Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

VPN og MikroTik?

Einar

Av Einar
i Nettverk

 Del

Anbefalte innlegg

Einar Loddebolt

Einar

Skrevet
Skrevet

Jeg har fått fomlet meg et godt stykke, men sliter med de siste små meterene.

Formålet er å kunne logge inn på hytta gjennom VPN. Så la oss kalle nettverket bak ryggen min for Hytta. Det står her nå inntil jeg har fått dette i orden.
 

Det består av en HuHei ruter over Netcom eller hva de nå heter i dag. Den er satt opp med DMZ mot LAN adressen 192.168.1.101 som er WAN porten på MikroTik hEX Lite routeren. Det har jeg forstått som at den sender rubbel og bit fra Internet og over til 192.168.1.101.
Jeg har forsøkt å tegne det nedenfor. ( Adressene i rødt er dynamisk tildelt av respektive ISP, men i dette tilfellet bare drømt opp for ikke å publisere mine adresser. )
 

Nå har jeg kommet så langt at jeg på PC'n til høyre har 2 adresser. Det som er interessant er at jeg har 192.168.88.101 og kan logge meg inn på 192.168.88.1.
Et IPscan sier meg også at det er de eneste adressene jeg kan se. Ikke f.eks. 192.168.88.253 som er min Raspberry Pi med HS på. Og den skulle jeg gjerne hatt tak i.

Jeg kan logge inn på den fra PC'n 192.168.88.254, så jeg vet den er på nett.

 

Hva er det jeg kan ha gjort feil her. Eller unnlatt å gjøre?

 

VPN_Forslag.thumb.jpg.f3ea0c47706e9e10c112b0d3c82ee304.jpg

Lenke til kommentar
Del på andre sider
NilsOF Kodemaker

NilsOF

Skrevet
Skrevet (endret)

Hva slags VPN-tunnel brukes hær?

Det ser ut for meg som at 192.168.1.x er brukt som både transportnett og som endenett?

192.168.1.1 finnes to steder..?

Dette lager nok god kaos i routinga.

 

Det enkleste er kanskje å endre HuHei 😄 -boksen til å bruke ett annet nett enn 192.168.1.0/24.

(Jeg regner med at HuHei -boksen NATer og samtidig deler ut IP til RouterOS-boksen med DHCP ?)

Endret av NilsOF
Lenke til kommentar
Del på andre sider
NilsOF Kodemaker

NilsOF

Skrevet
Skrevet (endret)
20 minutter siden, Einar skrev:

Ja. Da kan ikke lenger PC'n til høyre logge inn på 192.168.88.1

Det kan være en filtrering i Mikrotiken (og som muligens du går inn bakveien på med 192.168.1.x som del av transportnettet).

Om du kan nå de andre 192.168.88.x -maskinene så er du godt igang.

 

Edit: Jeg forutsetter at begge Mikrotikene er satt opp som routing-VPN (og ikke en som bridging VPN).

Og at begge Mikrotikene er fortalt at det andre nettet ligger bak VPN -tunellen.

Endret av NilsOF
Lenke til kommentar
Del på andre sider
Einar Loddebolt

Einar

Skrevet
  • Forfatter
Skrevet (endret)

Jeg måtte selvfølgelig inn på HuHei routeren og angi den nye IP adressen som target for DMZ funksjonen.
De nye adressene er hhv. 192.168.2.1 og 192.168.2.100 og ettersom nettmasken er 255.255.255.0 så skal jo det være et annet subnet enn før.

Så nå er det akkurat som før såvidt jeg kan se. Og 192.168.88.254 kan ikke se 192.168.88.101 i et IPscan.
 

Den kan bare nå 192.168.88.1 ja.

 

Endret av Einar
Lenke til kommentar
Del på andre sider
NilsOF Kodemaker

NilsOF

Skrevet
Skrevet (endret)

Oh, nå ser jeg hva du prøver å gjøre 🙂 Og lurer fælt på hvorfor..

Det er sikkert mulig men, igjen hvorfor gjøre det så komplisert?

Er det noe som ikke virker med routing?

Edit: om Mikrotikene støtter bridgedVPN så er kanskje det veien å gå?

 

For at en maskin skal eksistere i to nett:

Jeg har brukt opp hodet mitt for i dag.. ..adressa må eksistere i Mikrotiken og så må det NATes. Altså adresseomskriving.

Når det i tillegg er tre ledd med NATing allerede i denne kjeden (eller også fire alt ettersom 

hvordan mobiloperatøren gjør det)..

Endret av NilsOF
Lenke til kommentar
Del på andre sider
NilsOF Kodemaker

NilsOF

Skrevet
Skrevet (endret)

Tja, om man skal gjøre det enklest mulig med VPN så må man velge om man skal ha bridged eller routed VPN.

 

Bridged: samme subnett på begge sider av VPNforbindelsen.

Routed: Unike subnett på begge sider

 

Begge har sine fordeler og ulemper.

 

Må si at routede nett er sterkt å foretrekke, og spesielt når det er geografi og hastighetsforskjeller med ukjent forsinkelse ute og går.
 

Når det gjelder å forenkle dette oppsettet, så er det nok lite man kan gjøre.

LTE/4g er hva det er. man kan kanskje sette HuHei-modemet i bridge, men man har nok fint lite igjen for den ekstra jobben som også bør dokumenteres.
 

Det hadde nok fungert med 192.168.1.x mellom HuHei og mikrotik også.

Dvs. Automatikken i Mikrotiken takler det i og med at Mikrotiken bare maskerer alt bak IPen  på interfacet (masqerading i Linux).

