VPN na routeru Cisco

[pafik]

Může být nastavené, že si na veřejnou adresu nepingneš. My máme dvě veřejné, na jednu si pingnout jde, na druhou ne. Mělo by to být nastavitelné na venkovním rozhraní routeru (modemu).

[aleshonsa]

Naistaloval jsem certifikát a dělal jsem další pokusy. Teď už je skutečně dostupný k vybrání v klientu před logováním. Bohužel jsem nepochodil, ale zjistil jsem:
- Na router se dá 100% z venku přes IP co je vidět ve WAN1 dostat. Když totiž schválně zadám špatný login, tak hodí hlášku, že je login špatně. Tj. přihlášení jakožto uživatele projde.
- Stejně tak je vidět SSL VPN server, protože když ho vypnu, tak se přihlašování zarazí hned ze začátku a hodí hlášku, že je VPN server nedostupný. Nicméně jinou než později.
- Mam dojem, že se to nějak zasekne ještě než klient komunikuje s routerem ohledně certifikátu. Usuzuju to z toho, jak se to chovalo předtím (než jsem certifikát nainstaloval), a pak z toho, že obecně je výsledek stejný bez ohledu jaký certifikát vyberu. Já jsem tam totiž ještě naistaloval další certifikát vygenerovaný routerem, který ale není pro SSL VPN nastaven, přičemž výsledek při logování je stejný (tj. žádná hláška že je špatný certifikát nebo tak něco).

Nějak už mě nenapadá co s tím. Jde o to, jestli je FortiClient s Cisco SSL VPN vůbec kompatibilní.

Mezitím jsem našel tohle https://www.cisco.com/c/en/us/support/d ... RV34X.html
Akorát, že není verze pro Win 10, ale snad to půjde. A pak aby to nedělalo bordel s FortiClient - ten potřebuju kvůli VPN v práci.

[aleshonsa]

UPDATE:
Takže přes ten Shrew Soft klient to zkoušet nebudu. Jak jsem se někde dočetl tak tím jak to není na Win 10 dělané tak to někomu zbouralo síťové připojení, což je poslední co bych chtěl. S tím jsem si už užil až dost.
Ale dle tohoto https://www.cisco.com/c/en/us/support/d ... s-vpn.html by bylo možná nejlepší zkusit toto https://www.cisco.com/c/en/us/support/d ... gs-on.html protože s tím chodí vestavěný VPN klient ve Windows.

Tak to zkusím a uvidím.

[aleshonsa]

Takže VPN postavenou na L2TP s IPSec a nativním klientem Win 10 se mi nakonec konečně podařilo rozchodit.
Komplikace vznikala pouze v tom, že Microsoft si nějak uklohnil nastavení IPSec dle svého a nikde to není v OS vidět natož aby to šlo přímo konfigurovat. Přičemž bez znalosti jak to mají nastavené si v routeru IPSec prostě nenastavíte tak aby to fungovalo, to se metodou pokus/omyl dát nedá.
Kdyby to někoho zajímalo, tak v příloze je PDF jak to mají nastavené, co jsem našel přímo u podpory Microsoft. Pak je tam PDF co jsem našel v diskuzi podpory Cisco, které vypracoval někdo přímo od Cisco. To je sice pro jiný router, konkrétně RV340, nicméně genericky je to celkem dobře použitelné a řekl bych daleko jasnější než v tom popisu od Microsoft. Je tam jak nastavení IPSec v routeru tak i potom konfigurace klienta ve Windows - musí se tam vypnout kódování přenosu hesla (protože kanál je už sám o sobě kódovaný) a nastavit PAP.
Nicméně já pak nakonec použil nastavení s lepší úrovní zabezpečení dle postupu od jednoho uživatele - to je na přiloženém obrázku. V PowerShell se musí pustit dávka, co upraví původní nastavení IPSec od Microsoft. Dávka je:

Set-VpnConnectionIPsecConfiguration -ConnectionName "test" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -PfsGroup PFS2 -DHGroup Group2 -PassThru -Force

kde u -ConnectionName se uvádí jméno nastaveného připojení v klientu, zde je tedy jméno test. Tj. nejprve se ve VPN klient Windows vytvoří připojení, pak se pustí tahle dávka a dodělá konfigurace.

