Trzepak.pl


Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: pt, 31 sty 2020 19:12:34 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pn, 24 sie 2015 23:36:46
Posty: 792
Cześć.

Stoi sobie na Ubuntu Samba, która przydziela (lub nie) zasoby maszynom na podstawie MAC (w sumie to na podstawie IP, ale IP przyznawane na podstawie MAC).
Po localu wszystko działa. Po VPN-ie kiedyś też działało. Po wymianie mikrotika na inny model przestało.

Kiedy ze zdalnej maszyny połączę się z VPN-em w domu, staję się jednym z urządzeń wewnątrz LAN, i otrzymuję adres 192.168.1.91. To adres uprawniony do wybranego zasobu Samby.
Jednak Samba odrzuca połączenie.

Zaglądam do logu samby i co widzę?

Kod:
[2020/01/31 18:02:37.487850,  0] ../lib/util/access.c:365(allow_access)
  Denied connection from 192.168.1.1 (192.168.1.1)


Wygląda jakby zapytanie do Samby przychodziło nie ze zdalnej maszyny połączonej po VPN z mikrotikiem na którym VPN stoi (czyli z adresu 192.168.1.91) ale z ale przychodziło z mikrotika, na którym VPN jest postawiony (192.168.1.1).

Co skopałem, że Samba klientem widzi mikrotika a nie maszynę, która podłączyła się do VPN-u?


Na górę
Post: pt, 31 sty 2020 22:49:42 
Odpowiedz z cytatem
Offline
Administrator
Administrator
Awatar użytkownika

Rejestracja: pt, 28 paź 2005 0:39:53
Posty: 15943
Lokalizacja: Wrocław
a jak wygląda nat?

_________________
http://www.krt.net.pl - Internet Wrocław do domu
http://www.teleport.net.pl - Internet dla biznesu.


Na górę
Post: sob, 08 lut 2020 15:52:34 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pn, 24 sie 2015 23:36:46
Posty: 792
No właśnie. Zachowanie takie, jakby między klientem VPN-a postawionego na mikrotiku będącym bramą, a sambą postawioną na maszynie w LANie, działał NAT.
Klient wbija na sambę z adresu 192.168.56.91 a samba widzi logowanie ze 192.168.56.1. Dokładnie jakby między Sambą i klientem VPN-a działał nat.

W takim razie jak to wyklikać w WinBox-ie, by klient VPN-a "lądował" wewnątrz LAN-u? Innymi słowy, jak sprawić, by adres 192.168.56.91 był widziany jako jeden z adresów LAN (192.168.56.0/24)?


Na górę
Post: sob, 08 lut 2020 22:17:15 
Odpowiedz z cytatem
Offline
Administrator
Administrator
Awatar użytkownika

Rejestracja: pt, 28 paź 2005 0:39:53
Posty: 15943
Lokalizacja: Wrocław
L2TP lub routing bez nat. nie pokazałeś konfigu, a szklana kula jest w serwisie na czyszczeniu.

_________________
http://www.krt.net.pl - Internet Wrocław do domu
http://www.teleport.net.pl - Internet dla biznesu.


Na górę
Post: sob, 08 lut 2020 22:34:53 
Odpowiedz z cytatem
Offline
Leniwy eseista
Leniwy eseista

Rejestracja: czw, 12 lut 2015 0:02:27
Posty: 586
Lokalizacja: Łódź
Bez configu SOA#1 ;)

Wysłane z mojego Neffos Y5s przy użyciu Tapatalka


Na górę
Post: śr, 12 lut 2020 8:10:10 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pn, 24 sie 2015 23:36:46
Posty: 792
Mój konfig jest taki, ewentualnie dajcie znać, co pokazać:

Firewall -> Filter Rules:
https://i.imgur.com/L0KZi3E.png
https://i.imgur.com/K7FzTQw.png

Firewall -> NAT:
https://i.imgur.com/JuFNaJg.png

L2TP Server:
https://i.imgur.com/DyMBEOe.png

PPP Secrets:
https://i.imgur.com/wdGz8yd.png
https://i.imgur.com/pYzbYWh.png


Na górę
Post: śr, 12 lut 2020 9:47:31 
Odpowiedz z cytatem
Offline
Administrator
Administrator
Awatar użytkownika

