Szeretnék egy VPN szervert beüzemelni.
A felállás :
Van egy 4-alhálózatból álló intranet : 192.168.168.0 , 192.168.0.0 , 192.168.1.0 , 192.168.169.0
Van egy belső virtuális proxy, amiben van 4 hálókártya (virtuális), az intézi a routolást a belső hálózat gépei részére.
A VPN szerver szintén egy virtuális gép lenne a 192.168.168.120 IP-vel.
Az internet felől egy TP-LINK router forwaldolja a megfelelő portokat (443,943,1194) a gép felé.
Kívülről mükszik is a dolog : Ha itthonról felcsatlakozok, látom a 192.168.168.0 -tartományban lévő gépeket.
De a feladat az lenne, hogy csak a 192.168.169.0 -tartomány és az abban lévő gépek legyen elérhető a VPN-kliensek számára, más nem.
OpenVPN AS-t teleptettem webes admin felülettel konfigoltam.
Ha valaki tudna segíteni, nagyon jó lenne.
- 8100 megtekintés
Hozzászólások
Szerintem csak az ahhoz a tartományhoz tartozó route-ot told ki a klienseknek, és tűzfalon (a 4 hálókártyás virtuális miaszöszön) is szűrheted a vpn server felőli forgalmat.
- A hozzászóláshoz be kell jelentkezni
Az a baj, hogy ha a 192.168.169.0 -t tolom ki a VPN szerverem akkor semmi sem elérhető a kliensek számára. Sem a 192.168.168.0 , sem a 192.168.169.0 tartomány. Valami a VPN cofigban nem stimmel. Csak hát eddig webesen configoltam a VPN-t.
- A hozzászóláshoz be kell jelentkezni
A felállás:
kliens --> internet --> TP-LINK router (IP:192.168.168.240)(port forwarding) --> VPN virtuális szerver (IP:192.168.168.140)(látja a 192.168.169.0 tartományt mert az ő GW-je 192.168.168.7-proxy,aminek van 4 kártyája a 4 tartomány felé).
Hogy kéne bekonfigolnom a VPN-t, hogy ne a 192.168.169.0 -at láttassa a VPN-kliensekne, hanem 192.168.169.0-t ??
Eddig az OpenVPN AS- csodával próbálkoztam webes configgal, de bármilyen más megoldás érdekel.
A fontos, hogy a kliensek usernévvel és jelszóval csatlakozzanak a VPN-szerverhez.
Zentyal-ban nem tudtam ezt megoldani.
- A hozzászóláshoz be kell jelentkezni
Hogy kéne bekonfigolnom a VPN-t, hogy ne a 192.168.169.0 -at láttassa a VPN-kliensekne, hanem 192.168.169.0-t ??
Ezt szerintem eshogy.
- A hozzászóláshoz be kell jelentkezni
Valoszinuleg elgepeles.
Mivel a 169-es C tartomanyt direkt nem fogjak elerni a gepek (kliens ... vpn .. proxy ... 169-es tartomany), ezert a
push "route 192.168.168.0 255.255.255.0 vpn_gateway"
beallitas lehet a nyero. Ezzel a kliens megkapja, hogy a 169-es tartomanyt a VPN gepen keresztul eri el, onnan meg belep a kepbe a syerver sajat routing tablaja.
En amivel 1-2x beszivtam, az az IP_forward bekapcsolasanak elmaradasa volt.
A 168-as tartomany vedelmere meg marad a tuzfal.
- A hozzászóláshoz be kell jelentkezni
így akartam írni :
Hogy kéne bekonfigolnom a VPN-t, hogy ne a 192.168.168.0 -at láttassa a VPN-kliensekne, hanem 192.168.169.0-t ??
- A hozzászóláshoz be kell jelentkezni
Egy Zyxel tűzfal tökjól tudná ezt. Az IPsec mellett meg lenne L2TP és SSL vpn is.
- A hozzászóláshoz be kell jelentkezni
Már eleve nem tűnik jónak az elgondolás azon része, hogy a fogadó nem abban a subnetben van, amit láttatni akarsz a klienssel...