[aleshonsa]

Funkční VPN bych tedy měl - tím padá hlavní dotaz na začátku vlákna.
Celkově to tedy je tak, že vzdálený klient dostane v routeru IP adresu, konkrétně u mě v rozsahu 10.0.1.1 - 10.0.1.25 (možných je max. 25 připojení). To je jiná síť, něž síť základního VLAN1 192.168.1.0. Nicméně ta síť 10.0.1.0 není ani žádný další VLAN.
Další věc je, že klient je tam bez MAC, tj. nepoužívá se ani žádná virtuální MAC a jde to tak mimo bezpečnostní nastavení zákazu přístupu cizích MAC a vazby MAC na IP. Bohužel tím nejde ani nastavit fixní IP pro konkrétního vzdáleného klienta a přiděluje se dle dostupnosti z výše uvedeného rozsahu. Já bych preferoval, aby MAC byla a dala se tak udělat fixace, ale to bohužel nevyřeším. Nebo nejlépe kdyby se dala IP fixovat pro konkrétního uživatele, protože na to se pak dá nastavit zabezpečení, kam se kdo může dostat atd.
Pro mě by i bylo nejlepší, kdyby byly IP adresy VPN v rámci nějakého VLAN. V diskuzním fóru Cisco se na to někdo několikrát ptal, ale nikdy nikdo nedal konkrétní odpověď jak to udělat nebo jestli to principiálně jde.

Jinak vypadá to, že sítě 10.0.1.0 a 192.168.1.0 jsou už nějak implicitně proroutované. Na vzdáleném počítači po připojení do VPN vidím zařízení ze sítě 192.168.1.0, akorát s výjimkou:
- Nevidím pracovní stanici, nejde pingnout a scan IP adres jí taky nenajde.
- Set-top box Technisat sice je vidět a jde pingnout, ale program pro stahování nahrávek Techniport ho není schopen najít. Nevím, jestli je to věc Techniport nebo routování, nicméně dal jsem dotaz i na příslušné fórum ohledně TV techniky.

Kdyby měl k těmto věcem někdo nějaký podnět, byl bych rád. Tj. ve stručnosti:
- Jestli by šlo, aby měl připojený VPN klient i MAC?
- Jestli by šlo vázat IP připojeného VPN klienta na uživatele co se přihlašuje?¨
- Jestli by šlo, aby byly IP adresy pro VPN připojení v nějakém VLAN?
- Proč nejsou některá zařízení při připojení přes VPN viditelná na vzdáleném počítači?

Díky

[Maskot]

MAC slúži na smerovanie v 2 vrstve, smerujú po nej swice a identifikujú sa ňou zariadenia fyzicky napojené na sieť (Je to číslo sieťovej karty, jedinečné). každým skokom sa mení(za skok sa berie prechod zo siete do inej siete).
To znamená, že, ako paket putuje po sieti, MAC sa mení, ale IP (IP je v 3 vrstve, používa sa na smerovanie, pracujú s ňou rutre a lepšie swice, ktoré majú niektoré funkcie rutra) ostáva.
Nigdi som VPN nekonfiguroval tak to ber, ako info a môj názor

Jestli by šlo, aby mel pripojení VPN klient i MAC?
U tohto typu vpn asi nie nakoľko prechádzaš z jednej siete do druhej (10 do 192.168.1)
MAC adresu by si mal teoreticki vidieť iba pri VPN typu sieť1 - ruter VPN tunel na 2 ruter - sieť2, pričom sieť 1 a sieť 2 je ta istá a aj to som si neni isti ci neuvidis MAC rutra

Jestli by šlo vázat IP pripojeného VPN klienta na uživatele, čo se prihlasuje?¨
Identifikácia sa obvykle robí na meno, ktorým sa prihlasuješ a na tie sa dávajú oprávnenia, to by sa asi mohlo dať

toť vsio

[Zdenek Valter]

Funkční VPN bych tedy měl - tím padá hlavní dotaz na začátku vlákna.
Celkově to tedy je tak, že vzdálený klient dostane v routeru IP adresu, konkrétně u mě v rozsahu 10.0.1.1 - 10.0.1.25 (možných je max. 25 připojení). To je jiná síť, něž síť základního VLAN1 192.168.1.0. Nicméně ta síť 10.0.1.0 není ani žádný další VLAN.

