Hej Forumowicze,
Chciałbym się was poradzić w następującej kwestii.
Mam zestawiony tunel vpn do nie swojej sieci, w której mam umieszczony swój router.
Aktualnie poszukuje sposobu , aby móc dostawać się do adresu IP i portu za routerem w sieci 10.15.3.65/26.
Próbowałem to robić poprzez przekierowanie portu , jednak niestety wygląda na to, że tunel tego nie toleruje lub coś brakuje w routingu.
Przekierowany port to 172.28.31.200:40001 -> 10.15.6.91:80
Zastanawiam się czy skoro przekierownaie portów odpada to czy jest jakaś inne możliwość, np zestawienie jakiegoś dodatkowego tunelu z routerem 172.28.31.200.
Co sądzicie ?
MojeCISCO----VPN Site to site IPSEC---- (część sieci za którą nie odpowiadam) Routery, być może wiele---- Mój router 172.28.31.200 - mój lan 10.15.3.65/26
Osiągnięcie sieci za tunelem vpn i routerem.
Osiągnięcie sieci za tunelem vpn i routerem.
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.
Przekierowanie portu na tym routerze(172.28.31.200) działa na bank, z tego samego segmentu sieci testowane i działa. Gorzej jest, gdy zapytanie o ten port przychodzi z tunelu, wtedy to nie działa.frontier pisze:Jak dla mnie coś z NATem na tym routerze, ewentualnie z routingiem do Twojej sieci.
Też obstawiam, że to chodzi o brak routingu lub (tego nie jestem pewien) adres źródłowy pakietu, który idzie z powrotem jest z sieci 10.15.3.65/26 i wtedy tunel w ogole go nie chce łapac.
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.
-
dawid.mitura
- wannabe
- Posty: 266
- Rejestracja: 03 mar 2008, 12:10
No wiem o czym mówisz bo tutaj tez mam sytuacje, że częścią sieci nie adminuje ja. Nie wiem zielonego pojęcia co jest po ich stornie.dawid.mitura pisze:Mogą to też być jakieś ACLki na urządzeniach przed Twoim routerem. Często spotykam się z tym u jednego klienta, który między moimi urządzeniami wpakował jakieś pudło, z którego steruje ruchem. Jak nie routing, tak zabezpieczenia.
A mógłbyś skonfigurować nowy tunel między swoimi urządzeniami?
Powiem szczerze, że próbowałem ustawić serwer pptp na routerze 172.28.31.200 i niestety nie łącze się do niego. Pewnie jakieś ograniczenia tunelu wchodzą w grę.
Zastanawiam się czy tunel w tunelu zadziała. Ewentualnie samo ppp skonfigurować na tym routerze .200 mógłbym spróbować zrobić.
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.
-
dawid.mitura
- wannabe
- Posty: 266
- Rejestracja: 03 mar 2008, 12:10
Mam na myśli np VPN RA IPsec z wykorzystaniem NAT-Traversal (UDP 4500). Jedyne co oni muszą zrobić, to udostępnić ruch między Twoim routerem w ich sieci (UDP 4500, ESP 50, UDP 500), a Twoim routerem, na który będziesz się łączyć. Nie będziesz musiał się wtedy prosić o żadne przekierowania, udostępniania itp. ponieważ tunel miałbyś między swoimi routerami.
Zależało mi na przekierowaniu portów ponieważ właśnie się dowiedziałem, że mamy więcej routerów wewnątrz ich sieci i co gorsza za każdym razem nasze routery posiadają tą samą sieć lan :/ Dlatego faktycznie Twoje rozwiązanie może działać ale niestety jak przyjdzie do połączenia większej liczby tuneli to niestety vpn mi zeświruje i nie będzie wiedział za którym tunelem ma którą sieć, ponieważ za każdym moim routerem mam niestety taki sam adres sieci LAN (p.s nie ja to projektowałem ; ) ) W tej sytuacji bardziej jestem za ustawieniem na każdym z routerów wewnątrz ich sieci osobnego servera vpn jak pptp , gdzie osoba chcąca się połączyć z siecią 10.15.3.65/26 odpalałaby na windowsie właściwe połączenie vpn. Póki co nic lepszego mi do głowy nie przychodzi :/dawid.mitura pisze:Mam na myśli np VPN RA IPsec z wykorzystaniem NAT-Traversal (UDP 4500). Jedyne co oni muszą zrobić, to udostępnić ruch między Twoim routerem w ich sieci (UDP 4500, ESP 50, UDP 500), a Twoim routerem, na który będziesz się łączyć. Nie będziesz musiał się wtedy prosić o żadne przekierowania, udostępniania itp. ponieważ tunel miałbyś między swoimi routerami.
Jakiś pomysł dlaczego nie mogę podłączyć się do servera pptp o adresie 172.28.31.200 ?