Rejestracja: pt, 28 paź 2005 0:39:53
Posty: 15943
Lokalizacja: Wrocław
w nat ustaw interfejsy wan jako listę out interface, żeby lokalnie tylko routowało. (radio/neostrada, vpn nie)

_________________
http://www.krt.net.pl - Internet Wrocław do domu
http://www.teleport.net.pl - Internet dla biznesu.


Na górę
Post: czw, 13 lut 2020 8:04:39 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pn, 24 sie 2015 23:36:46
Posty: 792
lukpiot pisze:
w nat ustaw interfejsy wan jako listę out interface, żeby lokalnie tylko routowało. (radio/neostrada, vpn nie)


No właśnie (celowo) nie precyzowałem który WAN, bo są dwa. Kojarzysz, jak stworzyć listę interfejsów WAN? Bo z tego, co widzę, w polu wyboru mam tylko coś takiego:

Obrazek


Na górę
Post: czw, 13 lut 2020 11:55:27 
Odpowiedz z cytatem
Offline
Młodszy czytelnik
Młodszy czytelnik

Rejestracja: czw, 07 lut 2019 3:16:56
Posty: 57
w interfejsach, chtba druga zakładka


Na górę
Post: czw, 13 lut 2020 21:53:09 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pn, 24 sie 2015 23:36:46
Posty: 792
Coś takiego?

Obrazek


I maskarada:

Obrazek


Maskarada, po staremu, ma zapewnić maszynom z obu podsieci dostęp do internetu.

Czy dodaniem obu interfejsów wanowych do Out. Interface (list) wyeliminuje NAT na drodze klinet VPN (WAN) -> Samba (LAN)?
Inaczej pytając - czy teraz klient VPN-a wyląduje wewnątrz sieci LAN i jako taki będzie widziany przez wszystkie maszyny wewnątrz LAN?


Na górę
Post: czw, 13 lut 2020 23:57:29 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pn, 24 sie 2015 23:36:46
Posty: 792
Dobra, Panowie, widzę, że błądzimy ;-)

Widzę, że już kiedyś walczyłem z tematem, i sobie wtedy poradziłem, tyle, że wtedy jeszcze w PPTP. Ale temat generalnie ten sam.

Tam się rozbiło o Proxy-ARP -> viewtopic.php?f=26&t=54302&hilit=vpn#p457177

Ale teraz próbuję powtórzyć ten krok i nie śmiga.

Wtedy miałem innego mikrotika i proxy-arp ustawiłem na ether2 czyli niegdysiejszym interfejsem LANowym.
Dzisiaj mam kilka interfejsów LAN spiętych w bridge:

Obrazek


Obrazek


Próbuję zarówno na bridge-u (domownicy) jak i bezpośrednio na ether3 ustawić proxy-arp, ale nic się nie zmienia. Samba ciągle widzi mnie (klienta VPN-a) pod adresem LANowym samego mikrotika.

Jakieś pomysły?


Na górę
Post: pt, 14 lut 2020 8:55:46 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pn, 24 sie 2015 23:36:46
Posty: 792
No i stoję w miejscu...

Podłączony do hotelowego WiFi łączę się z domowym VPN-em.

Jak widać poniżej:
- mogę pingować na adres LAN-owy mikrotika (domową bramę) na którym stoi serwer VPN
- mogę pingować na adres maszyny sambą

Obrazek



Niestety Samba (w logach) widzi wyłącznie logowania z adresu 192.168.56.1 (czyli z bramy a nie z klienta):
https://i.imgur.com/NyXP0KN.png

Czyli, mimo ustawienia proxy-arp ciągle między klientem VPN i Sambą zachodzi jakieś dziwne NAT-owanie...


Na górę
Post: pt, 14 lut 2020 17:20:43 
Odpowiedz z cytatem
Offline
Wyciszony literat
Wyciszony literat

Rejestracja: pn, 24 sie 2015 23:36:46
Posty: 792
Dobra, ruszyło. proxy-arp, ale i dodanie out-interface w NAT rozwiązało temat :-D

Jeszcze tylko ta reguła (zapewnienie dostępu do internetu wybranym podsieciom i blokowanie całej reszty) mi bruździ. Gdy aktywna, blokuje mi ruch z klienta VPN do Samby w LANie. W sumie, nie jestem pewien dlaczego.

https://i.imgur.com/4aPsGzX.png


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest pn, 24 lut 2020 16:17:48

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl