VPN na routeru Cisco
Hele to nejde vydržet! Dinamicke, statickí, navratovich, portovich... kurňa zapni si aspon t9 jestli to mlatis na founu! Nemuzu najit smajlik co zvraci.
A mám ho
A mám ho
Na hobíka to asi jde...
SM16A, FN20, 3E710B, CDC7-2, HO02, CO2laser, Fiber a tak
SM16A, FN20, 3E710B, CDC7-2, HO02, CO2laser, Fiber a tak
Ahoj,
jsem už (bohužel) zpět v Praze a mam tak možnost dokončit věci ohledně VPN.
V kostce o co se mi jedná. Mam router Cisco RV345. Na něm je jednak lokální síť VLAN1 192.168.1.0, brána je 192.168.1.1. Dále je zřízena VPN client-to-site L2TP s IPSec. To je síť 10.0.1.0 s bránou 10.0.1.1.
VPN funguje v pořádku, do sítě routeru se normálně dostanu. Ale problém je, že některá zařízení jsou přes VPN dostupná, jiná ne. Konkrétně:
- NAS na ty se normálně dostanu, jako když jsem přímo ve VLAN1. Vidím taky set top box a mobilní telefony.
- Nevidím router Mikrotic co je připojen do VLAN1 a nastaven jak wifi přístupový bod. To by mi ani tak nevadilo.
- Zásadní problém ale je, že nevidím počítače a nedá se na ně ani dostat. To jsou počítače s Win 10 různé edice.
- Jinak samozřejmě uvnitř VLAN1 jsou všechna zařízení plně viditelná a dostupná.
U zařízení co nejsou přes VPN vidět a nedá se na ně dostat, hlásí při ping "request time out". Když udělám na takové zařízení tracert tak vidím např.:
1. 60ms 49ms 44ms 10.0.1.1
2. * * * Request time out
3. * * * Request time out
.....
30. * * * Request time out
Naproti tomu u zařízení co jsou vidět a dostupná tracert vrátí (např. NAS 192.168.1.101)
1. 47ms 52ms 46ms 10.0.1.1
2. 72ms 44ms 47ms WDMyCloud [192.168.1.101]
Teď jde tedy o to co s tím. Byl tady nápad nastavovat NAT tak aby se adresy ze sítě 10.0.1.0 překládaly do sítě VLAN1. To ale nevím jak udělat, protože jedině můžu na routeru ve Firewall nastavit Static NAT, ale ten se týká překladu interních IP adres na externí. Obecně je taky problém, že vzdálené zařízení je v routeru připojeno přes interface označený jako ppp0, nicméně já všude v nastaveních (static NAT, static routing, atd.) můžu vybírat jen WAN1, WAN2. USB1, USB2, VLAN1.
Nicméně jelikož jsou jiná zařízení z VLAN1 přes VPN viditelná a dostupná, tak problém nebude někde v nastavení v routeru (teoreticky to ale samozřejmě nějaké nastavení vyřešit může), ale někde na straně počítačů s Win 10 (nevím, jestli to nějak souvisí s verzí Windows, všude jsou už Win 10). Tj. jak už tu někdo podotýkal, je potřeba udělat nějaké nastavení na dotyčných počítačích. Nicméně mě nenapadá co a kde. Zkoušel jsem to hledat, ale bez výsledku.
Předem díky za nějaké nápady co s tím.
jsem už (bohužel) zpět v Praze a mam tak možnost dokončit věci ohledně VPN.
V kostce o co se mi jedná. Mam router Cisco RV345. Na něm je jednak lokální síť VLAN1 192.168.1.0, brána je 192.168.1.1. Dále je zřízena VPN client-to-site L2TP s IPSec. To je síť 10.0.1.0 s bránou 10.0.1.1.
VPN funguje v pořádku, do sítě routeru se normálně dostanu. Ale problém je, že některá zařízení jsou přes VPN dostupná, jiná ne. Konkrétně:
- NAS na ty se normálně dostanu, jako když jsem přímo ve VLAN1. Vidím taky set top box a mobilní telefony.
- Nevidím router Mikrotic co je připojen do VLAN1 a nastaven jak wifi přístupový bod. To by mi ani tak nevadilo.
- Zásadní problém ale je, že nevidím počítače a nedá se na ně ani dostat. To jsou počítače s Win 10 různé edice.
- Jinak samozřejmě uvnitř VLAN1 jsou všechna zařízení plně viditelná a dostupná.
U zařízení co nejsou přes VPN vidět a nedá se na ně dostat, hlásí při ping "request time out". Když udělám na takové zařízení tracert tak vidím např.:
1. 60ms 49ms 44ms 10.0.1.1
2. * * * Request time out
3. * * * Request time out
.....
30. * * * Request time out
Naproti tomu u zařízení co jsou vidět a dostupná tracert vrátí (např. NAS 192.168.1.101)
1. 47ms 52ms 46ms 10.0.1.1
2. 72ms 44ms 47ms WDMyCloud [192.168.1.101]
Teď jde tedy o to co s tím. Byl tady nápad nastavovat NAT tak aby se adresy ze sítě 10.0.1.0 překládaly do sítě VLAN1. To ale nevím jak udělat, protože jedině můžu na routeru ve Firewall nastavit Static NAT, ale ten se týká překladu interních IP adres na externí. Obecně je taky problém, že vzdálené zařízení je v routeru připojeno přes interface označený jako ppp0, nicméně já všude v nastaveních (static NAT, static routing, atd.) můžu vybírat jen WAN1, WAN2. USB1, USB2, VLAN1.
Nicméně jelikož jsou jiná zařízení z VLAN1 přes VPN viditelná a dostupná, tak problém nebude někde v nastavení v routeru (teoreticky to ale samozřejmě nějaké nastavení vyřešit může), ale někde na straně počítačů s Win 10 (nevím, jestli to nějak souvisí s verzí Windows, všude jsou už Win 10). Tj. jak už tu někdo podotýkal, je potřeba udělat nějaké nastavení na dotyčných počítačích. Nicméně mě nenapadá co a kde. Zkoušel jsem to hledat, ale bez výsledku.
Předem díky za nějaké nápady co s tím.
S pozdravem
Ing. Aleš Honsa
Ing. Aleš Honsa
mas na mikrotiku nastavenu default gateway ? to by mohol byt problem + mozno defaultny firewall, ten skus pozakazovat vsetko v chain INPUT , uvidis ci sa ohlasi, ked hej, tak potom to mozes znova pozapinat, ale kedze ho mas len ako AP, tak firewall nepotrebuje.
tie windows 10 som sa stretol ze maju vynimky len pre rozsah vlastnej siete, ina siet, ci uz internet alebo vpn je blokovana aj na ping. ako prve pri rieseni problemov so spojenim treba na test povypinat vsetky firewall na vnutornych zariadeniach a tym vylucit jeden mozny bod problemu.
a ked uz mas skusenosti s mikrotikom, tak by so to cisco poslal sluzit inde a nahradil ho mikrotikom, ten ti aspon vie povedat kde mas problem
tie windows 10 som sa stretol ze maju vynimky len pre rozsah vlastnej siete, ina siet, ci uz internet alebo vpn je blokovana aj na ping. ako prve pri rieseni problemov so spojenim treba na test povypinat vsetky firewall na vnutornych zariadeniach a tym vylucit jeden mozny bod problemu.
a ked uz mas skusenosti s mikrotikom, tak by so to cisco poslal sluzit inde a nahradil ho mikrotikom, ten ti aspon vie povedat kde mas problem
Já s Mikrotik nemam v podstatě žádnou zkušenost. Byl to router na chatě, ale má jen 3x 100Mbit porty, což se pak už ukázalo nedostačující. Zároveň začaly v Praze docházet porty (gigabitový Linksys se 4mi porty + malý pasivní gigabitový switch Cisco s 5ti porty). Tak jsem udělal jednoduchou věc - do Prahy jsem si koupil ten RV345 a Linksys se switchem přesunul na chatu. Tím jako by zbyl ten Mikrotik, ale protože RV345 nemá wifi tak jsem z toho udělal přístupový bod. Takže veškerá moje konfigurace byla jen dle nějakého generického návodu to přepnout z módu router do módu access point.xener píše: ↑30. 11. 2020, 9:55 mas na mikrotiku nastavenu default gateway ? to by mohol byt problem + mozno defaultny firewall, ten skus pozakazovat vsetko v chain INPUT , uvidis ci sa ohlasi, ked hej, tak potom to mozes znova pozapinat, ale kedze ho mas len ako AP, tak firewall nepotrebuje.
tie windows 10 som sa stretol ze maju vynimky len pre rozsah vlastnej siete, ina siet, ci uz internet alebo vpn je blokovana aj na ping. ako prve pri rieseni problemov so spojenim treba na test povypinat vsetky firewall na vnutornych zariadeniach a tym vylucit jeden mozny bod problemu.
a ked uz mas skusenosti s mikrotikom, tak by so to cisco poslal sluzit inde a nahradil ho mikrotikom, ten ti aspon vie povedat kde mas problem
S tím firewalll to zkusím ho vypnout, co to udělá. Resp. nemá někdo tip, jak by se dalo zkusit rovnou vyřešit, aby neblokoval jiné sítě?
