Trzepak.pl

Regulamin forum


Wypowiedzi muszą stosować się do zasad ogólnie przyjętej "netykiety" wynikającej z dokumentu RFC 1855, zamieszczonego pod tym adresem:
http://www.ietf.org/rfc/rfc1855.txt
Osoby wypowiadające się tu "zawodowo" proszone są o logowanie się swoim imieniem i nazwiskiem, a w stopce ich wypowiedzi wskazane jest przedstawienie danych adresowych łącznie z linkiem do strony głównej przedsiębiorstwa lub organizacji, którą reprezentują.
Umieszczanie informacji reklamowych w wypowiedzi i w stopce nie jest wskazane a moderatorzy mogą ingerować usuwając takie posty w sposób nie podlegający dyskusji.



Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: pt, 14 wrz 2018 16:12:15 
   Tytuł: OpenVPN + NAT + IPsec
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 14 wrz 2018 15:12:51
Posty: 1
Cześć,

Jest:
MT z softem 6.43
MT jest serwerem OpenVPN, użytkownicy się łączą, mają dostęp do LANu MT i do Internetu
MT ma zestawiony IPsec site-to-site ze zdalnym peerem. Użytkownicy z LANu łączą się z sieciami zdalnego peera po IPsec

Nie ma, a powinno :) być:
Użytkownicy podpięci do OpenVPN, po NATowaniu na adres LAN przypięty do MT, mają mieć dostęp do sieci zdalnego peera po IPsec. Nie ma za bardzo możliwości dodania sieci OpenVPN do istniejącego tunelu IPsec, stąd pomysł z NATowaniem.

Konfiguracja MT (istotne fragmenty):

Kod:
/ip pool
add name=dhcp ranges=192.168.209.50-192.168.209.250
add name=ovpn ranges=10.252.208.2-10.252.208.250
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
    ether2 name=dhcp1
/ppp profile
add local-address=10.252.208.1 name=openvpn remote-address=ovpn \
    use-encryption=required
/ip address
add address=x.x.x.x/x interface=ether1 network=x.x.x.x
add address=192.168.209.1/24 interface=ether2 network=192.168.209.0
/ip dhcp-server network
add address=10.252.208.0/24 comment=vpn dns-server=192.168.209.1 gateway=\
    192.168.209.1 netmask=24
add address=192.168.209.0/24 gateway=192.168.209.1 netmask=24
/ip firewall filter
add action=accept chain=input src-address-list=admin-access
add action=accept chain=input dst-port=1194 protocol=tcp
add action=accept chain=input dst-port=53 in-interface=ether2 protocol=tcp \
    src-address=0.0.0.0
add action=accept chain=input dst-port=53 in-interface=ether2 protocol=udp
add action=accept chain=forward connection-state=established,related \
    dst-address=192.168.1.0/24 src-address=0.0.0.0/0
add action=accept chain=forward connection-state=established,related \
    dst-address=172.16.1.0/24 src-address=0.0.0.0/0
add action=drop chain=input dst-port=53 protocol=tcp
add action=drop chain=input dst-port=53 protocol=udp
add action=drop chain=input dst-port=21,22,23,80,443,8291 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.0/24 \
    src-address=10.252.208.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=172.16.1.0/24 \
    src-address=10.252.208.0/24
add action=accept chain=srcnat dst-address=192.168.1.0/24 src-address=\
    0.0.0.0/0
add action=accept chain=srcnat dst-address=172.16.1.0/24 src-address=\
    0.0.0.0/0
add action=masquerade chain=srcnat out-interface=ether1
/ip ipsec policy
add dst-address=172.16.1.0/24 sa-dst-address=y.y.y.y sa-src-address=\
    x.x.x.x src-address=192.168.209.0/24 tunnel=yes
add dst-address=192.168.1.0/24 sa-dst-address=y.y.y.y sa-src-address=\
    x.x.x.x src-address=192.168.209.0/24 tunnel=yes
/ip route
add distance=1 gateway=z.z.z.z


Myślałem, że rozwiążę temat tymi dwoma nieaktywnymi regułami NATa, ale to niestety nie działa. Przekopałem Internet i niestety nie znalazłem rozwiązania, pomożecie?


Na górę
Post: sob, 15 wrz 2018 1:34:19 
Odpowiedz z cytatem
Offline
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 02 lip 2007 5:31:42
Posty: 612
Lokalizacja: Poznań
Problem wynika prawdopodobnie z tego że w momencie gdy klient podłączony opvn łączy się do adresu za tunnelem IPsec, w tym momencie mikrotik robi src NAT'a. Jednakże on zamieni IPek klienta ovpn na IPek zewnętrzny (wan) Twojego routera. A w polityce IPsec tego IPka nie ma.

Próbowałbym kombinować z zamianą IPka klienta za ovpn na IPka z sieci lokalnej (objętej polityką IPsec).

Coś w tym stylu da się zrobić na mietku chyba (tu przykład dla jednego klienta ovpn 10.252.208.2)

Kod:
/ip firewall nat add chain=srcnat dst-address=172.16.1.0/24 src-address=10.252.208.2/32 action=src-nat to-addresses=192.168.209.2

Pewnie w drugą stronę dst nat też musiałby być,
Kod:
/ip firewall nat add chain=dstnat dst-address=192.168.209.2/32 src-address=172.16.1.0/24 action=src-nat to-addresses=10.252.208.2


Oczywiście najprościej byłoby dodać zakres klientów ovpn do polityki IPsec. Ale jak to jest niemożliwe to trzeba kombinować ;)


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: paul klacska i 6 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest pt, 21 wrz 2018 7:46:55

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl