Publikus IP-k VPN-en keresztül

Hálózatok általános

Sziasztok!

A következő dologban szeretnék kérni felvilágosítást: van egy hálózatom helyben, viszonylag sok klienssel akiknek publikus ip-t szeretnék osztani. A VH-ban van egy routerem, illetve bérlek egy tartományt. Az itthoni router és a VH-ban lévő router között csináltam egy pptp kapcsolatot, de nem tudom, hogy mi lenne ezek után a legcélszerűbb lépés. Mikrotik eszközökről van szó, ha valaki tudna segíteni milyen irányban induljak el megköszönném!

  • 4291 megtekintés

( n.balazs v | 2012. 10. 17., sze – 19:04 )

Nem egészen világos, ezért megkérdezem: van több kliensed, akiknek önálló, egyedi publikus ip-t akarsz adni kliensenként? A kliensek a VPN végpontok vagy a helyi router?
Egyébként a routing táblát kell csak kitöltened (mindkét routeren), ha a helyi router a VPN végpont. Ha a kliens a VPN végpont, akkor pedig csak a VH routert kell babrálnod.

Már hogy ne lenne? /24 esetén van ugye egy 253 címet tartalmazó IP tartomány (egy a gateway a szolgáltatótól), amiből 2 címet felhúz a szerverre. Az egyiket a publikus IF-re, a másikat megadja a PPTP szervernek "saját" címnek és beállítja a többit pedig beállítja a PPTPd-nek, hogy ossza ki a klienseknek. Ezután a szerveren beállítja a proxy ARP-ot és máris mindenki kapott dedikált publikus IP címet anélkül, hogy sokat kellene szenvedni vele. Ez nagyjából max egy fél órás meló tisztességes tűzfal konfolásával együtt is.

( mauzi v | 2012. 10. 17., sze – 20:56 )

Szia!

A "viszonylag sok kliens" az egy helyen van? (Ha jól értem, otthon?)

Ha IP tartományod van (pl: /24), akkor azt tudod subnetekre osztani. (pl: két /25-re, lásd: CIDR) Ekkor az egyik subnetet haza tudod route-olni egy VPN-en, vagy IP tunnelen keresztül. A subnet beállításához persze a szolgáltató közreműködése is szükséges, hiszen onnantól az ő routerének feléd néző "lábára" nem a teljes (pl. /24) hálózatot kell felkonfigurálni, hanem csak az egyik subnetet (pl: /25)

Persze, a szolgáltatónak a külvilág felé az egész tartományodat hirdetnie kell (BGP) de szerintem konzultálj a szolgáltatód hálózatos emberkéjével, mert kellő kompetencia birtokában egy ilyet beállítani pár perces rutin beavatkozás...

Szia!

Sajnos nem itthon van az összes. Vannak pl.: tanyák, ahol térfigyelő kamerákat kellene elérni net felől.
Ip tartományom van /23. A dolgot bonyolítja, hogy redundáns betápom van, fizikailag is más helyen és más szolgáltatónál, ráadásul az ip tartományt egy harmadik szolgáltatótól szereztem.. :( Persze úgy lenne jó, ha valami probléma lenne az egyik gerinccel és átterhelnék a másikra, akkor is minden menjen tovább.

A betápnak mi köze az IP-hez? :)

A /23-at remekül lehet "darabolni" izlés szerint /24 - /29 tartományokra, attól függően, hogy hol hány IP címre van szükség.

Mondjuk, ha egy telephelyen csak 1 publikus IP kell, akkor tényleg fölösleges oda elpazarolni route-olt hálózattal legalább 4 IP címet, akkor oda elég egy PPTP kapcsolat, a megfelelő route-olással.

Basszus, elkezdtem felvázolni egy komoly hálózati topológiát, de közben leesett, hogyha átterhelek a másik betápra akkor a vpn a másik ISP-n ugyanúgy fog működni. :)
Viszont egyelőre az nem világos, hogy ezt a tartományt hol kell felvennem, a VH-s routeren vagy azon a routeren, ahol a kliensek vannak.

Mindenképp a VH-s routereden. A bix-local lan között pedig célszerű inkább valami IPSec tunnelt kihúzni és
a klienseknek adott publikus IP-ket beleroutolni a tunnelbe. A local lan-on meg policy routing kell, hogy a publikus című gépek default route-ja a tunnelbe mutasson és a bix-es routereden pottyanjon ki a netre.
Igazából pedig az lenne a legjobb, ha bix-ben csinálnál egy valamiféle L2TP szervert (linuxon volt már sikerélményem xl2tpd-vel) és a kliensek oda tárcsáznának be. Jaigen, ehhez alapból publikus IP címre van szüksége a kliensnek :) Viszont ezt is meg tudod oldani tunnelezéssel + privát címekkel. Ami, ha jobban belegondolok, nettó önszopatás, olyan kicsi lesz a végén az MTU-d, hogy egy rakat alkalmazás fog veled együtt sírógörcsöt kapni... :)
Juteszembe, a legtöbb ISP ad már L2 összeköttetéseket is pont-pont kapcsolatra (AToM vagy carrier ethernet), ez lenne a legtutibb.

Az egyszerű megoldások gyönyörködtetnek. Minek komplikálni?

1.) Darabolás. Fel kell osztani a /23-at megfelelő számú, és méretű tartományra.

2.) Meg kell fogni egy subnetet a központi router upstream kapcsolatának. Fel kell konfigurálni mindkét oldalon, tehát a szolgáltatónál is.

3.) Meg kell fogni egy másik subnetet, amiből a tunnel végpontok lesznek kiosztva. A tunnel technológia szabadon válaszott. Amennyiben a végpontokon fix publikus IP van, akkor semmi extra szoftver nem kell, simán mehet az "ip tunnel add tun0 / ifconfig tun0", vagy az adott oprendszer-beli megfelelője. Ha nincs a távoli végponton fix publikus IP, akkor kell valami tunnel szoftver, ami megoldja ezt a problémát. (PPTP, vtund, ...)

3.) A távoli végpontokon, és a központi routerben fel kell konfigurálni a tunneleket (a távoli hálók felrouteolásával egyetemben)

4.) A távoli végpontokon fel kell konfigurálni a helyi subneteket

Kész.

( athila v | 2012. 10. 17., sze – 21:37 )

Szerintem vegyél IPVPN -t valamelyik ISP-től, megcsinálják neked könnyen, gyorsan.
Persze pénzbe kerül. :)

( hg2ebh | 2012. 10. 18., cs – 09:40 )

A VH és a helyi router közti tunnelben lerouteolod a tartományt a helyi routerre.
A helyi klienseknek meg vagy DHCP-vel kiosztod vagy PPPoE-val betárcsáztatod a helyi routerre. Ennyi.

( hunti v | 2012. 10. 18., cs – 12:00 )

Kicsit talán off, de tudtok ajánlani valami szoftvert amivel az itt említett megoldásokat le tudnám esetleg virtualizálni, vagy amin gyakorolni tudok? Érdekel a téma, és szívesen megpróbálnák valami hasonlót megépíteni csak hogy beletanuljak a dolgokba. Vagy csináljak inkább pár virtuális gépet, és azokkal próbáljak meg valami hasonlót felvázolni?