Da er det værre med mennesker som skal ta igjen oppsettet og endre på det ved senere anledning. Og om det er noe administrator-grensesnitt på HuHei så er det mere enn greit at det kan nåes på en unik IP.


Jeg håper du har fått tingene til å virke! 
Det er lett å gå seg vill før virkemåten av alle funksjonene i kjeden er forstått.

 

Men jeg er fortsatt nysgjerrig på hvorfor du vil ha samme maskin på begge sider av VPNen 😉

 

Endret av NilsOF
Lenke til kommentar
Del på andre sider
Einar Loddebolt

Einar

Skrevet
  • Forfatter
Skrevet


Etter å ha sjekket hva proxy-arp vil si så skjønner jeg ikke at ikke det er en del av presentsjonene hvordan man setter opp VPN med MikroTik. Det kan vel egentlig ikke funke uten?
 

Nei, jeg *vil* vel egentlig ikke det. Det bare ble slik etter at jeg fulgte noen lett sprikende forklaringer på hvordan jeg skal sette opp VPN.

Det jeg vil er å kunne sitte hjemme og gjøre det jeg kan gjøre når jeg sitter på hytta. Og uten at hyttenettet står og skriker "kom og ta meg!".

Jeg hadde en Raspberry som bare hang rett i rompa på router/modem i DMZ. Og det var helt utrolig som det rant inn innloggingsforsøk i loggen!

Det burde alle ha fått demonstrert, helst allerede i barnehagen.

 

Der har jeg hjemmeautomasjon. For øyeblikket Homeseer, men jeg begynner å tvile mer og mer på om det er rett valg. Men det er en annen sak.

Og jeg har et PTZ kamera, og tenker meg etpar faste og BlueIris. Det kan jo også kjøre med web grensesnitt, men jeg foretrekker å "være på nett".

Du har et godt poeng med at det kan bli litt vrient å holde tunga i rett munn om det er flere subnett med samme range underveis. "Hvilken 192.168.1.1 er det jeg er inne på nå mon tro?"

 

Ord for dagen:

https://ipcisco.com/lesson/proxy-arp/

 

Takk for rask respons Nils.

 

MVH

Einar Sjaavik

Lenke til kommentar
Del på andre sider
NilsOF Kodemaker

NilsOF

Skrevet
Skrevet (endret)
1 time siden, Einar skrev:

Etter å ha sjekket hva proxy-arp vil si så skjønner jeg ikke at ikke det er en del av presentsjonene hvordan man setter opp VPN med MikroTik. Det kan vel egentlig ikke funke uten?

Nei, det vil ikke fungere uten.

Man må heller spørre seg om man trenger å ha det sånn.
Broadcasts vil feks. forplante seg på begge sider av VPN-linken selv om de mest sannsynlig er relevante kun på den siden av linken de sendes fra.

Unødvendig da man har en begrenset link som man kanskje også må betale for pr. byte.
Fyr opp tcpdump og se 😉

Edit:
Det er nok bare arp-broadcast som slenges over, så ikke så mange bytes at det vill lage huller i lommeboka.

 

Rutede subnett er enklere å jobbe med, man kan med ett blikk i hvilken som helst logg kjapt identifisere hvor trafikken kommer fra eller hvor den skal.

Ulempen er at man må sette opp DHCP på begge sider.

Og så må man ha routing ett sted. Og det har man uansett.

Men har man disse på plass så bruker man TCP/IP som det er ment til å brukes.

 

1 time siden, Einar skrev:

Jeg hadde en Raspberry som bare hang rett i rompa på router/modem i DMZ. Og det var helt utrolig som det rant inn innloggingsforsøk i loggen!

Det burde alle ha fått demonstrert, helst allerede i barnehagen.


hehe, ja 🙂

tcpdump er vår venn på alle dingser som man har skall-tillgang på.

 

Endret av NilsOF
Lenke til kommentar
Del på andre sider
Einar Loddebolt

Einar

Skrevet
  • Forfatter
Skrevet

Jeg spurte meg om jeg trenger å ha det sånn.
Og venter fortsatt på svar. 😌 Det er noen hull i min kunnskapsbase og jeg ser ikke helt alternative løsniner.

 

Veldig relevant for oss som vil ha forbindelse til enheter som er på mobilnett.

Det er selvfølgelig mulig å betale seg ut av det men det er lite tilfredsstillende og i mange tilfelle ikke en option.

 

Hvordan vil det ha seg i mitt oppsett?

Jeg ser for meg at BC fra 192.168.1.51 ikke vil forplante seg lenger enn LAN porten på nærmeste router.

Muligens forutsatt at VPN ikke er åpnet? For da vil den sende BC fra 192.168.88.101  på 192.168.88.xx subnettet, og gjøre det gjennom mobilnettet. Rett / galt?

Lenke til kommentar
Del på andre sider
NilsOF Kodemaker

NilsOF

Skrevet
Skrevet

Hehe, jeg begynte å tenke på broadcasts og hvordan det vil oppføre seg, og da havnet jeg på ville veier 🙂 

For var det sånn at det ikke var sånn eller var det som jeg først tenkte eller var det i andre gjenommgang av tankegangen første gang..

 

Ja, og det tenker jeg er en av grunnene til at routede nett er å foretrekke 🙂

Ingen ninjatriks, maskiner og tilhørende nettverkssegment befinner seg kun på ett sted og kan nåes med mere oversiktelig ruting.

Lenke til kommentar
Del på andre sider

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
 Del
Gå til emneliste
×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.