Hejka
Potrzebuję uruchomić polaczenie VPN 2 sieci ale nie mam dostępu do routerów brzegowych.
Kiedyś ktoś mi opowiadał, że można wewnątrz 2 sieci na Mikrotikach uruchomić połączenie do publicznego serwera i ten serwer może routować pakiety pomiędzy tymi wewnętrznymi sieciami. Ponoć na OpenVPN.
Prawda to? Wie ktoś coś więcej?
Załóżmy, że zestawiłeś VPNa między dwoma mikrotikami, za pomocą zewnętrznego serwisu. Masz kontrolę nad klientami w ramach tych 2 sieci, tak by ustawić im routing do tych mikrotików?
@jacek.placek Czy dobrze rozumiem - chcesz zrobić tunel z jednej sieci wewnętrznej (za SNATEM) do zupełnie innej wewnętrznej również za SNAT-em? O ile się nie mylę to dałoby się to zrobić z jednym hostem osiągalnym gdzieś w necie globalnie do którego masz dostęp po ssh. Kluczowa jest tu opcja "-w" ssh.
@yarel Te Mikrotiki są moje, serwer publiczny też jest mój.
Rozumiem, że kompy wewnątrz tych sieci muszą mieć dostępny odpowiedni routing.
Ich domyślna brama powinna routować inną sieć do mikrotika a ten dalej do servera i na serwerze dalej do drugiej sieci? Czy na każdym kompie trzeba to ustawiać?
@userek_jakis Dokładnie tak.
Ok, to z tego co pamietam to robilo sie sie to tak ze na obydwu hostach za SNAT-em odpalało sie cos w rodzaju:
ssh root@serwer -w any:any
i to tworzylo tunel z interfejsami tun, ktorym wystarczy nadac adresy IP po obydwu stronach + odpowiedni routing w tablicach routingu. Zalaczyc forwarding i powinno smigac. Tzn ja to podaje dla sytuacji kiedy kazdy z tych hostow jest Linuxem. Na Windows tego nie probowalem.
Po poprawnym skonfigurowaniu powinieneś mieć możliwość przejścia z jednej sieci za SNAT do drugiej za SNAT poprzez ten serwer ssh.
Szczegoly sa oczywiscie w man ssh.
jacek.placek napisał(a):
Czy na każdym kompie trzeba to ustawiać?
Jeśli możesz się wpięć między router brzegowy a komputerya i de facto stworzyć wewnętrzną sieć a komputery korzystają z DHCP to nie.
W dobie IPv6 nie ma też znaczenia czy to router brzegowy czy nie, o ile ruch nie jest blokowany to mogą sobie swobodnie gadać po IPv6 bez żadnych zewnętrznych hostów ani zmian konfiguracji na routerze
jacek.placek napisał(a):
@yarel Te Mikrotiki są moje, serwer publiczny też jest mój.
Rozumiem, że kompy wewnątrz tych sieci muszą mieć dostępny odpowiedni routing.
Ich domyślna brama powinna routować inną sieć do mikrotika a ten dalej do servera i na serwerze dalej do drugiej sieci?
Czy na każdym kompie trzeba to ustawiać?
Brama domyślna może routować, albo możesz mieć na kliencie regułkę mówiącą, że daną podsieć routujesz przez mikrotika, a nie przez domyślną bramę, czy jakiś inny router.
Pozostaje kwestia czy możesz modyfikować reguły na domyślnej bramie? Czy każda podsieć za routerem brzegowym ma tę samą bramę domyślną?
Zarejestruj się i dołącz do największej społeczności programistów w Polsce.
Otrzymaj wsparcie, dziel się wiedzą i rozwijaj swoje umiejętności z najlepszymi.