Jinak ještě ohledně toho Mikrotik - nemáš nějaký tip jaký router by měl potřebné funkce na takové monitorování? Já chci stejně nějaký levný router na různé testování (třeba v dílně, kde není nic) koupit.
On třeba nějaké monitorování umí i ten RV345, log tam je. Akorát jelikož mam o síťařině jen povrchní znalosti tak vlastně ani nevím co si vytáhnout, resp. nevím jestli zrovna loguje to co by bylo k posouzení situace třeba.
S pozdravem
Ing. Aleš Honsa
Ing. Aleš Honsa
kdyz nevim, tak merim, takze zacit instalaci wiesharku a podivat se na pakety co se posila a co se vraci, jedine tam se daji najit odpovedi, vse ostatni je vesteni
"do řiti se řítíme, ani o tom nevíme.."
ak nemas winbox, zadaj do prehliadaca ip adresu mikrotiku, prihlas sa a nalavo klikni na IP a potom firewall, tam klikni na vsetky D v prvom stlpci. potom vyskusaj ten nefunkcny ping z VPN ci pojde. ak nie, tak znova IP -> routes a pozri ci tam mas zaznam pre Dst. Address 0.0.0.0/0
ak nie tak pridaj novy, do Dst. Address daj 0.0.0.0/0 a do Gateway 192.168.1.1 a skus ping znova.
tazko povedat aky mikrotik ti doporucit, zalezi na tom aku mas linku do internetu, standardne staci 5 portovy na branu do internetu , VPN a vsetko co treba, lokalnu siet popripajas cez switch. hlavne si treba pozriet datove priepustnosti ci vyhovuju pre rychlost linky ktoru mas. kazdopadne kazdy s licenciou 4 a vyssie je to co potrebujes, software maju vsetky rovnaky, rozdiel je v CPU a v switch kontrollery.
ak nie tak pridaj novy, do Dst. Address daj 0.0.0.0/0 a do Gateway 192.168.1.1 a skus ping znova.
tazko povedat aky mikrotik ti doporucit, zalezi na tom aku mas linku do internetu, standardne staci 5 portovy na branu do internetu , VPN a vsetko co treba, lokalnu siet popripajas cez switch. hlavne si treba pozriet datove priepustnosti ci vyhovuju pre rychlost linky ktoru mas. kazdopadne kazdy s licenciou 4 a vyssie je to co potrebujes, software maju vsetky rovnaky, rozdiel je v CPU a v switch kontrollery.
Takže dělá to firewall. S vypnutým firewall sice scan přes SoftPerfect sice počítač nenajde, ale jde úspěšně pingnout. Přístup přes RDP jsem ještě přes VPN nezkoušel (uvnitř sítě jde OK), ale to už by asi neměl být problém, když už jde ping.
Viz i výpisy z Wireshark, ale to asi žádné dodatečné info neposkytne.
Firewall řídí ESET. Tam je nějaké nastavení v záložce "Známé sítě", tak s tím zkusím něco zkoušet. Já už jsem něco málo zkoušel, o víkendu, ale nějak to nezabralo. Nicméně teď už 100% vím, že to souvisí s firewall.
Viz i výpisy z Wireshark, ale to asi žádné dodatečné info neposkytne.
Firewall řídí ESET. Tam je nějaké nastavení v záložce "Známé sítě", tak s tím zkusím něco zkoušet. Já už jsem něco málo zkoušel, o víkendu, ale nějak to nezabralo. Nicméně teď už 100% vím, že to souvisí s firewall.
- Přílohy
-
-
- scr0002.png (11.15 KiB) Zobrazeno 2604 x
S pozdravem
Ing. Aleš Honsa
Ing. Aleš Honsa
Takže jsem to asi vyřešil. V ESET se ve firewall musí rozsah IP adres zařízení připojených přes VPN přidat do důvěryhodné zóny. Ještě si jenom ověřím, jestli je to tak správně (tj. jestli neexistuje nějaké vhodnější řešení atd.). No každopádně to s tím funguje - když se připojím přes VPN tak počítač, na který se chci dostat, je vidět při scanu sítě, dá se pingnout a dostanu se na něj přes RDP, jak hlavně potřebuju.
