Propojení dvou sítí

rubaspavel

Zdravím, potřebuji poradit jak propojit dvě sítě. Jedná se o moje soukromé sítě na domácí použití, rychlost připojení od ISP je 30Mbit. Chtěl bych, aby ze sítě 192.168.155.0 jsem se dostal do sítí 10.200.0.0, 10.100.100.0 a 10.100.200.0 a naopak. Default routa bude vždy do sítě příslušného ISP. Pouze síť 10.100.100.0 bude přistupovat do internetu přes ISP1 a nesmí mít přístup do žádné jiné sítě - síť pro hosty. Sítě jsem propojil přes OpenVPN, asi dokáži nakonfigurovat router u ISP2 aby měl dvojí routování v závislosti na síti, ale jak nastavit router u ISP1? Napadaj mi dvě možnosti: a) použít dva linky OpenVPN. Jeden na propojení sítí a druhý na routování sítě 10.100.100.0. b) požít jeden link, za předpokladu, že nebude možné přistoupit ze sítě ISP2 do sítě ISP1.

Na VPN server se budou ještě přihlašovat 2 klienti pro administraci obou sítí. Více snad napoví schéma.

Poznámka: ty 3 AP RB433 jsou součástí routeru.

rubaspavel

Tak jsem začal stavět na této topologii. Internet v obou sítích funguje, pro síť 10.100.200.0 jsem přidal src-nat na VPN a nastavil defaultní routu:

/ip route export

add comment="VPN route" distance=1 gateway=192.168.155.1 routing-mark=vpn_isp

add comment="Default route" distance=1 gateway=192.168.143.161

/ip route rule

add src-address=10.100.200.0/24 table=vpn_isp

add routing-mark=vpn_isp table=vpn_isp

Tím jsem připojil síť k ISP1.

Dále jsem chtěl získat přístup ze sítě 192.168.155.0 do sítí od ISP2. Přidal jsem tedy routu v síti 192.168.155.0

add distance=1 dst-address=10.200.0.0/16 gateway=192.168.155.210

add distance=1 dst-address=10.100.100.0/24 gateway=192.168.155.210

add distance=1 dst-address=10.100.200.0/24 gateway=192.168.155.210

To stačilo k tomu, abych se dostal do sítě 10.200.0.0. Už se ale nedostanu do sítě 10.100.100.0 ani 10.100.200.0. Obě sítě jsou připojené přes wifi. Ping z vlastní sítě projde, pokud udělám traceroute z druhé sítě dostanu:

Výpis trasy k 10.100.200.4 s nejvýše 30 směrováními

1 < 1 ms < 1 ms < 1 ms 192.168.155.1

2 23 ms 106 ms 46 ms 192.168.155.210

3 * * * Vypršel časový limit žádosti.

4 * * * Vypršel časový limit žádosti.

Zkoušel jsem nastavit FW, který mám jinak prázdný

add action=accept chain=forward in-interface=client_vpn out-interface=bHotspot_2G

add action=accept chain=forward in-interface=bHotspot_2G out-interface=client_vpn

případně i netmap:add action=netmap chain=dstnat src-address=192.168.155.0/24 to-addresses=10.100.200.0/24

add action=netmap chain=dstnat src-address=10.100.200.0/24 to-addresses=192.168.155.0/24

Ale obojí bez úspěchu.

Routovací tabulka má dynamické záznamy, zkoušel jsem i statický ale bez úspěchu

add distance=1 dst-address=10.100.200.0/24 gateway=bHotspot_2G pref-src=10.100.200.2

Jak mám obejít NAT?

dacesilian

Otázka je, zda tam ten NAT vůbec musí být. Já mám přes OpenVPN spojených několik různých sítí a stačí jen nastavit routování a povolit forward, pak to funguje. Ale třeba někdo zkušenější z toho pozná, kde máte chybu.

rubaspavel

NAT je zapotřebí řešit jen proti sítím 10.120.105.7/24 a 192.168.13.14/24, jináč se to snažím udělat bez něj. Pravda, ještě mám další nat ze sítě 10.100.100.0/24 do sítě 192.168.155.0/24, ale to jen kvůli snažšímu přepínání poskytovatele ISP1 či ISP 2.

