Připojení do MK na neveřejné IP

kas_gu · 2021-07-20T13:21:10+00:00

Ahoj, mám dva MK, každý v úplně jiné síti. MK1 má veřejnou IP, MK2 je schovaný za nat někoho dalšího. Rád bych se dostal přímo do MK2. Napadlo mě udělat mezi...

jchudoba

Stačí srcNAT na cokoli co odchází z MK1 do tunelu - potom bude MK2 odpovídat zpět do tunelu na MK1, nikoli na default gw. Ne že by to bylo nejlepší řešení, ale tak jak je stavěná otázka by to bylo cesta.

kas_gu

jchudoba
to jsem tušil a zkoušel. Zatím bezúspěšně. Ale díky za odpověď. Jdu si hrát s srcNAT.

mirek_k

Myslím, že by se neměl dělat NAT, ale routy.

kas_gu

mirek_k
routy bohužel neumím. Ale děkuji za tip. Zkusím si o tom něco načíst.

nosek_tomas2004

Podobnou situaci mám takto implementovanou doma. Myslím, že je určitě lepší to routovat, jak píše mirek_k.

Já mám doma "ve středu" pomyslné hvězdice centrální router, na něj jsou navázány všechny L2TP/IPSec tunely (to ale nehrá roli). V lokálních sítích mám rozsahy 192.168.x.x, VPN tunely jsou v rozsahu 10.0.x.x

Pak to mám tak, že IP centrálního routeru na VPN interfacu je 10.0.x.1; IP Adresa "vzdáleného" routeru je 10.0.x.2.

Vezměme tedy modelovou situaci (MK1 je centrální router u mě doma, MK2 je "vzdálený" router - ten co je VPN klientem):

MK1 LAN rozsah: 192.168.10.0/24
MK1 LAN IP: 192.168.10.1
MK2 LAN rozsah: 192.168.20.0/24
MK2 LAN IP: 192.168.20.1
IP adresa MK1 na VPN tunelu: 10.0.20.1
IP adresa MK2 na VPN tunelu: 10.0.20.2

Nějak takto:

Pak jsou na řadě ty routy. Sice nastavit to NATováním je určitě rychlejší, ale pro pozdější cokoliv, je to problém. Kdyby jsi si hypoteticky někdy v budoucnu chtěl chytat ze sítě 192.168.20.0/24 na nějaké zařízení v 192.168.10.0/24 (nebo třeba "za dalším VPN tunelem"), musel by jsi řešit nekomfortní překládání portů. Když to uděláš routama, tak si chytneš přímo na IP, kterou chceš a víceméně tě nemusí zajímat, že to teče přes nějaký VPNky, tunely a podobně.

Pro tento případ by mělo stačit:

Přidat routu na MK1, která bude posílat pakety chtící jít do sítě 192.168.20.0/24 na VPN adresu MK2 (a ten je pak doručí cíli):
/ip route add dst-address=192.168.20.0/24 gateway=10.0.20.2

Přidat "zpáteční" routu na MK2, která bude říkat, že síť 192.168.10.0/24 se nachází za MK1:
/ip route add dst-address=192.168.10.0/24 gateway=10.0.20.1

Teoreticky by to mělo stačit takhle (a ještě ošetřit FW !!!), ale bylo by možná lepší ještě poštelovat RoutingDistance. Tyto routy bych nechal na výchozí 1 a defaultní routu bych dal na RoutingDistance (třeba) 2 (--> nižší distance, vyšší "priorita")

Já to ale mám (neboť těch VPNek mám hodně) uděláno (možná trošku prasecky) tak, že na MK routuju celý subnet 192.168.0.0/16 (=192.168.x.x) na adresu 10.0.20.1 Tím docílím, že všechny pakety, které chcou jít na lokální adresy 192.168.x.x dostanu na centrální router, kde už se o něj postará rozsáhlá routovací tabulka. A nemusím při přidání dalšího VPN tunelu obíhat všechny dosavadní MK, abych tam přidal routu pro určitou síť.