Se zpřístupněním routeru Microtik asi zatím nic dělat nebudu. Vlastně teď ani nevím důvod, proč bych se na něj potřeboval dostat přes VPN. Spíš jsem to uváděl jako příklad jednoho ze zařízení co bylo přes VPN nedostupné.
Tak teď už jen zbývá vyřešit Wake On Lan přes VPN. Problém je, že nejsou vidět MAC, ale někde jsem četl, že to má jít udělat.
Se zpřístupněním routeru Microtik asi zatím nic dělat nebudu. Vlastně teď ani nevím důvod, proč bych se na něj potřeboval dostat přes VPN. Spíš jsem to uváděl jako příklad jednoho ze zařízení co bylo přes VPN nedostupné.
Tak teď už jen zbývá vyřešit Wake On Lan přes VPN. Problém je, že nejsou vidět MAC, ale někde jsem četl, že to má jít udělat.
S pozdravem
Ing. Aleš Honsa
Ing. Aleš Honsa
v prvom rade je treba eset zahodit tak daleko ze ho ani google ani bing uz nikdy nenajdu pretoze to je najvacsia debilina aku si moze clovek nainstalovat na pocitac. pred casom som sa cudoval ako si to moze niekto nainstalovat , ale uz sa tym netrapim, je mi jedno kam ludstvo smeruje 
WOL z internetu nefunguje, pretoze posielas broadcastovy frame ktory obsahuje mac adresu sietovej karty a to funguje len na lokalnej sieti bez routingu.
funguje to zvonka jedine tak, ze mas vnutri nejaky interpreter (agenta) ktoremu z netu posles poziadavku a on ju preposle do lan. napriklad mikrotik
funguje to zvonka jedine tak, ze mas vnutri nejaky interpreter (agenta) ktoremu z netu posles poziadavku a on ju preposle do lan. napriklad mikrotik
pouzivam linux na kritickych serveroch
a kde je nevyhnutne mat mrkvosoft , tak nechavam defender a o bezpecnost sa stara filter na mail servery a proxy a hlavne pouzivat internet s rozumom, neliez na porno stranky a stranky s crack kodmi, ked uz je treba ist do nebezpecnych vod, tak si pustit prehliadac cez Xserver z linuxu
a kde je nevyhnutne mat mrkvosoft , tak nechavam defender a o bezpecnost sa stara filter na mail servery a proxy a hlavne pouzivat internet s rozumom, neliez na porno stranky a stranky s crack kodmi, ked uz je treba ist do nebezpecnych vod, tak si pustit prehliadac cez Xserver z linuxu
Jo na linuxu fakt spustim soft na programování plc, ezs, eps, c4... A že by to šlo bez netu, když si ty apky chtějí stahovat aktualizace je čirá utopie.
O severu se nebavím, tak je to o něčem jiném, ale pro notas nebo stolák je linux fakt strašně skvělá praktická věc
O severu se nebavím, tak je to o něčem jiném, ale pro notas nebo stolák je linux fakt strašně skvělá praktická věc
Na hobíka to asi jde...
SM16A, FN20, 3E710B, CDC7-2, HO02, CO2laser, Fiber a tak
SM16A, FN20, 3E710B, CDC7-2, HO02, CO2laser, Fiber a tak
ako pre koho, ja s tym problem nemam , ak nie je ekvivalent windows programu pod linux, tak vacsinou nie je problem fungovat s nativnymi windows programami na linux desktope.
hlavne nemusim stale hladat pricinu nejakeho problemu, preco mi nejde to alebo tamto a o restartoch win10 v najnevhodnejsej chvili, ked mas rozrobenu dolezitu pracu, ides si trosku oddychnut , system zisti ze kedze sa nic nerobi tak je najvhodnejsia doba na updatovaci restart samozrejme bez ulozenia rozpracovanych okien a kolega maly kusok od infarktu po navrate k PC - na obrazovke napis nevypinajte pocitac, aplikuju sa bezpecnostne zaplaty
hlavne nemusim stale hladat pricinu nejakeho problemu, preco mi nejde to alebo tamto a o restartoch win10 v najnevhodnejsej chvili, ked mas rozrobenu dolezitu pracu, ides si trosku oddychnut , system zisti ze kedze sa nic nerobi tak je najvhodnejsia doba na updatovaci restart samozrejme bez ulozenia rozpracovanych okien a kolega maly kusok od infarktu po navrate k PC - na obrazovke napis nevypinajte pocitac, aplikuju sa bezpecnostne zaplaty