualnie z routingiem do Twojej sieci.
Jeden konfig wart więcej niż tysiąc słów

Awatar użytkownika
umbro
wannabe
wannabe
Posty: 321
Rejestracja: 07 mar 2009, 21:20

#3

#3 Post autor: umbro »

frontier pisze:Jak dla mnie coś z NATem na tym routerze, ewentualnie z routingiem do Twojej sieci.
Przekierowanie portu na tym routerze(172.28.31.200) działa na bank, z tego samego segmentu sieci testowane i działa. Gorzej jest, gdy zapytanie o ten port przychodzi z tunelu, wtedy to nie działa.
Też obstawiam, że to chodzi o brak routingu lub (tego nie jestem pewien) adres źródłowy pakietu, który idzie z powrotem jest z sieci 10.15.3.65/26 i wtedy tunel w ogole go nie chce łapac.
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#4

#4 Post autor: dawid.mitura »

Mogą to też być jakieś ACLki na urządzeniach przed Twoim routerem. Często spotykam się z tym u jednego klienta, który między moimi urządzeniami wpakował jakieś pudło, z którego steruje ruchem. Jak nie routing, tak zabezpieczenia.

A mógłbyś skonfigurować nowy tunel między swoimi urządzeniami?

Awatar użytkownika
umbro
wannabe
wannabe
Posty: 321
Rejestracja: 07 mar 2009, 21:20

#5

#5 Post autor: umbro »

dawid.mitura pisze:Mogą to też być jakieś ACLki na urządzeniach przed Twoim routerem. Często spotykam się z tym u jednego klienta, który między moimi urządzeniami wpakował jakieś pudło, z którego steruje ruchem. Jak nie routing, tak zabezpieczenia.

A mógłbyś skonfigurować nowy tunel między swoimi urządzeniami?
No wiem o czym mówisz bo tutaj tez mam sytuacje, że częścią sieci nie adminuje ja. Nie wiem zielonego pojęcia co jest po ich stornie.

Powiem szczerze, że próbowałem ustawić serwer pptp na routerze 172.28.31.200 i niestety nie łącze się do niego. Pewnie jakieś ograniczenia tunelu wchodzą w grę.
Zastanawiam się czy tunel w tunelu zadziała. Ewentualnie samo ppp skonfigurować na tym routerze .200 mógłbym spróbować zrobić.
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#6

#6 Post autor: dawid.mitura »

Mam na myśli np VPN RA IPsec z wykorzystaniem NAT-Traversal (UDP 4500). Jedyne co oni muszą zrobić, to udostępnić ruch między Twoim routerem w ich sieci (UDP 4500, ESP 50, UDP 500), a Twoim routerem, na który będziesz się łączyć. Nie będziesz musiał się wtedy prosić o żadne przekierowania, udostępniania itp. ponieważ tunel miałbyś między swoimi routerami.

Awatar użytkownika
umbro
wannabe
wannabe
Posty: 321
Rejestracja: 07 mar 2009, 21:20

#7

#7 Post autor: umbro »

dawid.mitura pisze:Mam na myśli np VPN RA IPsec z wykorzystaniem NAT-Traversal (UDP 4500). Jedyne co oni muszą zrobić, to udostępnić ruch między Twoim routerem w ich sieci (UDP 4500, ESP 50, UDP 500), a Twoim routerem, na który będziesz się łączyć. Nie będziesz musiał się wtedy prosić o żadne przekierowania, udostępniania itp. ponieważ tunel miałbyś między swoimi routerami.
Zależało mi na przekierowaniu portów ponieważ właśnie się dowiedziałem, że mamy więcej routerów wewnątrz ich sieci i co gorsza za każdym razem nasze routery posiadają tą samą sieć lan :/ Dlatego faktycznie Twoje rozwiązanie może działać ale niestety jak przyjdzie do połączenia większej liczby tuneli to niestety vpn mi zeświruje i nie będzie wiedział za którym tunelem ma którą sieć, ponieważ za każdym moim routerem mam niestety taki sam adres sieci LAN (p.s nie ja to projektowałem ; ) ) W tej sytuacji bardziej jestem za ustawieniem na każdym z routerów wewnątrz ich sieci osobnego servera vpn jak pptp , gdzie osoba chcąca się połączyć z siecią 10.15.3.65/26 odpalałaby na windowsie właściwe połączenie vpn. Póki co nic lepszego mi do głowy nie przychodzi :/