Mivel a fogadó subnetjét eleve nem is kéne tudni a kliensnek, ezért én TUN VPN-t javasolnék, önálló saját subnet használatával. Ami extra, az két dolog: a fogadóba extra konfigként be kell tenni, hogy a fogadón keresztül látható a 192.168.169.0/24 subnet is. (push "route 192.168.10.0 255.255.255.0") A másik dolog, hogy a belső virtuális proxy nem fogja ismerni a VPN subnetjét, tehát vagy fel kell okosítani, hogy van egy 5. subnet is, amely a VPN fogadón keresztül érhető el - vagy a VPN fogadót kell felokosítani, hogy a VPN-ből jövő, de a 192.168.169.0/24 subnet felé tartó csomagokat maszkolja.
- A hozzászóláshoz be kell jelentkezni
Az a baj, hogy a TL-LINK router , amin az internettel vagyunk kapcsolatban, nem tud másik tartományba portot forwardolni (vagy én nem tudom, hogy hogyan kéne ezt rajta beállítani) .
Mert a TP-LINK 192.168.240 -ipn van, a VPN szerver a 192.168.168.140 -ipn, de nekem még is a 192.168.169.0 -tartományban lévő néhány gépet szabad csak elérni hagyni.
- A hozzászóláshoz be kell jelentkezni
Jól gondolom, hogy a forward megadásnál a 192.168.168 fix és csak az utolsó elemét tudod beállítani az IP címnek? Ebben az esetben a másik három subnet hogy lát ki a netre? Jól gondolom, hogy a "belső virtuális proxy" a többi subnetet NAT-olja?
Ebben az esetben az is megoldás lehet, hogy a portforward ezt a portot (VPN fogadó portja) a belső virtuális proxyra tolja be - az meg tovább forwardolja a 192.168.169.0/24-be, pontosabban ott egy konkrét IP-re, amelyre a fogadó-t telepíted.
- A hozzászóláshoz be kell jelentkezni
Az a baj, hogy a TL-LINK router , amin az internettel vagyunk kapcsolatban, nem tud másik tartományba portot forwardolni (vagy én nem tudom, hogy hogyan kéne ezt rajta beállítani) .
Mert a TP-LINK 192.168.240 -ipn van, a VPN szerver a 192.168.168.140 -ipn, de nekem még is a 192.168.169.0 -tartományban lévő néhány gépet szabad csak elérni hagyni az internet felől VPN-kliensekkel.
Ezek PLC-k lennének, és a külső cég csak VPN-nel akarja elérni őket.
- A hozzászóláshoz be kell jelentkezni
Na ez rendesen meg lett bonyolítva... (vagy Én értem félre)
Eleve nem igazán értem, hogy mit keres itt a 443 és 943-as port. Persze ezekre is rá lehet ültetni a VPN-t, de talán nem szükséges.
A helyett, hogy boncolgatnám a "miért nem szerencsés/jó" felállást, elmondom nálam hogy megy és ebből Én hogy csinálnám nálad.
Az Én felállásom:
Internet----- | gateway |-vlan1
-vlan2
-vlan3
-vlan_n
Van N darab portom: 1194,1195, 1196 stb. Attól függően, hogy melyik portra csatlakozik, abba a vlan-ba jelentkezik be.
Van egy olyan VLAN-om, aminek a címe: 192.168.16.0, ez otthon azért ritkán használatos, így az otthoni címekkel valószínű nem ütközik. Ebbe a tartományba igazából nincs is gép, csak a gateway van egyedül, de aki ebbe belép VPN-el, annak a megfelelő szervercímeket direktbe kiroutolom. Pl. van egy 192.168.1.3-as szerver, akkor az megy a cliensnek, hogy ez az _egyetlen_ cím a 192.168.16.1 felé van, aki viszont már látja a az adott szegmenst.
Node akkor a Te példádat hogy alakítanám át:
Legyen továbbra is a VPN szervered címe 192.168.168.120. Erre még felvenném a többi VLAN-ok 1-1 címét és a VPN-t úgy konfigolnám, hogy a különböző portok más-más VPN szegmensre-re jelentkeztessen be.
Az, hogy "látom a többi gépet" mit jelent? Windows tallózással?
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
'Az, hogy "látom a többi gépet" mit jelent? Windows tallózással?'
Ping -elhetők.
Nagyjából én is erre a következtetésre jutottam.
