VPN beállítása alhálózatra (MEGOLDVA)

 ( levideo | 2014. június 25., szerda - 20:36 )

Szeretnék egy VPN szervert beüzemelni.
A felállás :
Van egy 4-alhálózatból álló intranet : 192.168.168.0 , 192.168.0.0 , 192.168.1.0 , 192.168.169.0
Van egy belső virtuális proxy, amiben van 4 hálókártya (virtuális), az intézi a routolást a belső hálózat gépei részére.
A VPN szerver szintén egy virtuális gép lenne a 192.168.168.120 IP-vel.
Az internet felől egy TP-LINK router forwaldolja a megfelelő portokat (443,943,1194) a gép felé.
Kívülről mükszik is a dolog : Ha itthonról felcsatlakozok, látom a 192.168.168.0 -tartományban lévő gépeket.

De a feladat az lenne, hogy csak a 192.168.169.0 -tartomány és az abban lévő gépek legyen elérhető a VPN-kliensek számára, más nem.

OpenVPN AS-t teleptettem webes admin felülettel konfigoltam.

Ha valaki tudna segíteni, nagyon jó lenne.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szerintem csak az ahhoz a tartományhoz tartozó route-ot told ki a klienseknek, és tűzfalon (a 4 hálókártyás virtuális miaszöszön) is szűrheted a vpn server felőli forgalmat.

Az a baj, hogy ha a 192.168.169.0 -t tolom ki a VPN szerverem akkor semmi sem elérhető a kliensek számára. Sem a 192.168.168.0 , sem a 192.168.169.0 tartomány. Valami a VPN cofigban nem stimmel. Csak hát eddig webesen configoltam a VPN-t.

A felállás:
kliens --> internet --> TP-LINK router (IP:192.168.168.240)(port forwarding) --> VPN virtuális szerver (IP:192.168.168.140)(látja a 192.168.169.0 tartományt mert az ő GW-je 192.168.168.7-proxy,aminek van 4 kártyája a 4 tartomány felé).

Hogy kéne bekonfigolnom a VPN-t, hogy ne a 192.168.169.0 -at láttassa a VPN-kliensekne, hanem 192.168.169.0-t ??

Eddig az OpenVPN AS- csodával próbálkoztam webes configgal, de bármilyen más megoldás érdekel.
A fontos, hogy a kliensek usernévvel és jelszóval csatlakozzanak a VPN-szerverhez.
Zentyal-ban nem tudtam ezt megoldani.

Hogy kéne bekonfigolnom a VPN-t, hogy ne a 192.168.169.0 -at láttassa a VPN-kliensekne, hanem 192.168.169.0-t ??
Ezt szerintem eshogy.

Valoszinuleg elgepeles.
Mivel a 169-es C tartomanyt direkt nem fogjak elerni a gepek (kliens ... vpn .. proxy ... 169-es tartomany), ezert a

push "route 192.168.168.0 255.255.255.0 vpn_gateway"

beallitas lehet a nyero. Ezzel a kliens megkapja, hogy a 169-es tartomanyt a VPN gepen keresztul eri el, onnan meg belep a kepbe a syerver sajat routing tablaja.
En amivel 1-2x beszivtam, az az IP_forward bekapcsolasanak elmaradasa volt.

A 168-as tartomany vedelmere meg marad a tuzfal.

így akartam írni :

Hogy kéne bekonfigolnom a VPN-t, hogy ne a 192.168.168.0 -at láttassa a VPN-kliensekne, hanem 192.168.169.0-t ??

Egy Zyxel tűzfal tökjól tudná ezt. Az IPsec mellett meg lenne L2TP és SSL vpn is.