Doufám že to jde aspoň trochu pochopit 😊

kas_gu

nosek_tomas2004
kamaráde děkuji na sto tisíckrát. Jde to pochopit úplně výborně 👍 Funguje mi to a napoprvé bez toho, že bych něco zku... A čím víc na to koukám tím je mi to jasnější. Jo je to logické. Prostě super. Díky Díky...

jchudoba
Tobě také díky za jasně definovanou odpověď na můj dotaz na dstNAT. Teď když jsem pochopil route tak na srcNAT už asi ani nehrábnu :-))) Ale uvidím. Jestli zbude čas, zkusím co to umí.

vsn

nosek_tomas2004 Super, moc děkuji ....

jchudoba

Schůdné jsou obě cesty, já volil tu která je pro začátečníka jednodušší a sám jsem napsal že není nejlepší, ale je tak nějak přiměřená tomu jak byl formulován dotaz. Ale i Tomášova je správně.

@"nosek_tomas2004" k tobě a tomu jak jsi schopen vnímat nové věci by se zase slušelo to co popisuješ celé předělat na dynamické routovánání, minimálně RIP. To co jsi popsal vůbec není špatně, ale na tazatele příliš složité a na tebe příliš jednoduché.

Tedy stejně jako jsem tě jinde navedl na sniffer, tady naznačuji podívat se co vše je v balíčku routing, minimálně RIP. Dělat to staticky je dobré pro pochopení co a jak, ale jakmile člověk toto umí, je čas posunout to o level výše a předělat na dynamické cesty.

jchudoba

kas_gu kamaráde děkuji na sto tisíckrát. Jde to pochopit úplně výborně 👍 Funguje mi to a napoprvé bez toho, že bych něco zku... A čím víc na to koukám tím je mi to jasnější. Jo je to logické. Prostě super. Díky Díky...

@nosek_tomas2004 & @zdeneksvarc

Pánové, Tomáš to vysvětlil opravdu hezky, dal si s tím dost práce - to byla zcela jiná liga než to co se tu jindy vidí. Současně na portále visí výzva že portál hledá redaktory. Nechtěli byste se zamyslet zda by se z toho vysvětlovacího bloku jak je to s těmi cestami nedal udělat článek, nebo základ nějaké wiki přidružené k portálu? Je škoda aby to časem zapadlo mezi informačně chudá vlákna obsedaních downgradovačů, měřičů teploty a ani-ČTU kverulantů.

jchudoba

kas_gu Tobě také díky za jasně definovanou odpověď na můj dotaz na dstNAT. Teď když jsem pochopil route tak na srcNAT už asi ani nehrábnu :-))) Ale uvidím. Jestli zbude čas, zkusím co to umí.

Určitě nastuduj-srcnat je věc kterou je potřeba znát, jsou miliony případů kdy je užitečná a kdy je ti jediná cesta. Rozhodně by to slušný ajťák znát měl.

Ve tvém případě má Tomáš 100% pravdu že slušnější je udělat to jeho postupem - já byl prostě liný do toho dát tolik práce co on, navíc jsem ti nevěřil (teď vidím že jsem se mýlil) že bys to vstřebal, proto jsem volil funkční, ale v daném případě srabskou cestu.

vsn

Tak bych potřeboval ještě trochu poradit.

Pokud se připojuji z ze sítě, na které je L2TP server tak se v pohodě na MK připojím (jak přes L2TP IP 10.0.0.4) tak i přes vnitřní IP vzdáleného mikrotiku (client L2TP) (192.168.0.1) ... potřeboval bych se ale připojit odkudkoli.

Vytvořil jsem tedy v FW pravidla

vidím, že nabíhají packety u DST Natu, nicméně to nefunguje.

děkuji

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none

1 ;;; Winbox
chain=dstnat action=dst-nat to-addresses=10.0.0.4 to-ports=8291 protocol=tcp in-interface-list=WAN dst-port=8282 log=yes log-prefix=""

2 ;;; www
chain=dstnat action=dst-nat to-addresses=192.168.0.1 to-ports=80 protocol=tcp in-interface-list=WAN dst-port=82 log=yes log-prefix=""

nosek_tomas2004

vsn Pokud se připojuji z ze sítě, na které je L2TP server tak se v pohodě na MK připojím (jak přes L2TP IP 10.0.0.4) tak i přes vnitřní IP vzdáleného mikrotiku (client L2TP) (192.168.0.1) ... potřeboval bych se ale připojit odkudkoli.

