Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

[Mikrotik] OpenVPN / Routing wew LAN ??

24 Jan 2018 19:33 3792 23
  • Level 10  
    Witam,

    W biurze mamy sieć lokalną 10.x.x.x W całej firmie 3 rutery Mikrotik, każdy na budynek, wszyscy się widzą...ok.
    Teraz chce zrobić za trzecim ruterem inna sieć 192.168.0.0
    Mało tego najlepiej jakby był to VPN do....rozumiem konkretnego portu w ruterze MT do którego są wpięte urządzenia...

    Zacząłem składać opvpn do brzegowego rutera i nie wiem czy dobrze zaczynam...
    Efekt chce uzyskać taki ze łącząc się poprzez opvpn mam dostęp do wszystkich urządzeń bez znaczenia już na ich porty etc.

    W związku z tym przygotowałem schemat.
    Na czerwono zaznaczylem rządane połączenie vpn i na pomarańczowo zaznaczyłem obszar sieci.

    [Mikrotik] OpenVPN / Routing wew LAN ??

    Od czego zacząć, gdzie zestawić vpn, i czy moje założenia są słuszne...
  • Level 23  
    Podłącz VPN następnie Ustaw bramę do 192.168.*.* na 10.197.0.1
  • Level 10  
    Ale VPN mam ustawić na brzegowym ruterze rozumiem, bo jak inaczej.. (rozwazalem przekierowanie jakiegos portu na ostatni ruter..ale to chyba tak nie dziala).

    OK, czy to nie powinno być w ten sposób zrobione?

    1. przekierowanie z brzegowego MT portu 1194 na adres ip trzeciego Rutera (10.197.0.227) - na któym odpalam server openvpn - dla protokołu UDP
    2. statyczny routing gdzie:
    - target to adres podsieci openvpn (defaultowo 192.168.0.0) - na ostatnim MT
    - maska
    - gateway 192.168.0.1 - ten adres przypisany do konkretnego portu w trzecim ruterze ? i do tego portu wpięty switch itd..

    Aha, te rutery po drodze są ustawione jako Bridge...
  • Level 23  
    rocker82 wrote:
    Zacząłem składać opvpn do brzegowego rutera i nie wiem czy dobrze zaczynam...
    Efekt chce uzyskać taki ze łącząc się poprzez opvpn mam dostęp do wszystkich urządzeń bez znaczenia już na ich porty etc.


    Najpierw ustaw to abyś miał dostęp do 10.x
    Potem dostęp do 192. załatwisz routowaniem.
  • Level 10  
    No własnie... zebym zrozumial ogolną zasadę, vpn ustawiasz na brzegowym ? i na brzegowym wtykasz kabel do portu a go do switcha i dalej juz leci po sieci... a vpn na brzegowym tworzysz podsiec 192.x.x.x i dalej juz tylko ruting do ostatniego rutera -> switch -> urządzenia.. ?

    Dobrze kumam ?
  • Level 23  
    Dlaczego tworzysz podsieć 192.x osobną od 10.x ?
  • Level 10  
    bo wszystkie maszyny są ustawione na sztywno w tej adresacji, a po drugie musimy je rozdzielic od sieci biurowej, nie maja miec stycznosci z nią. Stad kolejna podsiec.
  • Level 23  
    rocker82 wrote:
    W całej firmie 3 rutery Mikrotik

    Na rysunku są 4

    Nie lepiej podpiąć 192.x sieć do routera brzegowego ?
  • Level 10  
    Tak, są 4, ale ten po prawej to nie bierzemy pod uwagę bo tam tylko jeden komp chodzi...nieistotne.

    Podpiąć 192.x do brzegowego nie da rady, za daleko, połączenie jest na światłowodzie pod ziemią.
  • Level 23  
    Może da przez VLANy, te switche wspierają vlan-y ?

    Dodano po 15 [minuty]:

    Na schemacie wygląda że nie powinno być problemu z połączeniem 192.x do brzegowego, bo kabel od 192.x idzie do switcha i do tego samego switcha idzie kabel od routera.
  • Level 10  
    Ten pomarańczowy switch to najtańszy TPLink, poza tym vlany robić..chyba da się zrobić vpn jak na obrazku bez vlanów ?