No to je správně VPN připojení vytváří v cílovém routeru virtuální pool IP adres pod kterým z té VPN vystupuješ.

Další věc je, že klient je tam bez MAC, tj. nepoužívá se ani žádná virtuální MAC a jde to tak mimo bezpečnostní nastavení zákazu přístupu cizích MAC a vazby MAC na IP. Bohužel tím nejde ani nastavit fixní IP pro konkrétního vzdáleného klienta a přiděluje se dle dostupnosti z výše uvedeného rozsahu. Já bych preferoval, aby MAC byla a dala se tak udělat fixace, ale to bohužel nevyřeším. Nebo nejlépe kdyby se dala IP fixovat pro konkrétního uživatele, protože na to se pak dá nastavit zabezpečení, kam se kdo může dostat atd.
Pro mě by i bylo nejlepší, kdyby byly IP adresy VPN v rámci nějakého VLAN. V diskuzním fóru Cisco se na to někdo několikrát ptal, ale nikdy nikdo nedal konkrétní odpověď jak to udělat nebo jestli to principiálně jde.

Je otázka zda to TP umí. Pokud nelze omezit konfiguračně rozsah IP poolu popřípadě jinak konfigurovat klienta nebo přiřadit ip v uživatelském profilu tak to to asi opravdu nepůjde.
Pokud je výstup z VPN vázán na virtuální pool, tak je Ti MAC k ničemu, protože je to v jiném IP rozsahu.
MAC adresa, jak už poznamenal Maskot je mimo. IP adresa v Tvém cílovém rozsahu je reprezentována MAC adresou routeru.

Jinak vypadá to, že sítě 10.0.1.0 a 192.168.1.0 jsou už nějak implicitně proroutované.

To je přirozená vlastnost routeru. Pokud to nezakážeš tak prostě směruje/routuje.

Na vzdáleném počítači po připojení do VPN vidím zařízení ze sítě 192.168.1.0, akorát s výjimkou:
- Nevidím pracovní stanici, nejde pingnout a scan IP adres jí taky nenajde.
- Set-top box Technisat sice je vidět a jde pingnout, ale program pro stahování nahrávek Techniport ho není schopen najít. Nevím, jestli je to věc Techniport nebo routování, nicméně dal jsem dotaz i na příslušné fórum ohledně TV techniky.

To může být věcí FW na WIN popřípadě i ten Technisat může mít, nějaká omezení - přeci jen přistupuješ z jiného IP rozsahu.

Kdyby měl k těmto věcem někdo nějaký podnět, byl bych rád. Tj. ve stručnosti:
- Jestli by šlo, aby měl připojený VPN klient i MAC?

To jak jsem psal nepůjde.

- Jestli by šlo vázat IP připojeného VPN klienta na uživatele co se přihlašuje?

To by mělo jít nastavit v profilu klienta. TP ale neznám, takže to nemohu potvrdit.

- Jestli by šlo, aby byly IP adresy pro VPN připojení v nějakém VLAN?

U TP to asi nepůjde.

- Proč nejsou některá zařízení při připojení přes VPN viditelná na vzdáleném počítači?

Tady musíš hledat v cílové síti.
Já bych si to odposlechl wiresharkem na WIN, pro Technisat bych si musel půjčit swich s možností odposlechu provozu.
Podle mne WIN stanice má blokovaný provoz na IP. Technisat má má mimo ICMP (ping) blokovaný provoz na protokolech TCP/UDP.