To "odkudkoli" máme chápat jako odkudkoli z internetu? Řekněme nějak tako:

Chceš se z internetu připojit pomocí 1.1.1.1:8282 připojit do administrace routeru MK2 (192.168.0.0/10.0.0.4)? Tak, že to přes MK1 "pouze proteče"?

vsn

nosek_tomas2004 přesně tak ... pokud jsem v lokální síti na MK1 ( v tvém případě PC1 -192.168.100.2) tak na něm zadám ve winboxu IP buď L2TP clienta na MK2 a nebo lokální IP MK2 a krásně to funguje (přesně jak jsi parádně nakreslil)

ale pokud jsem někde venku a ne doma tak pak potřeji zadat venkovní IP MK1 (1.1.1.1) s nějakým portem pod kterým MK1 ví, že mě má přesměrovat na MK2 za tím L2TP tunelem (tzn 192.168.0.1 nebo 10.0.0.4) přes DST NAT sice vidím, že to pravidlo je aktivní ale někde mám nějakou chybu 🙂

nosek_tomas2004

vsn "To je prosté, milý Watsone" 😁😅.

Musíš dodělat markování conexí, nebo přidat ještě jedno NATovské pravidlo. Přesně tu stejnou situaci jsem řešil před pár lety také.

Mělo by jít o to, že ty z internetu (například) z adresy 1.2.3.4 pošleš pakety na 1.1.1.1:8282 a ty pakety skutečně dorazí, ale odpovědi již k tobě nedorazí. A to proto, že se to chová přesně podle toho, co to má mnastevano. Ve zkratce (uvažujme že NATovaná veřejná IP MK2 je třeba 9.9.9.9)

1.) Pošleš z internetu z adresy 1.2.3.4 požadavek na 1.1.1.1:8282
2.) Požadavek na 1.1.1.1:8282 dorazí, korektně se přeNATuje na 10.0.0.4:8291 (případně na 192.168.0.1:8291 - to by mělo být jedno)
3.) Přenatovaný paket proletí tunelem až na MK2, ten ho nějak zpracuje, ale odpovídá zpět na adresu 1.2.3.4
4.) MK2 se tedy podívá do routovací tabulky, ale nic speciálního, co by se týkalo 1.2.3.4 nenajde, tudíž to odešle na výchozí bránu (routa 0.0.0.0/0) a paket letí tedy zpět směrem na adresu 1.2.3.4, ale z adresy 9.9.9.9.

A buď se to po cestě už nepotká, nebo to zahodí klient, protože se ptal na 1.1.1.1, ale odpovídá mu 9.9.9.9. To už neumím posoudit.

Zkrátka paket vleze jednou dírou a vyleze zřejmě dírou jinou 😁.

Musíš zajistit, aby pakety, který přiletěly VPNkou, zpátky VPNkou také odletěly.
A to buď pomocí markování - odkaz na mé vlákno zde

A nebo NATem - tzn. na vstupním bodě (MK1) uděláš pravidlo, které paket zaNATuje, právě tehdy když (nějak takto, vařím z hlavy):

Paket přichází z WAN rozhraní
Paket má nelokální src-adresu (!192.168.0.0/16) - nebudeme přeci zbytečně NATovat pakety z lokálních sítí, pro které máme routy
Paket neputuje do primární lokální sítě (192.168.100.0/24)
Paket odchází VPN tunelem (tunelama --> iface list)

Ale pokud to máš jenom pro jednu destinaci, tak bych volil radši pořešit to markování, přijde mi to takové čistější.