dacesilian

Říkám si, že když máte všude samostatné rozsahy, tak NAT nepotřebujete - tedy bych ho nastavil jen vůči ISP. Uvnitř své sítě (obou sítí) bych NAT neměl, protože to bude vždy vědět, kam směrovat. Také nevím, proč máte u ISP1 IP adresu routeru z jiného rozsahu.

rubaspavel

Špatné rozsahy tam vznikli když jsem upravoval originální schéma, takže u ISP1 i ISP2 vznikli blbě adresace, nicméně to narozdíl od zbytku funguje. Mezi vlastními sítěmi NAT nemám, ani jej nechci. Teď už mi to konečně začíná nějak poslouchat, upravuji to na funkční síti, tak to jde pomálu. Musel jsem ale zrušit připojení sítě 10.100.200.0 do internetu přes VPN. Oba routery jsou RB433. ISP2 poskytuje přojení 20/5Mbit, ISP1 30/30Mbit. Když jsem zkoušel měření rychlosti přes VPN tak jsem se nedostal nad 3/3Mbit s využitím CPU 70% na MK právě pro VPN. Přímou cestou k ISP2 to bylo 18/4Mbit. Četl jsem, že OpenVPN hodně zatěžuje CPU, jak to zlepšit? Pomůže změna VPN? Mám vyhlídnuté RB433AH, případně 435G. Ten rozdíl 300 vs 680Mhz by znát měl být, případně můžete doporučit něco co to bez problémů utáhne?

myghael

Potřebuješ v tom routeru mít bezdrátovou kartu? Pokud ne, tak si místo té RB433 pořiď RB750r2 (hEX lite). Pořídíš ho fungl nový s dvouletou zárukou za <1000 Kč a výkonu bude mít více, než kterékoliv RB4xx, ať už to bude RB433UAH, RB450G nebo cokoliv. Pokud stačí tři ethernety a potřebuješ bezdrát, kup RBM33G (aktuální nástupce RB433/RB433AH a podobně - cca. 1100 Kč za nový kus) a k tomu R11e (B/G/N a/nebo A/N a/nebo A/N/AC) podle potřeby. Jsou-li ta AP jen jako AP a stačí jeden ethernet, pak můžeš něco ušetřit pořízením RBM11G (nástupce RB411 a podobných - jen jeden ethernet místo tří, jen jeden slot na kartu místo tří, jinak identický board)

rubaspavel

Bezdrát potřebuji minimálně v jednom. Na strane VPN clienta mám 3 karty a na straně VPN serveru mám 1 kartu pro domácí AP. Uvažuji jestli místo RB433 nedám RB750Gr3 s gigovým portem a poté nějaké AP, byť třeba i tu RB433. NA druhou stranu bych RBM33G dával velice nerad, z důvodu investice do karet. RB433 má miniPCI a aktuálně používám R52HnD. Třeba je čas na upgrade...

myghael

V tom případě bude hEX (RB750Gr3) jistě vhodnou volbou, na prosté AP má RB433 výkonu dost. Pokud ne, dá se za RBM11G / RBM33G + nové karty vyměnit i později. A pokud je tomu situace nakloněna, můžeš trochu připlatit na hEX PoE a ušetřit více napájecích zdrojů (napájet wifinu můžeš z toho hEXu).

rubaspavel

Tak hardware mám vyřešený, ale stále se nedokáži dostat ze sítě 192.168.155.0/24 do sítě 10.100.200.0/24 kvůli managementu. Je to přes NAT, takže to je jednoduché proč, ale spíš jak to zařídit topologií? Zatím mám 2 nápady:

1) Celou síť 10.100.200.0 protáhnout skrz VPN a udělat NAT až v VPN serveru.

2) Přidat druhý VPN spoj pro management a současný nechat pro internet. Asi rozumější volba. Ale to pak mam mít dva paralelní VPN spoje?

Nešlo by to řešit nějak elegantněji?

rsaf

Buďto jsem něco nepochopil nebo něco přehlížím, ale prostě tam nevidím žádnou komplikaci.

Když si odmyslíš tu VPN tak sítě samostatně fungují? Pak se mezi nimi udělá VPN na nějakých spojovacích adresách a na routerech na obou stranách se udělají statické routy na sousední sítě. Kde je problém?

rubaspavel

Koukni na to schéma sítě. Internet funguje jak má, Síť 10.100.200.0/24 je připojena k internetu přes ISP1 a tedy VPN tunelem. Prochází to dvojím NATem jak na straně VPN clienta, tak na VPN serveru. Potřebuji mít ale z admin PC, respektivé celé sítě 192.168.155.0/24 mít přístup všude, bez používání dstnat. To znamená, že u VPN clienta mám nastavený forvard na sítě 10.200.0.0/16, 10.100.100.0/24 a 10.100.200.0/24. Jelikož ale ta poslední je NATována, není možné se do ní dostat. Ostatní jsou bez problému. Takže stále řešení problému mi vede na použití dvou sítí přes VPN. Jedna funkční pro připojení k ISP1 a druhá administrátorská.

dacesilian

Zeptám se znovu - proč máte NAT jinde než jen na výstupech do internetu?

rubaspavel

Možná mi to konečně trklo. Zbavit se NATu mezi sítěmi 10.100.200.0 a 192.168.155.0 tak, že všichní klienti v této síti budou mít výchozí bránu ne 10.100.200.1 ale 19.168.155.1 - tedy adresu VPN serveru. To by mohlo fungovat.

rsaf

Proč 10.100.200.0/24 jede do internetu přes ISP1 a VPN? Jaký to má smysl? Proč jsou tam "směrem k ISP" vždy tři nějaké rozsahy?

rsaf

Kristova noho, všichni klienti musí mít bránu ze svého rozsahu, takže polopatě:

- na tom čemu říkáš VPN server bude MASQUERADE na rozhraní směrem k ISP1, žádný jiný NAT

- na tom čemu říkáš VPN client bude MASQUERADE na rozhraní směrem k ISP2, žádný jiný NAT

- Nastavení VPN serveru necháš jak je, bude sloužit ale jen pro toho mobilního klienta přes ISP3

- Mezi oběma routery uděláš ještě jednu novou VPNku kde ten levý budem mít třeba adresu 10.255.255.1 a pravý 10.255.255.2

- Na levém routeru uděláš routy na sítě 10.100.0.0/16 a 10.200.0.0/16 s gw 10.255.255.2

- Na pravém routeru uděláš routy na síť 192.168.155.0/24 s gw 10.255.255.1

Samozřejmě pak ještě doděláš patřičný firewall na zaříznutí té veřejné sítě, na zabezpečení těch mikrotiků...

rubaspavel

Odpověď pro oba příspěvky:

Tři rozsahy jsou z důvodu bezpečnosti a hlavně přehlednosti. Teoreticky bych tam mohl nechat síť 10.0.0.0/8 a vše řešit FW ale jaksi je mi to proti srsti.

Podstatným požadavkem, je mít síť 10.100.200.0/24 a časem i 10.100.100.0/24 připojeného přes ISP1. Má to svoje důvody, nechtěl bych je rozebírat. Admin PC připojený přes VPN bude mít taky přístup přes ISP1.

Udělat separátní VPN mezi routery mohu, přijde mi to tak i lepší. Vytvoření rout na obou stranách mi je taky jasné. Pak určitě pujde z levé sítě se dostat do pravé a naopak, jak ale pak dostat internet přes VPN bez použití NATu?

dacesilian

jak ale pak dostat internet přes VPN bez použití NATu?

Však se to bude NATovat při výstupu do internetu a může tomu být jedno, zda to jde "z lokální sítě" nebo z druhé sítě přes VPN, ne?

rubaspavel

Na tom levém routeru ano, ale jak nastavit ten pravý? To nechám jen defaultní routu na 192.168.155.1 pro síť 10.100.200.0/24 a o zbytek se postará forwarding? Defakto nechám to tak jak to mám teď a jen prostě vypnu maškarádu?

ludvik

Deset megabit download klienta z 10.100.100.0 udělá: 10 down ISP1, 10 up ISP1, 10 down ISP2. Aneb jak si efektivně ztrojnásobit datové toky ... jako kdybys toho ISP2 vlastně vůbec neměl. Vyhozené peníze.

Ale abych i poradil. Tvůj problém se jmenuje Policy based routing. Příklad je třeba zde: https://swkls.org/mikrotik-policy-based-routing/

Čili na pravém routeru nastavíš, aby vše src 10.100.100.0 mělo gateway konec toho tunelu.

SRC-NAT jsou pak jen dva - přes WAN z obou routerů jako vždy.

A oba routery musí být v routovací tabulce záznamy sítí z toho druhého. Viz kolega rsaf.

Další stránka »