VPN tunel na neverejnej IP adrese

dzambor

Ahojte. Riešim vcelku zapeklitý problém a to je prístup z domu na firemné PC. Teamviewer je nedostačujúci (chce to po mne platenú licenciu skrz časté použitia).

Problém je že firma beží na telekome s neverejnou IP adresou (DSL) 178.41.109.XXX s tým, že ak sa chcem pripojiť na tú IP adresu chce to po mne meno a heslo, ale to bude počítam prístup od niečoho v telekome.

V práci beží ADSl modem D Link 2641R, a následne je internet prepojený LANom na router mikrotik crs125-24g-1s-in.

U mna doma mám RB751G napojený na optiku od orangeu a verejnú ip adresu.

Problém je, že párkrát za týždeň sa potrebujem pripojiť buď na PC v práci (je ich tam niekoľko, buď v rámci inštalácie nejakej aktualizácie alebo údržby alebo riešenia iného problému) a preto teamviewer nie je na to dostačujúci + aktualizácia mikrotiku + kontrola logov a spojení.

Na mikrotik v práci som sa skúšal pripojiť cez VPN (aktivovaný priamo v quick sete) ale jediné údaje na prihlásenie mi ponúklo z ip adresy 178.41.109.XXX. pričom login nesedel s údajmi v mikrotiku, a teda ma nespojilo.

Ide mi o to, že na mikrotiku v práci by som ho potreboval nastaviť na a to:

a) buď občastné pripojenie (v PC si zadám IP adresu VPN mikrotiku a prihlásim sa) a potom skrz Remote desktop connection sa pripojim na jednotlive PC

b) prípadne trvalé pripojenie medzi oboma mikrotikmi.

PPTP skrz bezpečnosť asi neprichádza do úvahy, ideálne by to bolo skrz IPSec, no neviem či je možný konfig na neverejnej IP adrese.

Je možné realizovať takýto postup?: https://www.heronovo.cz/nastaveni-ipsec ... -routeros/

Prípadne čo by ste mi odporúčali? Ak by bolo možné aj s postupom.

Čo sa týka sietí mám také mierne pokročilé skúsenosti vzhľadom na to, že PC nie je môj primárny obor ale ako koníček a servis v práci robím ako dobrovoľnícku činnosť na minimalizovanie nákladov na prevádzku.

Ďakujem za všetky rady.

mirek_k

Vzhledem k tomu, že pracovní router nemá veřejnou IP adresu, jsou tyto možnosti.

1. Domluvit s poskytovatelem forwardování nějakého portu na IP adresu routeru. Nevím, zda toto "velcí" dělají.

2. Obrátit to - jako VPN server použít domácí router a jako klienta firemní. Nutně to pak nemusí být spojené trvale, ale doma lze VPN server aktivovat jen v případě potřeby. Firemní VPN klient by to měl zkoušet stále.

Mirek

arrabbella

Problém je že firma beží na telekome s neverejnou IP adresou (DSL) 178.41.109.XXX s tým, že ak sa chcem pripojiť na tú IP adresu chce to po mne meno a heslo, ale to bude počítam prístup od niečoho v telekome.

Na toto bych se ještě zkusil zaměřit - nezdá se mi to (že by to byl "prístup od niečoho v telekome"). Nevím jak moc jste zkoumal / měl možnost zkoumat, ale není to spíš tak, že veřejnou IP máte (možná ne přímo na tom mikrotiku, ale jen na tom modemu) a máte port 80 přesměrovaný na nějaké vaše zařízení? Případně se hlásíte do webového rozhraní přímo toho DSL modemu. Modem je v módu bridge? Pokud ne, zkuste se do něj přihlásit (z LAN strany) a zjistit jeho IP. Teoreticky by šlo poznat i z traceroute (na win v přík.řádku "tracert 178.41.109.XXX" a pošlete jeho výpis).

dzambor

2 arrabbella:

problém je, že tá IP adresa 178.41.109.XXX nereaguje na žiadne prihlásenie. ani toho D linku, a ani na mikrotik. Port 80 smerovaný nebude. Totižto celá firma, (cca 10-12 PC) je účtovnícka a fungovalo to spôsobom, že záloha bola riešená na pripojený USB klúč a sieť bola riešená pomocou toho D linku a obyčaných switchov. Častý problém bol v tom, že nejaký cable management to nemalo žiadny a sieť je ťahaná v jednej lište spolu s 230V, čiže dochádzalo a ešte stále dochádza k rušeniu prenosu. Odporúčal som im tam robiť komplexné zálohy na "server", pretože stačí jedna chyba a zletí celý disk alebo nejaký elektrický výboj a je v prdeli celé PC (na firme je problém s elektrikou, dosť často vypadáva). sieť som čiastočne prerobil (čo sa dalo natiahol som nové tienené LAN káble a spravil tomu cable managemen), ale žiaľ D link ostal, z toho je vyvedený "Internet" LANom do mikrotiku kde je nastavený myslim bridge (nastavoval som to pred rokom a pol) a DHCP server na prideľovanie IP adries, firewall. Zálohy bežia z PC na Synology RS815 a skrz ešte očosi väčšiu bezpečnosť sa to replikuje ku mne domov.

K sieti:

túto IP 178.10.109.xxx sa mi nepodarilo zatiaľ z istiť "koho to je", ale skúsim to čo najskôr prezistiť, spravám výpis z tracertu.

2 mirek.k.: obrátiť by to vcelku šlo, nevadilo by ak by to bolo aj trvalé spojenie, len mi vrásky robí ta IP adresa. Zbežne čo som pozeral tak IPsec asi nerozlišuje medzi klientom a serverom. Či sa mýlim? (expert na to nie som) z logiky veci mi to vychádza, že si routujú pakety na IP adresu len každý je otočený v rámci IP adries. Ktorý setting by bol na toto riešenie vhodný?

Ďakujem.

mirek_k

VPN určitě rozlišuje server a klienta. Tedy i IPsec.

A veřejnou adresu musí mít jen server. Klient může být za překladem.

dzambor

Aha. V priebehu týždňa vyskúšam, a dám sem reporty čo som zistil a v akom je to stave.

Podstate je možné ísť aj podľa tohto postupu://www.youtube.com/watch?v=j37Tm1wdvzM, prípadne je na to iný postup? U VPN sa až tak neorientujem, viem, že PPTP protokol je prelomený, a zatiaľ odoláva IPSec.

Verejnú IP adresu mám doma na mikrotiku, ten bude teda ako server a klient bude v robote. Som zvedavý čo z toho vznikne

puchnar

nebo můžeš místo teamviewer zkusit anydesk

zbojnik

co som sa stretol s telekomom na dsl alebo vdsl vzdy pridelovali verejne ip, je problem pozriet aku ip ma pridelenu ten dlink?

rsaf

Rada je jediná. Běž od toho! 80% toho co píšeš jsou, úplné somariny!

Síť robená D-Linkem se opravila tak, že se přidal RB který je v bridge, čímž se to celé zachránilo. Evidentně veřejnou adresu považuješ za neveřejnou, nejsi schopen si jedním pohledem do managementu těch zařízení ověřit, jestli na nich opravdu ta adresa visí...