    Te rutery mają wbudowany switch też, a dokładnie to model: CSR210-8GB-25+ IN

    Tak jak kółeczko siwe jest namalowane, tak komunikacja działa. Teraz wpiąłbym do rutera ostatniego kabel i od tego miejsca chce mieć już sieć 192.x
  • Level 23  
    Jak 192.x i 10.x mają nie mieć styczności to powinieneś podpiąć je do routera głównego jako odseparowan-e lan/vlan.

    Konfiguracja gdzie 192.x i 10.x mają byc odseparowane ale dostęp do 192 jest przez 10.x, cuchnie nieestetycznie.
  • Level 10  
    Dobra, nie muszą być odseparowane, wystarczy samo polaczenie szyfrowane vpn z siecią 192. x zapomnijmy ze musza byc odseparowane, ma byc po prostu dostep przez vpn z siecia 192.x niezaleznie juz jak byle byl :D
  • Level 10  
    Czyli
    Najpierw ustaw to abyś miał dostęp do 10.x
    Potem dostęp do 192. załatwisz routowaniem.

    Dobra kumam chyba, oby udalo sie zrobic VPN do brzegowego, wtedy moj komputer powinien miec juz dostep do w zasadzie trzeciego rutera, a robiac ruting prawidłowy dam radę pingnąć kompa z innej podsieci...

    Powiedz mi czy ustawić na trzecim ruterze ->obrazek sieć 192.x

    [Mikrotik] OpenVPN / Routing wew LAN ??

    Dodam ze wszystkie Rutery - dzialaja jako Bridge, wiec nie wiem czy dobrze zaczynamy...czy nie przestawić tego trzeciego jako Router...
  • Level 23  
    Ten trzeci router powinien mieć dwa interfejsy sieciowe i dwa ip adresy
    eth1=192.x
    eth2=10.x
  • Level 10  
    Kilka godzin walki i mały postęp.

    Połączyłem sie z serwerem opvpn MT jednak mogę pingować tylko go w zasadzie, zadnego innego komputera w sieci 10.x.x

    Status polaczenia na MT - połączony. Adres IP przydzielony.


    W pliku conf opvpn na końcu mam dodane:

    Code:

    redirect-gateway def1
    route 10.197.0.0 255.255.255.0 10.197.0.1


    wpis w windows route print mam:

    Code:

    Aktywne trasy:
    Miejsce docelowe w sieci   Maska sieci      Brama          Interfejs Metryka
              0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.7     20
              0.0.0.0        128.0.0.0       10.197.0.1      10.197.0.26    276
           10.197.0.0    255.255.255.0         On-link       10.197.0.26    276
           10.197.0.0    255.255.255.0       10.197.0.1      10.197.0.26    276
          10.197.0.26  255.255.255.255         On-link       10.197.0.26    276
         10.197.0.255  255.255.255.255         On-link       10.197.0.26    276
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
            128.0.0.0        128.0.0.0       10.197.0.1      10.197.0.26    276
      185.170.202.195  255.255.255.255      192.168.1.1      192.168.1.7    276
          192.168.1.0    255.255.255.0         On-link       192.168.1.7    276
          192.168.1.7  255.255.255.255         On-link       192.168.1.7    276
        192.168.1.255  255.255.255.255         On-link       192.168.1.7    276
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link       192.168.1.7    276
            224.0.0.0        240.0.0.0         On-link       10.197.0.26    276
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link       192.168.1.7    276
      255.255.255.255  255.255.255.255         On-link       10.197.0.26    276


    [Mikrotik] OpenVPN / Routing wew LAN ??

    Dodam, ze w konfig WIndows nie mam wpisu bramy a serwer dhcp jest na 10.197.0.254


    Adres IPv4. . . . . . . . . . . . . : 10.197.0.26(Preferowane)
    Maska podsieci. . . . . . . . . . : 255.255.255.0
    Dzierżawa uzyskana. . . . . . . . : 26 stycznia 2018 11:49:55
    Dzierżawa wygasa. . . . . . . . . : 26 stycznia 2019 11:49:55
    Brama domyślna. . . . . . . . . . :
    Serwer DHCP . . . . . . . . . . . : 10.197.0.254

