LINUX.ORG.RU
ФорумAdmin

Сложная маршрутизация трафика через vpn.

 , , , ,


0

1

Здравствуйте.

Ситуация:

  1. Есть роутер mikrotik кот. является роутером для всего интернет трафика и смотрит на провайдера. (лок. адрес 192.168.88.1)
  2. Есть сервер кот. находится в локальной сети (ubuntu 20.04) с 192.168.88.22
  3. На сервере 192.168.88.22 запущен корпоративный vpn кот. дает доступ к корпоративным ресурсам.
  4. Есть n-e количество устройств в локальной сети 192.168.88.50-192.168.88.200

Задача: Сделать так что бы с устройств 192.168.88.50-192.168.88.200 возможно было бы ходить через vpn тунель кот. доступен на 192.168.88.22 на корпоративные ресурсы.

Как эту задачу решить я пока ума не приложу. Если есть у кого светлые мысли буду очень признателен.

PS: на mikrotik не получилось настроить vpn в силу ограничения RoutesOS. ((



Последнее исправление: alekseyd (всего исправлений: 1)

На 192.168.88.50-192.168.88.200 раздать/прописать-вручную роутинг до «корпоративным ресурсам» через 192.168.88.22.

ЗЫ кот. кот. кот. - Почему не пёс?

anc ★★★★★
()
Ответ на: комментарий от anc
  1. Это невозможно например на гаджетах с Android, IPhone, кот. входят в локальную сеть.
  2. При подключении нового устройства в локальную сеть необходимо прописывать маршруты к корпоративному vpn что очень неудобно.

Хотелось бы что бы один раз настроить и забыть. Так что к сожалению это не вариант. (((

alekseyd
() автор топика
Ответ на: комментарий от alekseyd

Что мешает прописать на микротике маршруты на нужные ресурсы через 192.168.88.22?

Turbid ★★★★★
()
Ответ на: комментарий от alekseyd

Пропиши на шлюзе сети маршрут до корпоративных ресурсов через твой сервер с ВПН.

На нём не забудь так же включить маршрутизацию и NAT.

anonymous
()

впн - понятие растяжимое. Может быть между точками или подсетями. В зависимости от этого может быть нужен нат на сервере, либо дополнительные слои того же GRE. Иначе корп ресурс получит обратный адрес твоей подсети и спросит «хто это».

В плане маршрутов - ставишь сервер гейтом на корп подсеть на микротике или прямо на компе/девайсе, дальше см про нат и подсети, от микротика тут мало что зависит.

есть вариант проще кмк - поднять впн на самом микротике. например для ovpn взять за основу https://protonvpn.com/support/vpn-mikrotik-router/ и подрихтовать dst-address и маркеры. Минус один сервер хотя бы

upcFrost ★★★★★
()
Ответ на: комментарий от anonymous

NAT на 22 будет недостаточно, NAT нужно будет делать на шлюзе.

Т.к. клиенты с 50 по 200 и 22 находятся в одном адресном пространстве, то ответные пакеты пойдут напрямую клиентам.

anonymous
()
Ответ на: комментарий от upcFrost

Сделать сервер шлюзом сети более простой и даже правильный способ.

Ну либо что ещё проще - поднять VPN на микротике.

anonymous
()
Ответ на: комментарий от alekseyd

Это невозможно например на гаджетах с Android, IPhone, кот. входят в локальную сеть.

Вы вручную на них настраиваете? Или все-таки с dhcp раздаете?
Даже если вручную, на роутере пропишите маршруты до «корпоративным ресурсам» через 192.168.88.22, он сам редирект отправит. Но лучше таки настроить дхцп с которого раздавать.

anc ★★★★★
()
Ответ на: комментарий от anc

впн - понятие растяжимое. Может быть между точками или подсетями.

Да корпоративный vpn между подсетями на основе openvpn.

Вы вручную на них настраиваете? Или все-таки с dhcp раздаете?

на микротике да конечно настроен dhcp кот. имеет как раз вот такую адресацию ip 192.168.88.50-192.168.88.200

есть вариант проще кмк - поднять впн на самом микротике. например для ovpn взять за основу https://protonvpn.com/support/vpn-mikrotik-router/ и подрихтовать dst-address и маркеры. Минус один сервер хотя бы

Ну либо что ещё проще - поднять VPN на микротике.

