[Mikrotik] OpenVPN VLAN-nal

 ( sfeher | 2019. szeptember 20., péntek - 12:49 )

Hello,

Szeretném a routerre csatlakozó VPN klienseket egy külön VLAN-ba tenni, ahol egyetlen gépet érhetnek csak el.
A külön gép egy ESXi VM, aminek az egyik ethernet lába egy külön VLAN-ba van (portgroup). Ehhez csatlakozik a Mikrotik ether3 lába fizikailag.
Az ether3 pedig egy külön bridgbe van téve, ami az OpenVPN szervernél be van állítva.
Az OpenVPN kliensek Win 10-esek, ennél több lehetőség (pl. eszközt letenni) kliens oldalon nincs.
Lehetséges megoldani vagy engedjem el és izoláljak egyéb módon (tűzfal, routing stb) ?
Köszi!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

lehetséges

Ok. Megfogtál. Konkrét példát, linket tudnál mondani?
Köszönöm.

OpenVPN esetén Tap v Tun (ethernet v IP) tunnellel szeretnéd megoldani?
Azon a "szegmensen" van másik szerver is, amit így elérnének (és ezt szeretnéd blokkolni)?

Az zavaró, ha a kliensek esetleg láthatják egymást?

en siman routeolnam... egeszsegesebb.

Tun. Rajzoltam egy borzalmas ábrát, előre is elnézést érte. Talán segít. https://drive.google.com/open?id=10Za0-SyKYpJbbWFBUBqYE9cRpJPiciE7
Nincs más azon a szegmensen csak egy gép. Két lába van. Egyik a VPN-el csatlakozók számára. A másik a belső LAN (VLAN1) felé.
Nem zavaró, ha a kliensek látják egymást.

Ilyen rajzokra jó a draw.io :-)

Ha jó a route-olt forgalom (nem kell egy layer 2 szegmensben lenniük a szervernek és az ovpn klienseknek - erre következtetek, hogy tun interfésszel csinálod), akkor nem egy nagy dolog az egész.

A VLAN csak addig érdekes, amíg a VM-tól a router-ig megvan a kapcsolat. Ha fizikai interfészt kap az ESXi host-on az a bizonyos VM, akkor VLAN nem is kell egyáltalán sehová.

Az OVPN kliensek meg egy mindentől független IP tartományból kapjanak címet, és a router layer 3 szinten tudja az OVPN kliensek forgalmát a VM felé irányítani, és a normál tűzfalával tudod szabályozni, hogy mihez ne férjenek hozzá. A router és a VM közé meg teszel egy /30-as IP tartományt, és azt használod az útvonalakban.
Arra kell csak figyelned, hogy a VM-be fel kell venni kézzel az OVPN kliens tartományhoz az útvonalat a második interfészen keresztül, vagy a router-en kell egy SNAT az OVPN kliensek és a VM közé.

Az biztos, hogy egy 750-es Routerboard OVPN-en kb. 3-4 Mbit-et tud összesen (nem kliensenként), ott CPU limites. Szóval ez max. management vagy felügyeleti forgalomra elég, esetleg levelezni, de érdemi távmunkára semmiképp. Ha ilyesmi kellene, akkor inkább IPsec road warrior IKEv2-vel, az a 750Gr3-on, és a legtöbb újabb RB-on hardveresen gyorsított (750Gr3 kb. 400 Mbit-et tud IPsec AES esetén). Mondjuk ehhez érdemes legalább a router oldalon fix IP címmel rendelkezni (a kliens lehet dinamikus címen).

Köszönöm.
IPSec-el futok egy kört. A fix ip adott, remélem az ügyfél oldalon is engedik.

Szerintem te itt fizikailag leválasztottad a hálózatot, nem kell neked VLAN.
És szerintem router oldalon is megoldottad már a lényeget, egy bridge-ben vannak a VPN és a fizikai interface. Csak egy TAP-os OVPN szervert és klienst kell felkonfigurálnod.
Adj egy statikus IP címet valami külön belső tartományból a gépnek és a routernek(a bridge interface-nek).
A gépeknek meg definiálsz egy poolt ugyanebből a tartományból.(local ip: bridge ip, remote: a vpn pool)

Mi az ami még kérdéses?

S.

Elvileg nincs több kérdés :). Illetve maga az OVPN a kérdés most már... Amúgy meg mindegy, mert a megoldás tekintve nem sok különbség van csak.
Köszönöm!

nem sok helyen használunk Mikrotik+oVPN párost, a RouterOS-ban lévő oVPN implementáció egy kalap sz....

Nem tudom mennyi kliensed van, de minden oVPN kapcsolatra létrejön egy virtuális interface, pl.:

Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
13 DR ovpn-quash ovpn-in 1500

Ezekre tudsz akár rule-okat is felvenni:

/ip firewall filter add in-interface=ovpn-quash ....

Ergo ez alapján elég jól tudod őket szabályozni.
Persze 200 usernél ez elég macerás megoldás, de lehet hogy van wildcard, group vagy egyéb lehetőség egyben definiálni őket.

De szerintem felesleges ezt túl bonyolitani.
A klienseknek egy pool-ból osztasz IP-t, ebből a pool-ból minden bejövő/kimenő csomagot eldobsz, majd engeded a megfelelő irányba.

a fix pool-ból osztani nekik jobb ötlet, hiszen az interface _alapesetben_ dinamikus, azaz ha a dinamikus interface-re hozod létre a szabályt és lecsatlakozik az interface, a szabályban megadott interface rövid úton átváltozik "unknown"-ra

Hangsúlyozom, addig, amíg az interface dinamikus...

erre van pl interface list... aminek dinamikusan tagja az if, vpn profilbol jon

vagy a könnyebb út: lehet belőle statikusat csinálni :-)

hat kismillio usernel mar szopjon a fene a statikussal.... jo arra a DIL