[aleshonsa]

Díky oběma za vyjádření. Vezmu to postupně:
- S MAC to tedy vypouštím, taky jsem pak nějak dospěl k závěru, že to nepůjde.
- Při VPN typu sito-to-site musí být na každé straně jiná síť. Tj. u routeru A musí být síť třeba 192.168.1.0 a u routeru B třeba 192.168.2.0. Alespoň můj router Cisco to tak vyžaduje. Bohužel, aby to bylo všechno jedna síť, nejde.
- Problém s STB Technisat jsem nakonec vyřešil jinak. Nastavil jsem aby STB nahrával na NAS a na ten se pak normálně přes VPN dostanu (s tím souviselo i to řešení jak přetahovat po VPN velké soubory). Původně jsem z toho měl vítr, aby to bylo spolehlivé, a proto jsem preferoval interní disk, ale nakonec je to OK. On by s tím byl při kopírování nahrávek přímo z STB stejně problém. Jednak to jde dělat jen když neběží žádné nahrávání (k nahrávkám na STB se dostanu kdykoliv) a pak by byl samozřejmě problém s přenosem tak velkých souborů - program pro export nahrávek (Techniport) samozřejmě navazovat neumí. Takže že se Techniport přes VPN nespojí s STB je mi vlastně už jedno.
- S přístupen na pracovní stanci po VPN to budu muset doladit asi až na podzim. Teď jsem stanici odvezl na léto s sebou. Nicméně to rozchodit budu chtít, protože když jsem na chatě jen na víkend tak by se mi hodil přístup na stanici přes VPN.
- Stejně tak řešení přístupových práv zůstane na podzim. Oboje to jsou věci, co je třeba ladit tak že to člověk rovnou zkouší. Spíš si ale myslím, že to asi lépe nastavit nepůjde. Obecně co jsem četl tak se dost staví na autorizaci přístupu přes RADIUS atd., ale to u takovéto sítě asi nemá smyls dělat (vůbec nemam představu o nákladech).

[Zdenek Valter]

Díky oběma za vyjádření. Vezmu to postupně:
- S MAC to tedy vypouštím, taky jsem pak nějak dospěl k závěru, že to nepůjde.
- Při VPN typu sito-to-site musí být na každé straně jiná síť. Tj. u routeru A musí být síť třeba 192.168.1.0 a u routeru B třeba 192.168.2.0. Alespoň můj router Cisco to tak vyžaduje. Bohužel, aby to bylo všechno jedna síť, nejde.

No ale já jsem pochopil, že ty se hlásíš jedním počítačem do své sítě - je to tedy spíš styl client - site tedy, že nepropojuješ dvě sítě.
Máš-li dvě sítě se stejným IP rozsahem tak pouhým směrování propojit nejdou. Na to se používá překlad adres.

- Problém s STB Technisat jsem nakonec vyřešil jinak. Nastavil jsem aby STB nahrával na NAS a na ten se pak normálně přes VPN dostanu (s tím souviselo i to řešení jak přetahovat po VPN velké soubory). Původně jsem z toho měl vítr, aby to bylo spolehlivé, a proto jsem preferoval interní disk, ale nakonec je to OK. On by s tím byl při kopírování nahrávek přímo z STB stejně problém. Jednak to jde dělat jen když neběží žádné nahrávání (k nahrávkám na STB se dostanu kdykoliv) a pak by byl samozřejmě problém s přenosem tak velkých souborů - program pro export nahrávek (Techniport) samozřejmě navazovat neumí. Takže že se Techniport přes VPN nespojí s STB je mi vlastně už jedno.
- S přístupen na pracovní stanci po VPN to budu muset doladit asi až na podzim. Teď jsem stanici odvezl na léto s sebou. Nicméně to rozchodit budu chtít, protože když jsem na chatě jen na víkend tak by se mi hodil přístup na stanici přes VPN.
- Stejně tak řešení přístupových práv zůstane na podzim. Oboje to jsou věci, co je třeba ladit tak že to člověk rovnou zkouší. Spíš si ale myslím, že to asi lépe nastavit nepůjde.

Já si myslím, že by to případně i poladit šlo, záleží na tom co umí to TP.

Obecně co jsem četl tak se dost staví na autorizaci přístupu přes RADIUS atd., ale to u takovéto sítě asi nemá smyls dělat (vůbec nemam představu o nákladech).

Ano Radius má smysl u velkého počtu uživatelů.
V Tvém případě by to mělo být o konfiguraci profilu lokálního uživatele na routeru.

[aleshonsa]

Tohle je VPN client-to-site. Tu poznámku o site-to-site jsem myslel v souvislosti co psal Maskot. Myslel jsem to tak, že ani u site-to-site, tj. že ani tam to nejsou stejné sítě.

[Zdenek Valter]

Tohle je VPN client-to-site. Tu poznámku o site-to-site jsem myslel v souvislosti co psal Maskot. Myslel jsem to tak, že ani u site-to-site, tj. že ani tam to nejsou stejné sítě.

No právě někdy ano - pak musí použít ten překlad jedněch adres na jiné.

[robokop]

Muzes pouzit preklad adres NAT nebo takovou fintu proxy-arp router si pro LAN vezme na sebe tvoji adresu (pro protokol arp, ne na interface) takze se pro kompy v lan tvari jako ty, proste na arp dotaz odpovi take a posle jim svoji mac. Tudiz mu budou smerovany packety s ip kterou ti pridelil do tunelu. A vzhledem k tomu ze te ma uvedeneho v routovaci tabulce tak vi na ktery interface to prehodit. Tim nedochazi k prekladu. A kompy v lan si mysli ze mac adresa sitovy karty routeru jsi ty a vubec netusi ze to je routovany do nejakeho tunelu.

Pak tam muze/nemusi byt ten prekkad adres

[aleshonsa]

K tomu NAT jsem našel akorát https://www.cisco.com/c/en/us/support/d ... n-the.html a pak https://www.cisco.com/c/en/us/support/d ... serie.html úplně až dole. Ale to mi přijde že je na něco jiného, nevím co by to udělalo v případě, že bych překládal např. 192.168.1.200 na 10.0.1.2. Port pro adresy z VPN se bere WAN?
To by chtělo právě hned zkoušet a vůbec projít nastavění routeru co je tam za další možnosti.

Jak udělat tu druhou možnost co navrhuje Robokop to netuším.

[Maskot]

Ako funguje NAT a, čo robí (Netvork a dres translation)
priklat požiadavka na dnes server
máš sieť 192.168.1.0 je to privátna sieť, a ak príde na nejaká IP na verjnu sieť,
tak najblisi router, na ktorý to príde ti ju skartuje nakoľko týchto sieti sú milióny.
Na verejnej sieti musí byť verejná IP, ktorá je jedinečná.
Takže ti, keď zo svojej siete napíšeš napriklat google.com počítač sa najprv dotaze na
DNS server a spitasa ho či neopzna IP google.com. Postup je nasledovný, pošleš paket na
DNS server, ten dôjde na tvoj router s portom DNS (určuje, čo od servera chceš) a s portom
návratu(ten si generuje aplikácia, ktorá požiadavku zadala a na základe neho sa
identifikuje služba, ktorej je paket určený, keď sa ti vráti odpoveď. Prvich 1000 nieco portovich čísel je už obsadenich aplikáciami).
router však nemôže poslať tvoju požiadavku s tvojou IP adresou(nakolko by ju router na opacnom konci skartoval)
ale prepožičia ti svoju verejnú IP adresu(a často aj zmeny portove číslo odpovede) a zapametasi kto požiadavku posielal(pameta si IP adresy a portove čísla).
z pohľadu internetu sa to javí tak, že to chce router (internet vidí vždy len tvoj router a, čo je za routrom do toho ho nič a je už len na routri, čo bude robiť s odpoveďou).
paket príde na DNS server a ten odpovie. Paket príde na WAN port rutra z internetu a ten na základe od koho prišla odpoveď a
portoveho čísla vie kam to ma poslať. Zmeny svoju IP adresu za tvoju (zmeny aj portove číslo na povodne)a pošle to na počítač, čo požiadavku poslal.
Ten na základe portoveho čísla určí aplikáciu, ktorá to chcela. A takto nejak stále dokola.
Čo robby NAT? Požičiava IP adresu rutra a pameta si komu ju požičal

to je asi všetko

[aleshonsa]

Díky za vysvětlení. Mě to bylo částečně jasné o co jde, teď je mi to jasné úplně.
Tady jde spíš o to, že já nevím jestli můžu nastavit Static NAT aby to fungovalo v rámci prívátních sítí routeru. Tj. aby to překládalo adresy sítě klientů VPN na andresu sítě VLAN - konkrétně třeba 192.168.1.0.