- 347 megtekintés
Hozzászólások
A WIFI Router NAT-ol is vagy csak sima router? Ha sima router akkor annyi hogy felveszed a VPN serverre static route-nak a 192.168.200.0/22 tartományt a wifi router WAN címével mint gateway.
Ha NAT-ol akkor pedig portforwardolnod kell és a portforwardokat a wifi WAN címén éred el.
- A hozzászóláshoz be kell jelentkezni
Igen NAT-ol is. Nem biztos hogy értem amit mondasz: "Ha NAT-ol akkor pedig portforwardolnod kell és a portforwardokat a wifi WAN címén éred el."
Igazából dupla NAT van, a tűzfalon is és a router-en is megvannak jelenleg ugyanazok a port forward-ok. (Igen tudom my shame... ). Így nyilván elérem VPN-en keresztül a router címe:port -on az egyes szolgáltatásokat, de ez szinte ugyanaz mintha a tűzfal wan címe felől tenném. Tehát nem ezt akarom, hanem valódi helyi háló hozzáférést attól függetlenül hogy mi van kiengedve tűzfalon/NAT-on és mi nincs.
- A hozzászóláshoz be kell jelentkezni
Ha NAT-ol akkor nem lesz sehogy "valódi helyi hálózati hozzáférés".
Ne kerülgesd a témát, dobd ki azt az izét onnan középről.
- A hozzászóláshoz be kell jelentkezni
Én egyszerűsítenék és ahogy írod te is kivenném a "WIFI Router" router funkcióját a láncból és csak WIFI AP-nek használnám. Onnantól kezdve kész vagy igazából ha jól értem.
- A hozzászóláshoz be kell jelentkezni
Ez abszolút így igaz. :-) A szabályokat átnézését/összefésülését és a AP-vé való alakítást akarom egyelőre elodázni. (Mesh rendszer, több slave eszközzel, guest hálóval, a slave-eket feltételezhetően külön VLAN-ra kéne kitennem, emiatt a router és slave-ek közötti switch-eket konfigolni...)
Gondoltam még site to site VPN-re a router és a tűzfal mögött, de úgy érzem ágyúval verébre. Ráadásul a router oldalán ez fizetős funkció, emiatt sem jön szóba.
- A hozzászóláshoz be kell jelentkezni
Ha a feladatot mindenképpen így kell megoldani, akkor nekem a következő megoldás lenne szimpatikus:
- a VPN önálló LAN (pl. 10.1.2.0/24)
- a VPN klienssel tudatod, hogy a fogadó mögött elérhető a helyi LAN
- a tűzfalon felveszel egy extra szabályt, hogy a helyi LAN felé (192.168.200.0/22) a gw a WiFi router WAN lába
- a tűzfalon szigorú szabályt állítasz, hogy a helyi LAN felé kizárólag a VPN subnetből engedélyezett a forgalom, sehonnan máshonnan,
- a WiFi WAN lábán beengeded a VPN subnet forgalmát
- a WiFi WAN lábán a kimenő forgalmat csak akkor maszkolod, ha a cél nem a VPN subnet
Na most ami a kérdés, hogy milyen eszköz a tűzfal és milyen eszköz a WiFi router, hogy ezeket a beállításokat kisujjból kirázod vagy vért csurrantva se tudod beállítani.
Ha módosítható a felállás, akkor a fogadót a WiFi routerre tenném és a tűzfalon portforwarddal betolnám a routerre a VPN kapcsolat forgalmát.
- A hozzászóláshoz be kell jelentkezni
Hm, adsz a Routernak is egy ip-t a vpn szervertől.
üdv: pomm
A 852-es kídlap telepötúsa sikeresen befejezádétt
- A hozzászóláshoz be kell jelentkezni