Már eleve nem tűnik jónak az elgondolás azon része, hogy a fogadó nem abban a subnetben van, amit láttatni akarsz a klienssel...
Mivel a fogadó subnetjét eleve nem is kéne tudni a kliensnek, ezért én TUN VPN-t javasolnék, önálló saját subnet használatával. Ami extra, az két dolog: a fogadóba extra konfigként be kell tenni, hogy a fogadón keresztül látható a 192.168.169.0/24 subnet is. (push "route 192.168.10.0 255.255.255.0") A másik dolog, hogy a belső virtuális proxy nem fogja ismerni a VPN subnetjét, tehát vagy fel kell okosítani, hogy van egy 5. subnet is, amely a VPN fogadón keresztül érhető el - vagy a VPN fogadót kell felokosítani, hogy a VPN-ből jövő, de a 192.168.169.0/24 subnet felé tartó csomagokat maszkolja.

Az a baj, hogy a TL-LINK router , amin az internettel vagyunk kapcsolatban, nem tud másik tartományba portot forwardolni (vagy én nem tudom, hogy hogyan kéne ezt rajta beállítani) .

Mert a TP-LINK 192.168.240 -ipn van, a VPN szerver a 192.168.168.140 -ipn, de nekem még is a 192.168.169.0 -tartományban lévő néhány gépet szabad csak elérni hagyni.

Jól gondolom, hogy a forward megadásnál a 192.168.168 fix és csak az utolsó elemét tudod beállítani az IP címnek? Ebben az esetben a másik három subnet hogy lát ki a netre? Jól gondolom, hogy a "belső virtuális proxy" a többi subnetet NAT-olja?
Ebben az esetben az is megoldás lehet, hogy a portforward ezt a portot (VPN fogadó portja) a belső virtuális proxyra tolja be - az meg tovább forwardolja a 192.168.169.0/24-be, pontosabban ott egy konkrét IP-re, amelyre a fogadó-t telepíted.

Az a baj, hogy a TL-LINK router , amin az internettel vagyunk kapcsolatban, nem tud másik tartományba portot forwardolni (vagy én nem tudom, hogy hogyan kéne ezt rajta beállítani) .

Mert a TP-LINK 192.168.240 -ipn van, a VPN szerver a 192.168.168.140 -ipn, de nekem még is a 192.168.169.0 -tartományban lévő néhány gépet szabad csak elérni hagyni az internet felől VPN-kliensekkel.

Ezek PLC-k lennének, és a külső cég csak VPN-nel akarja elérni őket.

Na ez rendesen meg lett bonyolítva... (vagy Én értem félre)
Eleve nem igazán értem, hogy mit keres itt a 443 és 943-as port. Persze ezekre is rá lehet ültetni a VPN-t, de talán nem szükséges.

A helyett, hogy boncolgatnám a "miért nem szerencsés/jó" felállást, elmondom nálam hogy megy és ebből Én hogy csinálnám nálad.

Az Én felállásom:

Internet----- | gateway |-vlan1
                         -vlan2
                         -vlan3
                         -vlan_n

Van N darab portom: 1194,1195, 1196 stb. Attól függően, hogy melyik portra csatlakozik, abba a vlan-ba jelentkezik be.

Van egy olyan VLAN-om, aminek a címe: 192.168.16.0, ez otthon azért ritkán használatos, így az otthoni címekkel valószínű nem ütközik. Ebbe a tartományba igazából nincs is gép, csak a gateway van egyedül, de aki ebbe belép VPN-el, annak a megfelelő szervercímeket direktbe kiroutolom. Pl. van egy 192.168.1.3-as szerver, akkor az megy a cliensnek, hogy ez az _egyetlen_ cím a 192.168.16.1 felé van, aki viszont már látja a az adott szegmenst.

Node akkor a Te példádat hogy alakítanám át:
Legyen továbbra is a VPN szervered címe 192.168.168.120. Erre még felvenném a többi VLAN-ok 1-1 címét és a VPN-t úgy konfigolnám, hogy a különböző portok más-más VPN szegmensre-re jelentkeztessen be.

Az, hogy "látom a többi gépet" mit jelent? Windows tallózással?