    A brama i dhcp powinny być jak sądze (jak jest ustawione dla wszystkich) 10.197.0.1


    Dodam, ze pisząc nawet ten post łącze się poprzez sieć biurową...


    c:\Users\Admin\Desktop\certs>tracert onet.pl

    Śledzenie trasy do onet.pl [213.180.141.140]
    z maksymalną liczbą 30 przeskoków:

    1 173 ms 230 ms 120 ms 10.197.0.1
    2 272 ms 121 ms 244 ms 10.4.0.1
    3 198 ms 141 ms 157 ms ruter-bgp.ap.pl [185.x.x.x]
    4 174 ms 249 ms 165 ms GdynR004MM01.star.bdi.inetia.pl [213.17.213.41]

    OK z tego co czytam, to mamy 2 rodzaje TAP i TUN

    Ja w konfig mam TUN czyli routing czyli nie ma opcji bym widzial komputery z LAN. musi być TAP...

    ale jak zmieniam na TAP to wracam do punktu wyjścia , czyli sie nie łączy... :(
  • Level 8  
    pokaż pliki konfiguracyjne klienta i serwera...
  • Level 10  
    Serwer to Mikrotik, najnowszy soft.

    Code:

    /interface ovpn-server server
    set auth=sha1 certificate=server cipher=aes256 default-profile=\
        default-encryption enabled=yes require-client-certificate=yes
    /ip address
    add address=10.197.0.1/24 comment="default configuration" interface=\
        ether2-master-local network=10.197.0.0
    /ip dhcp-client
    add comment="default configuration" dhcp-options=hostname,clientid interface=\
        ether1-gateway
    /ip dhcp-server network
    add address=10.197.0.0/24 comment="default configuration" dns-server=\
        192.168.88.1 gateway=10.197.0.1 netmask=24
    /ip dns
    set allow-remote-requests=yes servers=10.197.0.1,194.204.159.1,8.8.8.8
    /ip dns static
    add address=10.197.0.1 disabled=yes name=router


    Generalnie address list to jest zalaczone w postaci zdjecia wyzej.

    PPP -> Profiles -> def.encrypt -> local addres - dhcp / remote addres - dhcp i na dole DNS serwer - 10.197.0.1

    Nie wiem co jeszcze mogę podać jako konfiguracje serwera opvpn.

    Configuracja klienta (windows 7)

    Code:
    # OpenVPN Client conf
    
    client

    nobind
    persist-key
    persist-tun


    tls-client
    # tls-remote xxxxxxxxxxxxxxxxxxxxxxxxx

    ca cert_export_myCa.crt
    cert cert_export_client1.crt
    key cert_export_client1.key

    remote 185.x.x.x 1194

    dev tun
    #dev tap
    proto tcp-client
    # proto udp

    cipher AES-256-CBC
    auth SHA1
    verb 4
    ping 10
    ping-restart 45
    # ns-cert-type server
    # comp-lzo

    auth-user-pass secret
    # auth-nocache

    pull
    route-method exe
    route-delay 2

    redirect-gateway def1
    route 10.197.0.0 255.255.255.0 10.197.0.1


    Dodano po 2 [godziny] 5 [minuty]:

    Ok działa..jestem na trzecim ruterku... błędem była ta sama adresacja dla openvpn, robilem taka jak już istniejąca sieć...

    Dobra dla potomnych powiem tyle...

    Jak chcecie od początku do końca zestawić OpenVPN na Mikrotiku to:

    1. Najważniejsze i na tym 99% czasu straciłem - stworzenie certyfikatów - prawidłowo...W moim wypadku zadziałały te polecenia:

    Code:

    /certificate
    add name=ca-template common-name=myCa key-usage=key-cert-sign,crl-sign
    add name=server-template common-name=server
    add name=client1-template common-name=client1
    add name=client2-template common-name=client2

    /certificate
    sign ca-template name=myCa
    sign ca=myCa server-template name=server
    sign ca=myCa client1-template name=client1
    sign ca=myCa client2-template name=client2

    /certificate
    set myCa trusted=yes
    set server trusted=yes

    At this time you have all you need at your server. Now you have to export the CA and the client certificates that you need to import to the client:

    /certificate export-certificate myCa
    /certificate export-certificate client1 export-passphrase=xxxxxxxx
    /certificate export-certificate client2 export-passphrase=xxxxxxxx


    2. To na czym straciłem cały dzień:
    - Zrób inną sieć dla openvpn niżeli już istnieje w LAN.
    (IP -> pool -> dodaj nową !)
    - Dodaj w profilach PPP -> profiles ->default-encrypt -> Local_Address nowa_dhcp / Remote_addres nowa_dhcp

    3. Plik OpenVPN na windows

    Code:

    # OpenVPN Client conf
    client

    nobind
    persist-key
    persist-tun


    tls-client
    # tls-remote xxxxxxxxxxxxxxxxxxxxxxxxx

    ca cert_export_myCa.crt
    cert cert_export_client1.crt
    key cert_export_client1.key

    remote 185.x.x.x 1194
    dev tun
    # dev tap
    proto tcp-client
    # proto udp

    cipher AES-256-CBC
    auth SHA1
    verb 4
    ping 10
    ping-restart 45
    # ns-cert-type server
    # comp-lzo

    auth-user-pass secret
    # auth-nocache

    pull
    route-method exe
    route-delay 2



    Code:

    c:\Users\Admin\Desktop\certs>tracert onet.pl

    Śledzenie trasy do onet.pl [213.180.141.140]
    z maksymalną liczbą 30 przeskoków:

      1   118 ms   182 ms   238 ms  192.168.0.10
      2   155 ms   175 ms   170 ms  10.4.0.1
      3   169 ms   144 ms   159 ms  router-bgp.abp.pl [185.x.x.1]
      4   159 ms   177 ms   259 ms  GdynR004MM01.star.bdi.inetia.pl [2

      5   186 ms   147 ms   148 ms  87.204.227.102
    ^C
    c:\Users\Admin\Desktop\certs>ping 10.197.0.1

    Badanie 10.197.0.1 z 32 bajtami danych:
    Odpowiedź z 10.197.0.1: bajtów=32 czas=78ms TTL=64
    Odpowiedź z 10.197.0.1: bajtów=32 czas=115ms TTL=64
    Odpowiedź z 10.197.0.1: bajtów=32 czas=152ms TTL=64
    Odpowiedź z 10.197.0.1: bajtów=32 czas=86ms TTL=64

    Statystyka badania ping dla 10.197.0.1:
        Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
                 (0% straty),
    Szacunkowy czas błądzenia pakietów w millisekundach:
        Minimum = 78 ms, Maksimum = 152 ms, Czas średni = 107 ms

    c:\Users\Admin\Desktop\certs>ping 10.197.0.225

    Badanie 10.197.0.225 z 32 bajtami danych:
    Odpowiedź z 10.197.0.225: bajtów=32 czas=114ms TTL=63
    Odpowiedź z 10.197.0.225: bajtów=32 czas=219ms TTL=63
    Odpowiedź z 10.197.0.225: bajtów=32 czas=120ms TTL=63
    Odpowiedź z 10.197.0.225: bajtów=32 czas=208ms TTL=63

    Statystyka badania ping dla 10.197.0.225:
        Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
                 (0% straty),
    Szacunkowy czas błądzenia pakietów w millisekundach:
        Minimum = 114 ms, Maksimum = 219 ms, Czas średni = 165 ms


    Jak widać pingi działają, a ja siedze zalogowany na trzecim ruterku. Do poniedziałku nic nie zrobię bo muszę tam iść podłączyć kompa i nadać mu adres na sztywno z sieci 192. i mam nadzieje ze to zadziala.. dam znać.
  • Level 8  
    jak chcesz mieć dostęp do sieci lokalnej to tylko po tap nie tun...
    tu jest moj plik konfiguracyjny klienta...

    Code:

    client
    dev tap
    tun-mtu 1500
    remote xxx.xxx    # nazwa dns serwera OpenVPN do którego się łączymy
    pull
    port xxxx   #nr portu
    nobind
    comp-lzo
    proto tcp-client
    ns-cert-type server
    ca ca.crt
    cert xxx.crt
    key xxx.key
    ns-cert-type server
    tls-client

    route-method exe
    route-delay 2

    #route-delay 4
    tls-remote xxx
    tls-auth ta.key 1
    persist-tun
    persist-key
    connect-retry 10
    keepalive 10 120
    resolv-retry infinite
    cipher CAST5-CBC
    mute-replay-warnings
    auth-nocache
    verb 4


    to mi działa, tylko że ja łączę się do kompa za routerem więc na routerze mam port przekierowany na ten komp...
  • Level 10  
    OK. Wiec teraz tak.