Předem se omlouvám všem zde mnohem zkušenějším, kteří se dost možná popadají za hlavu... Jsem pouze student a snažil jsem se to popsat, jak to mám udělané já svým "řepáckým" (dost možná špatným) způsobem.... Pokud má někdo lepší způsob a je ochoten se podělit, rád se též přiučím 😁

nosek_tomas2004

Jinak ještě jedna připomínka - nepřijde mi úplně rozumné vystavovat mgmt porty MikroTiku do světa... Raději bych si udělal na MK ještě další VPN (třeba SSTP, nebo využít opět L2TP; vyhnul bych se OpenVPN) a tu používat pro připojování klientů (mobily, NTB, tablety a já nevím co ještě) tak, aby mohly komunikovat skrz vnitřní síť. A až teprve potom jít na MGMT, než MGMT vystavovat přímo do internetu. Řekl bych že dříve, nebo později se na to začne útočit....

vsn

nosek_tomas2004 děkuji ....

radek_kovacik

nosek_tomas2004 Když už to tu zaznělo, jen bych se zeptal, z jakého důvodu by ses vyhnul OpenVPN? A druhý dotaz, jak se nejčastěji útočí na porty managementu? Pokouší se uhodnout přihlašovací jméno a heslo?

nosek_tomas2004

radek_kovacik

OpenVPN na MikroTiku nepoužívám proto, že jednoduše jede úplně napytel. Katastrofální rychlost a ve finále možná celkem složité na nastavení - generování těch certifikátů (pro mě, který to neumí).
Jinak pro přístup domů používám právě OpenVPN, ale běží mi to na NASu od QNAPu.

K těm portům je to přesně jak píšeš.
Když (v rámci nějakého testu atd.) vystavím standartní MGMT porty (SSH 22, WinBox 8291, WebFig 80 atd.) veřejně do internetu, tak to netrván ani 5 minut a ihned na to naletí roboti. Stovky chybných pokusů o login skrz různá rozhraní. Zkrátka LOG je ve finále defacto jenom červený.
Sice nemají šanci hesla a jména "uhodnout" (vygenerovat), ale je to z mého pohledu zbytečné. Nedejbože se v tom protokolu najde nějaká bezpečnostní chyba......zkrátka prostě zastávám názor, že MGMT (stejně jako třeba RDP, SMB atd.) se do světa nevystavují. Proč zbytečně dráždit hada bosou nohou...

K těmto účelům se má udělat VPNka, připojit se VPNkou a pak si jít do vnitřní sítě kam chci (v závislosti na FW samozřejmě)....

vsn

nosek_tomas2004 tak na tu VPN se mi každý den také pokouší někdo dostat 🙂 stále mi chodí error maily s např.
184.105.139.68 failed to get valid proposal.
184.105.139.68 failed to pre-process ph1 packet (side: 1, status 1).
184.105.139.68 phase1 negotiation failed.

jinak to připojené na MK na neveřejné IP jsem vyřešil přes VPN ... kdy se mobilem, NTB připojím na mou VPN (MK1) a pak už po vnitřní síti na další MK napr. 192.168.0.1 atd. Akorát jsem na MK2 přidal daší zpáteční routu.

Vision2020

Mám vyzkoušeno MK-MK OpenVPN bez certifikátů, minimálně bez těch u klientů. Je na to volba Require Client Certificate v nastavení OVPN serveru. OVPN server v režimu ethernet, připojení ovpn klienti v jednom bridge, stačí se dostat na požadovaný mikrotik a zapnout web proxy. Pak se přes prohlížeč připojím kam potřebuju. Rychlost bohužel kolísá 5-10 Mbit, takže vhodné snad na nějaké konfigurace.

myghael

Na MikroTiku OpenVPN s certifikáty super jako tunel na management, případně malý provoz. Jede totiž stále (nepočítám-li stále ne stable verzi 7) pouze na TCP. A pouštět přes TCP tunel a v něm zase TCP prostě udělá takovou režii, že na větší toky je to nepoužitelné. Výhoda ale je, že na menší toky je to jednoduché a snadno se na to připojím mobilem, notebookem nebo klidně zase tím mikrotikem.

Alespoň pro site-to-site (propojení dvou sítí VPN mezi routery) mi přijde z hlediska funkčnosti a výkonu jako nejlepší IPSec, pokud oba konce mají veřejnou IP napřímo bez NATu, případně L2TP/IPSec, pokud je veřejná IP adresa jen na jedné straně.

Další stránka »