Все таки немного не понял про поднятие vpn на микротике. Если можно поясните пожалуйста. Я же раньше написал что корпоративный vpn на микротике поднять не получилось в силу ограничения RouterOS. (udp, SHA512 и т.д.)

alekseyd
() автор топика
Ответ на: комментарий от alekseyd

на микротике да конечно настроен dhcp

Вот на нем и добавьте маршрут

ЗЫ Остальные ответы не на мой пост.

anc ★★★★★
()
Ответ на: комментарий от alekseyd

Микротик умеет SHA512, но с UDP засада, да. Он есть на Dev ветке, можно перешить на нее если не страшно

А так - см ответы anc, маршруты и потом на сервере NAT настроить

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

Микротик умеет SHA512

нет к сожалению не умеет. (( Auth только SHA1. Я уже перешел на дев ветку, но в других настройках засада. ((

Т.е. вы предлагаете:

  1. на микротике прописать маршруры на 192.168.88.22 для корпоративных ресурсов в dhcp.
  2. На 192.168.88.22 настроить NAT кот. будет заворачивать все пакеты для определенных ip корпоративных ресурсов т.е. например 10.55.55.0-10.55.55.250 в tun0 (openvpn интерфейс на 192.168.88.22)?
alekseyd
() автор топика
Ответ на: комментарий от alekseyd

Да и еще один вопрос как быть с определением dns корпоративных ресурсов? Корпоративный OpenVPN добавляет на 192.168.88.22 свой ресолв имен.

Возможно тоже это как то настроить и где на микротике или нужно bind на 192.168.88.22 поднимать?

alekseyd
() автор топика
Ответ на: комментарий от alekseyd

на микротике прописать маршруры на 192.168.88.22 для корпоративных ресурсов в dhcp.

Да

На 192.168.88.22 настроить NAT кот. будет заворачивать все пакеты для определенных ip корпоративных ресурсов т.е. например 10.55.55.0-10.55.55.250 в tun0 (openvpn интерфейс на 192.168.88.22)?

У вас корп ресурсы не в курсе про вашу сеть 10.55.55.0 ?

anc ★★★★★
()
Ответ на: комментарий от anc

У вас корп ресурсы не в курсе про вашу сеть 10.55.55.0 ?

Нет не в курсе, они вообще о ней ничего знать не знают и не должны в общем.

alekseyd
() автор топика
Ответ на: комментарий от alex_sim

vpn кот. дает доступ к корпоративным ресурсам подними на самом микротике

Это был бы самый отличный вариант но как я писал ранее это не возможно, потому что RouterOS не поддерживает auth = SHA512 и другие настройки OpenVPN коорп сети.

alekseyd
() автор топика

/route add dst-address=co.rp.net/mask gateway=192.168.88.22

#(192.168.88.22)iptables iptables -t nat -A POSTROUTING -o tun0 -j SNAT –to tun0.addr/32

mgdz
()
Последнее исправление: mgdz (всего исправлений: 1)

Замудрено, но решаемо.

1. У всех твоих клиентов в качестве def.gw настроен mikrotik - на нем создаешь маршрут:

/ip ro add dst-address=<servers_subnet> gateway=192.168.88.22

2. Сервера (из удаленной подсети) про твою подсеть могут ничего ен знать, поэтому на сервере 192.168.88.22 потребуется SNAT:
iptables -t nat -A POSTROUTING -o <vpn-int> -j MASQUERADE

3. И теперь интересное, у тебя пакет идет так: клиент->микрот->сервер_с_vpn->серверная подсеть, но когда пойдет ответный трафик, то сервер_с_vpn кинет его напрямик клиенту миную роутер (они же в одной l2 подсети), поэтому на микроте нужен nat loopback
/ip fi nat add chain=src-nat in-interface=<lan> src-address=192.168.88.0/24 dst-address=<servers_subnet> action=masquerade

Kolins ★★★★
()
Ответ на: комментарий от Kolins

Ступил, тут интерфейс не нужно указывать

/ip fi nat add chain=src-nat src-address=192.168.88.0/24 dst-address=<servers_subnet> action=masquerade

Kolins ★★★★
()
Ответ на: комментарий от Kolins

iptables -t nat -A POSTROUTING -o -j MASQUERADE

Тут пакеты проходят.

/ip fi nat add chain=src-nat in-interface= src-address=192.168.88.0/24 dst-address=<servers_subnet> action=masquerade

Пришлось изменить in-interface на out-interface так как микротик не дает создать правило. И пакетов на микротике не вижу. Ну и соответственно маршрут не работает. Не подскажете как это можно продебажить?

alekseyd
() автор топика
Ответ на: комментарий от alekseyd

изменить in-interface на out-interfac

ступил, вообще не надо интерфейс (ну точнее он не влияет особо т.к. нужный трафик и без него и с out- захватился бы...с in- в теории тоже, но на postrouting не доходит входящий интерфейс и фильтровать по нему нельзя).

Дебажить на сервере_с_vpn, смотреть что пакеты уходят в сторону подсети с серверами и возвращаются в сторону локального ip роутера.
Ну и еще проверить, что фильтрация трафика на mkt, сервере_с_vpn, удаленном сервере vpn, удаленных серверах настроена корректно.

Kolins ★★★★
()
Последнее исправление: Kolins (всего исправлений: 2)

Я бы поинтересовался, как сделана vpn сеть и маршрутизация в головном офисе, или бы просто спросил там как настроить сеть у себя.

FireFighter ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin