Elektroda.pl
Elektroda.pl
X
SterControl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

VPN łączenie dwóch sieci, w jednej publiczny IP w drugiej brak

05 Mar 2018 13:03 1683 6
  • Poziom 10  
    Witam,

    1. Dwie sieci LAN, obie z dostępem do Internetu

    a. w jednej stały publiczny IP - "DOM"
    b. w drugiej od strony WAN prywatny, narzucony adres IP (brak dostępu do routera brzegowego) - "FIRMA"

    2. Serwer (www, ftp itp.), za NAT-em, w sieci bez publicznego IP (sieć "FIRMA")

    3. Router brzegowy w sieci z publicznym IP ma możliwość postawienia serwera OpenVPN (tomato). (sieć "DOM")

    Załączam schemat (jak umiałem, tak zrobiłem ;) )

    Pytania:

    1. Czy jestem w stanie uzyskać dostęp do serwera za NAT-em w sieci "FIRMA" łącząc się przez publiczny IP sieci "DOM" i przekierowując ruch poprzez tunel VPN na serwerze VPN routera brzegowego sieci "DOM"?

    2. Jaka powinna być adresacja obu sieci LAN przy założeniu że prywatny IP WAN w sieci "FIRMA" jest narzucony? Oczywiście wiem że WAN i LAN sieci "FIRMA" muszą być w różnych sieciach :)

    a. LAN "FIRMA" i "DOM" - taka sama
    b. LAN "FIRMA" i "DOM" - inna

    VPN łączenie dwóch sieci, w jednej publiczny IP w drugiej brak
  • SterControl
  • Pomocny post
    Poziom 39  
    Do działania OpenVPN potrzebujesz postawić serwer OpenVPN na routerze z publicznym IP.
    Klient OpenVPN może być za firewallem , za NATem itp.
    Jednak by działał dostęp do obu sieci LAN musisz odpowiednio ustawić routing i reguły firewalla. Na tomato się nie znam. Na Openwrt jest dobry toutorial Cezarego na eko.one.pl
  • SterControl
  • Pomocny post
    Poziom 37  
    Da się. Kwestia konfiguracji. Badź tylko świadomy, że miałbyś permanentne połączenie firma-dom. Tzn VPN zawsze byłby połączony.

    W firmie na prywatnym IP musi być klient VPN łączący się z serwerem w domu. Ale będąc w domu nie możesz kliknać połącz. On musi sam, automatycznie, zawsze próbować połączyć.
    Jak postawisz serwer na routerze, to także każdy domownik bedzie miał dostęp do firmy, chyba że zadabasz o to na zaporze sieciowej.
  • Poziom 10  
    m.jastrzebski napisał:
    Da się. Kwestia konfiguracji. Badź tylko świadomy, że miałbyś permanentne połączenie firma-dom. Tzn VPN zawsze byłby połączony.

    Czy to permanentne połączenie to jakiś problem? W jakim sensie? W sensie ciągłego obciążenia łącza, problem z bezpieczeństwem, inny problem?
    m.jastrzebski napisał:
    W firmie na prywatnym IP musi być klient VPN łączący się z serwerem w domu. Ale będąc w domu nie możesz kliknać połącz. On musi sam, automatycznie, zawsze próbować połączyć.

    Domyślam się że albo sam klient OpenVPN albo cron załatwi sprawę?
    ---
    Przy założeniu że w sieci "FIRMA"

    WAN = 192.168.0.1/24
    LAN = 192.168.1.1/24

    to w sieci 'DOM"

    LAN = 192.168.1.1/24 czy czy ma być właśnie różny od tej sieci czyli np. 192.168.2.1/24?
  • Pomocny post
    Poziom 37  
    Kosher76 napisał:

    Czy to permanentne połączenie to jakiś problem? W jakim sensie? W sensie ciągłego obciążenia łącza, problem z bezpieczeństwem, inny problem?

    Obciążenie sieci raczej minimalne. Tym bym się nie przejmował.
    Potencjalnie Bezpieczeńśtwo (chyba że poprawnie skonfigurujesz zaporę) w przeciwnym wypadku kopmutery w domu i firmie będą się widzieć - np szef/pracownik zobaczy jakie sprośne filmy udostępnias zprzez DNLA ;-)

    Polityka firmy? Nie wiem co to za firma.

    Adresacja do ustalenia. Router, wbrew temu co wiekosć ludzi sądzi, to ustrojstwo do łączenia róznych sieci o róznej adresacji, wiec generalnie powinien sobie poradzic. Pytanie co to za routery.
  • Poziom 10  
    m.jastrzebski napisał:
    Pytanie co to za routery.


    Routery to prosty sprzęt domowy. Po stronie "DOM" do Netgear R7000 z wgranym Tomato a po stronie 'FIRMA to TP-Link Archer C2.

    W zasadzie to po obu stronach chodzi tylko o udostępnienie Internetu kilku klientom, natomiast serwer to ma być host maszyn wirtualnych do nauki obsługi i konfiguracji.
  • Poziom 10  
    Ponieważ mam problem z konfiguracją OpenVPN po stronie klienta (na razie Ubuntu 17.10 docelowo Debian lub Centos), mam pytanie, czy do moich potrzeb użyć TUN czy TAP? W zasadzie to na obecnym etapie TAP + statyczny klucz sprawdził mi się na Windowsie 10 idealnie, niestety ta sama konfiuracja na Ubuntu nie działa.

    Czy poza samą instalacją openvpn na Ubuntu trzeba coś konfigurować? (Czysty kliencki 17.10).

    Od jakiej najprostszej konfiguracji zacząć tak żeby działała?

    Konfigurowałem wszystko z użyciem tego tutka: https://learntomato.com/how-to-setup-a-vpn-server-with-tomato-openvpn/