A VPN szerveren beállítok két hálókártyát : 192.168.168.120 és 192.168.169.120
Bejön a kliens a TP-LINK routeren >> port forward >> VPN (192.168.168.120) >> Na és itt akadtam el !! Hogyan lehet a VPN szerverben beállítani, hogy csak a 192.168.169.120 kártyán lépjen tovább a 192.168.169.0 tartományba ?
Iptables ?
- A hozzászóláshoz be kell jelentkezni
Az, hogy a 192.168.169.120 címre kapcsolódik, az nem azt jelenti, hogy abból kell neki címet kapnia, sőt! De miért is akarod a 192.168.169.120 cím felé irányítani a 192.168.169.0 tartományt, amikor azt már tudja a géped?
A cliens-nek fix ip-t szoktam tolni, és ott ilyenek vannak:
-----eth0/192.168.169.120| VPN masina |eth1.1/192.168.169.0
eth1.2/192.168.100.0
Az eth1.2-t csak példának írtam. Az eth1-et trönkbe kell bekötni a switchbe.
Meg lehet csinálni 1 hálókártyával is, de ott is trönkölni kell.
- A hozzászóláshoz be kell jelentkezni
Vagy nem olvastad végig, amit írtam, vagy én nem értem.
Tehát :
Külső cég >> Internet >> TP-LINK router (fix IP kivülről, és 192.168.168.240 belülről) >> VPN szerver (192.168.168.140 ip, és esetleg még egy hálókarival 192.168.169.140 ip) >> ????
Az a feladat, hogy a belső hálózatban lévő 4 alhálózat közül csak egyet lehessen elérni a külső cég számára VPN-nel, a 192.168.169.0-tartományban lévő PLC-ket. Itt 10 PLC van eddig, amit el akarnak érni, de csak VPN-nel tudják, mert ezt mondták.
A TP-link routerben nincs több forwardolási lehetőség, mert mind a 32 ki van használva, amit a gyári firmware nyújt. Ezért kell csak 3: 443,943,1194 (vagy 1: 1194) portot forwardolni a VPN szerver felé, ami majd megoldja a dolgot.
- A hozzászóláshoz be kell jelentkezni
Nézzük át újra.
Publikus IP-re kapcsolódik, amit forwardolsz befele a 192.168.168.140 VPN-es gépre. Ennek a gépnek van egy másik lába 192.168.169.140, ahova be szeretnéd engedni a PLC-seket.
Miután felépül a VPN, kap egy címet pl. 192.168.169.150, ehhez egy 255.255.255.0-as netmaskot. Így ezt a tartományt tudja, hogy hol van.
A 192.168.168.140-as címről és annak tartományáról viszont semmit sem fog tudni. Az egy másik tészta, ha otthon Ő manuálisan felveszi a tartományt és azt mondja, hogy a 192.168.168.0/24-et a 192.168.169.140 felé keresse. Akkor igen elérheti, ide tényleg iptables kell már.
- A hozzászóláshoz be kell jelentkezni
Én is erre gondoltam. Akkor így lesz. Adok a VPN -szervernek egy második hálókártyát oszt csókolom...
- A hozzászóláshoz be kell jelentkezni
'mit keres itt a 443 és 943-as port'
Ez az OPENVPN AS szabványos web portjai. A 943 az admin port, itt lehet webesen configolni a szervert. A 443 -on pedig el lehet érni a kliensekkel, pl. innen tudja letölteni, importálni a kliens a saját VPN-config beállításait (windows kliens esetén hasznos).
- A hozzászóláshoz be kell jelentkezni
Érdekes, meg fogom nézni. Köszi!
- A hozzászóláshoz be kell jelentkezni
Megvan a megoldás.
A VPN szerverbe tettem még egy hálókártyát. így van benne 2.
192.168.168.120 és 192.168.169.120
A felállás :
Külső cég >> Internet >> TP-link Router(192.168.168.240) >> VPN szerver eth0(192.168.168.120) >> VPN szerver eth1(192.168.169.120) >> Látható tartomány (192.168.169.0) csak ez és semelyik másik.
Ezt akartam.
Köszi a segítséget mindenkinek.
- A hozzászóláshoz be kell jelentkezni