+1

'Az, hogy "látom a többi gépet" mit jelent? Windows tallózással?'

Ping -elhetők.

Nagyjából én is erre a következtetésre jutottam.
A VPN szerveren beállítok két hálókártyát : 192.168.168.120 és 192.168.169.120
Bejön a kliens a TP-LINK routeren >> port forward >> VPN (192.168.168.120) >> Na és itt akadtam el !! Hogyan lehet a VPN szerverben beállítani, hogy csak a 192.168.169.120 kártyán lépjen tovább a 192.168.169.0 tartományba ?
Iptables ?

Az, hogy a 192.168.169.120 címre kapcsolódik, az nem azt jelenti, hogy abból kell neki címet kapnia, sőt! De miért is akarod a 192.168.169.120 cím felé irányítani a 192.168.169.0 tartományt, amikor azt már tudja a géped?

A cliens-nek fix ip-t szoktam tolni, és ott ilyenek vannak:

-----eth0/192.168.169.120| VPN masina |eth1.1/192.168.169.0
                                       eth1.2/192.168.100.0

Az eth1.2-t csak példának írtam. Az eth1-et trönkbe kell bekötni a switchbe.
Meg lehet csinálni 1 hálókártyával is, de ott is trönkölni kell.

Vagy nem olvastad végig, amit írtam, vagy én nem értem.
Tehát :
Külső cég >> Internet >> TP-LINK router (fix IP kivülről, és 192.168.168.240 belülről) >> VPN szerver (192.168.168.140 ip, és esetleg még egy hálókarival 192.168.169.140 ip) >> ????

Az a feladat, hogy a belső hálózatban lévő 4 alhálózat közül csak egyet lehessen elérni a külső cég számára VPN-nel, a 192.168.169.0-tartományban lévő PLC-ket. Itt 10 PLC van eddig, amit el akarnak érni, de csak VPN-nel tudják, mert ezt mondták.

A TP-link routerben nincs több forwardolási lehetőség, mert mind a 32 ki van használva, amit a gyári firmware nyújt. Ezért kell csak 3: 443,943,1194 (vagy 1: 1194) portot forwardolni a VPN szerver felé, ami majd megoldja a dolgot.

Nézzük át újra.
Publikus IP-re kapcsolódik, amit forwardolsz befele a 192.168.168.140 VPN-es gépre. Ennek a gépnek van egy másik lába 192.168.169.140, ahova be szeretnéd engedni a PLC-seket.
Miután felépül a VPN, kap egy címet pl. 192.168.169.150, ehhez egy 255.255.255.0-as netmaskot. Így ezt a tartományt tudja, hogy hol van.
A 192.168.168.140-as címről és annak tartományáról viszont semmit sem fog tudni. Az egy másik tészta, ha otthon Ő manuálisan felveszi a tartományt és azt mondja, hogy a 192.168.168.0/24-et a 192.168.169.140 felé keresse. Akkor igen elérheti, ide tényleg iptables kell már.

Én is erre gondoltam. Akkor így lesz. Adok a VPN -szervernek egy második hálókártyát oszt csókolom...

'mit keres itt a 443 és 943-as port'

Ez az OPENVPN AS szabványos web portjai. A 943 az admin port, itt lehet webesen configolni a szervert. A 443 -on pedig el lehet érni a kliensekkel, pl. innen tudja letölteni, importálni a kliens a saját VPN-config beállításait (windows kliens esetén hasznos).

Érdekes, meg fogom nézni. Köszi!

Megvan a megoldás.

A VPN szerverbe tettem még egy hálókártyát. így van benne 2.
192.168.168.120 és 192.168.169.120

A felállás :
Külső cég >> Internet >> TP-link Router(192.168.168.240) >> VPN szerver eth0(192.168.168.120) >> VPN szerver eth1(192.168.169.120) >> Látható tartomány (192.168.169.0) csak ez és semelyik másik.

Ezt akartam.
Köszi a segítséget mindenkinek.