Jakiś pomysł dlaczego nie mogę podłączyć się do servera pptp o adresie 172.28.31.200 ?
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.

dawid.mitura
wannabe
wannabe
Posty: 266
Rejestracja: 03 mar 2008, 12:10

#8

#8 Post autor: dawid.mitura »

Możesz w takim te sieci również dla Tuneli NATować i tworzyć tunele między tymi właśnie NATowanymi siecami. Przykład:
Firma A - 192.168.1.0/24 - NAT na 10.255.1.0/24
Firma B - 192.168.1.0/24 - NAT na 10.255.2.0/24

Tunel tworzysz między swoją siecią a 10.255.1.0 (Firma A, sieć 1) oraz 10.255.2.0 (Firma B, sieć 1). Możesz to jeszcze bardziej ograniczyć, np. do hostów. Takie wydzibasy robimy u klientów, którzy wewnątrz mają swoje routery i nie chcą widzieć naszych sieci albo u klientów, którzy korzystają z tej samej puli adresowej.

***********

Skąd chcesz nawiązać połączenie do 172.28.31.200:1723? Zresztą, czy to PPTP, czy IPsec, i tak się wdzwaniasz.

***********

W I poście napisałeś, że masz już jeden tunel S2S IPsec i nie możesz ze swojej sieci po lewej stronie osiągnąć hosta po prawej. Aby działało, to trzeba ustawić routing, ewentualnie NATowanie lub ACLki (jak wspomniano powyżej) na routerach przed Twoim routerem. Jak na ironię, przed chwilą w robocie miałem dokładnie taki przykład (brak statycznej trasy, brak protokołu routingu).

Po co Ci teraz VPN Remote Access? Dla kogo to ma być? Dla osób z zewnątrz? Dla pracowników z domu?

Awatar użytkownika
umbro
wannabe
wannabe
Posty: 321
Rejestracja: 07 mar 2009, 21:20

#9

#9 Post autor: umbro »

dawid.mitura pisze:Możesz w takim te sieci również dla Tuneli NATować i tworzyć tunele między tymi właśnie NATowanymi siecami. Przykład:
Firma A - 192.168.1.0/24 - NAT na 10.255.1.0/24
Firma B - 192.168.1.0/24 - NAT na 10.255.2.0/24

Tunel tworzysz między swoją siecią a 10.255.1.0 (Firma A, sieć 1) oraz 10.255.2.0 (Firma B, sieć 1). Możesz to jeszcze bardziej ograniczyć, np. do hostów. Takie wydzibasy robimy u klientów, którzy wewnątrz mają swoje routery i nie chcą widzieć naszych sieci albo u klientów, którzy korzystają z tej samej puli adresowej.

***********

Skąd chcesz nawiązać połączenie do 172.28.31.200:1723? Zresztą, czy to PPTP, czy IPsec, i tak się wdzwaniasz.

***********

W I poście napisałeś, że masz już jeden tunel S2S IPsec i nie możesz ze swojej sieci po lewej stronie osiągnąć hosta po prawej. Aby działało, to trzeba ustawić routing, ewentualnie NATowanie lub ACLki (jak wspomniano powyżej) na routerach przed Twoim routerem. Jak na ironię, przed chwilą w robocie miałem dokładnie taki przykład (brak statycznej trasy, brak protokołu routingu).

Po co Ci teraz VPN Remote Access? Dla kogo to ma być? Dla osób z zewnątrz? Dla pracowników z domu?
generalnie otwieranie kolejnych tuneli vpn site to site to możne być rozwiązanie ale nie będę tego robić ponieważ okazało się, ze to był problem po drugiej stronie tunelu, mieli jakieś restrykcje na moje porty. Teraz już wszystko działa.
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.

ODPOWIEDZ