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.
-
dawid.mitura
- wannabe
- Posty: 266
- Rejestracja: 03 mar 2008, 12:10
Możesz w takim te sieci również dla Tuneli NATować i tworzyć tunele między tymi właśnie NATowanymi siecami. Przykład:
Firma A - 192.168.1.0/24 - NAT na 10.255.1.0/24
Firma B - 192.168.1.0/24 - NAT na 10.255.2.0/24
Tunel tworzysz między swoją siecią a 10.255.1.0 (Firma A, sieć 1) oraz 10.255.2.0 (Firma B, sieć 1). Możesz to jeszcze bardziej ograniczyć, np. do hostów. Takie wydzibasy robimy u klientów, którzy wewnątrz mają swoje routery i nie chcą widzieć naszych sieci albo u klientów, którzy korzystają z tej samej puli adresowej.
***********
Skąd chcesz nawiązać połączenie do 172.28.31.200:1723? Zresztą, czy to PPTP, czy IPsec, i tak się wdzwaniasz.
***********
W I poście napisałeś, że masz już jeden tunel S2S IPsec i nie możesz ze swojej sieci po lewej stronie osiągnąć hosta po prawej. Aby działało, to trzeba ustawić routing, ewentualnie NATowanie lub ACLki (jak wspomniano powyżej) na routerach przed Twoim routerem. Jak na ironię, przed chwilą w robocie miałem dokładnie taki przykład (brak statycznej trasy, brak protokołu routingu).
Po co Ci teraz VPN Remote Access? Dla kogo to ma być? Dla osób z zewnątrz? Dla pracowników z domu?
Firma A - 192.168.1.0/24 - NAT na 10.255.1.0/24
Firma B - 192.168.1.0/24 - NAT na 10.255.2.0/24
Tunel tworzysz między swoją siecią a 10.255.1.0 (Firma A, sieć 1) oraz 10.255.2.0 (Firma B, sieć 1). Możesz to jeszcze bardziej ograniczyć, np. do hostów. Takie wydzibasy robimy u klientów, którzy wewnątrz mają swoje routery i nie chcą widzieć naszych sieci albo u klientów, którzy korzystają z tej samej puli adresowej.
***********
Skąd chcesz nawiązać połączenie do 172.28.31.200:1723? Zresztą, czy to PPTP, czy IPsec, i tak się wdzwaniasz.
***********
W I poście napisałeś, że masz już jeden tunel S2S IPsec i nie możesz ze swojej sieci po lewej stronie osiągnąć hosta po prawej. Aby działało, to trzeba ustawić routing, ewentualnie NATowanie lub ACLki (jak wspomniano powyżej) na routerach przed Twoim routerem. Jak na ironię, przed chwilą w robocie miałem dokładnie taki przykład (brak statycznej trasy, brak protokołu routingu).
Po co Ci teraz VPN Remote Access? Dla kogo to ma być? Dla osób z zewnątrz? Dla pracowników z domu?
generalnie otwieranie kolejnych tuneli vpn site to site to możne być rozwiązanie ale nie będę tego robić ponieważ okazało się, ze to był problem po drugiej stronie tunelu, mieli jakieś restrykcje na moje porty. Teraz już wszystko działa.dawid.mitura pisze:Możesz w takim te sieci również dla Tuneli NATować i tworzyć tunele między tymi właśnie NATowanymi siecami. Przykład:
Firma A - 192.168.1.0/24 - NAT na 10.255.1.0/24
Firma B - 192.168.1.0/24 - NAT na 10.255.2.0/24
Tunel tworzysz między swoją siecią a 10.255.1.0 (Firma A, sieć 1) oraz 10.255.2.0 (Firma B, sieć 1). Możesz to jeszcze bardziej ograniczyć, np. do hostów. Takie wydzibasy robimy u klientów, którzy wewnątrz mają swoje routery i nie chcą widzieć naszych sieci albo u klientów, którzy korzystają z tej samej puli adresowej.
***********
Skąd chcesz nawiązać połączenie do 172.28.31.200:1723? Zresztą, czy to PPTP, czy IPsec, i tak się wdzwaniasz.
***********
W I poście napisałeś, że masz już jeden tunel S2S IPsec i nie możesz ze swojej sieci po lewej stronie osiągnąć hosta po prawej. Aby działało, to trzeba ustawić routing, ewentualnie NATowanie lub ACLki (jak wspomniano powyżej) na routerach przed Twoim routerem. Jak na ironię, przed chwilą w robocie miałem dokładnie taki przykład (brak statycznej trasy, brak protokołu routingu).
Po co Ci teraz VPN Remote Access? Dla kogo to ma być? Dla osób z zewnątrz? Dla pracowników z domu?
Zawsze może być bardziej przejebane, a więc cieszmy się z tego jak jest teraz.