    Zmieniłem jeszcze podsiec Opvpn na 192.168.1.x

    Na trzecim ruterku (pracuje jako bridge) dodałem sieć 192.168.0.x i (IP->Addresses 192.168.0.100 / Network 192.168.0.0 / Interface - ten sam interface co 10.197.0.0)

    Na komputerze wewnatrz LAN moge wejsc na ten trzeci ruter wpisujac 192.168.0.100 i 10.197.0.227

    W konfiguracji rutera 1 i 3(w trybie bridge) IP->Routes sieci sa widoczne - same sie dodaly. Dodałem też ręcznie

    [Mikrotik] OpenVPN / Routing wew LAN ??

    MOGĘ też zrobić ping i wejsc przez przeglądarkę bedac polaczonym przez Openvpn na 192.168.0.100 i 10.197.0.227. Mogę też na 10.197.0.1

    ALE
    Laptop podłączony do 3 rutera ma przypisany IP 192.168.0.188 nie pinguje juz do 10.197.0.1 ani ja poprzez VPN go pingować nie mogę...
    Laptop ma ustawioną bramę na 192.168.0.100

    Code:

    c:\Users\Admin\Desktop\certs>ping 10.197.0.227

    Badanie 10.197.0.227 z 32 bajtami danych:
    Odpowiedź z 10.197.0.227: bajtów=32 czas=535ms TTL=63
    Odpowiedź z 10.197.0.227: bajtów=32 czas=755ms TTL=63
    Odpowiedź z 10.197.0.227: bajtów=32 czas=179ms TTL=63
    Odpowiedź z 10.197.0.227: bajtów=32 czas=369ms TTL=63

    Statystyka badania ping dla 10.197.0.227:
        Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
                 (0% straty),
    Szacunkowy czas błądzenia pakietów w millisekundach:
        Minimum = 179 ms, Maksimum = 755 ms, Czas średni = 459 ms

    c:\Users\Admin\Desktop\certs>ping 192.168.0.188

    Badanie 192.168.0.188 z 32 bajtami danych:
    Upłynął limit czasu żądania.
    Upłynął limit czasu żądania.
    Upłynął limit czasu żądania.
    Upłynął limit czasu żądania.

    Statystyka badania ping dla 192.168.0.188:
        Pakiety: Wysłane = 4, Odebrane = 0, Utracone = 4
                 (100% straty),

    c:\Users\Admin\Desktop\certs>ping 192.168.0.100

    Badanie 192.168.0.100 z 32 bajtami danych:
    Odpowiedź z 192.168.0.100: bajtów=32 czas=251ms TTL=64
    Odpowiedź z 192.168.0.100: bajtów=32 czas=252ms TTL=64
    Odpowiedź z 192.168.0.100: bajtów=32 czas=118ms TTL=64
    Odpowiedź z 192.168.0.100: bajtów=32 czas=274ms TTL=64

    Statystyka badania ping dla 192.168.0.100:
        Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0
                 (0% straty),
    Szacunkowy czas błądzenia pakietów w millisekundach:
        Minimum = 118 ms, Maksimum = 274 ms, Czas średni = 223 ms

    c:\Users\Admin\Desktop\certs>tracert 192.168.0.100

    Śledzenie trasy do 192.168.0.100 z maksymalną liczbą 30 przeskoków.

      1   185 ms   117 ms   297 ms  192.168.0.100

    Śledzenie zakończone.


    Musze na pewno zrobic routing 10.197.0.1 <-> 192.168.0.100 tylko jak na MT to zrobic prawidlowo, bo kombinuje i nic...
  • Level 10  
    Nie ważne dziala, temat zanknac.
  • Level 9  
    rocker82 wrote:
    Nie ważne dziala, temat zanknac.


    Szkoda, mogłeś napisałeś co zrobiłeś, że zaczeło działać. Byłoby dla potomnych i dla mnie.