Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.


Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora - web / Turris - Mikrotik VPN (uzamčeno)
- - Od secmi Dne 2016-07-18 15:55
Ahoj,
mám následující situaci:
1. síť s Turrisem, rozsah sítě 192.168.1.0/24
2. síť s Mikrotikem, rozsah sítě 192.168.5.0/24

Na Turrisu běží OpenVPN server (tun), na Mikrotiku jsem nastavil klienta a zde všechno funguje. Tj. když v síti "2" zadám IP z rozsahu sítě "1" k zařízení se dostanu.

Co ale nějak nemohu zprovoznit je postup opačný, je mi jasné, že Turrisu musím říct aby požadavky předával na Mikrotik, vytvořil jsem tedy statickou trasu - rozhraní VPN, cíl 192.168.5.0/24, IPv4-Brána 192.168.100.2 (což je IP přidělená Mikrotiku VPNkou), ale bohužel to nepomohlo.

Mohu prosím požádat o radu, kde by mohl být zakopaný pes?

díky, Michal
Nadřazený - - Od Michal Vaner (>>) Dne 2016-07-18 16:05
Dobrý den

Mám něco podobného a také jsem chvíli ladil. Jde o to, že ty statické routy se aplikují v době, kdy ten tunel ještě neexistuje. Nebo možná z nějakého jiného podobného důvodu.

Ale ono to jde říct přímo openVPN. Na serveru je potřeba vyrobit adresář s per-klient konfiguráky. A do konfiguráku odpovídající tomu mikrotiku dát něco jako „iroute 192.168.5.0 255.255.255.0“. Více informací bude v dokumentaci samotného OpenVPN.

S pozdravem
Nadřazený - - Od secmi Dne 2016-07-18 17:09
Nevím jestli se nepletu, ale podle toho co jsem prošel tak toto slouží ke konfiguraci klientů (tedy u mě Mikrotiku) - což je fáze, která mi funguje.

Já naopak potřebuji donutit server aby routoval na klienta. Výpis route na turrisu je
root@turris:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         10.30.0.1       0.0.0.0         UG    0      0        0 br-wan
10.30.0.0       *               255.255.255.252 U     0      0        0 br-wan
192.168.1.0     *               255.255.255.0   U     0      0        0 br-lan
192.168.5.0     192.168.100.2   255.255.255.0   UG    0      0        0 tun0
192.168.100.0   *               255.255.255.0   U     0      0        0 tun0

Vtipné je, že ani traceroute 192.168.5.1 neprovede ani první skok na gateway, jako kdyby ho něco blokovalo, ale netuším co.
Nadřazený - - Od Ondřej Caletka (>>>) Dne 2016-07-19 08:49
Pletete se. Nejde o konfiguraci klienta, ale o specifickou konfiguraci serveru pro daného klienta. Volba iroute vkládá interní směrovací pravidlo do OpenVPN serveru, které je naprosto nezbytné, pokud máte tun VPN v režimu point-to-multipoint – protože v takovém případě je uvnitř OpenVPN server další IP router, který na základě cílové adresy rozhoduje, ke kterému klientovi má daný paket poslat. A to je schopen samostatně rozhodnout pouze pro přímo připojené klienty, o případných směrovaných sítích za nimi se nemá jak dozvědět.

Kromě pravidla iroute můžete přidat i obyčejný příkaz route, který zajistí vytvoření obdobného směrovacího pravidla v hlavní směrovací tabulce Turrisu.

Pokud plánujete těch klientů připojovat víc, doporučuji OpenVPN překlopit do tap módu, kdy je uvnitř místo IP routeru obyčejný ethernetový switch. Pak si nad VPN můžete rozjet OSPF, na straně Turrise třeba pomocí BIRDa. Na tuto konfiguraci jsem přešel právě potom, co začala být „jednoduchá statická konfigurace“ po čase celkem komplexní ;)
Nadřazený - Od secmi Dne 2016-07-19 12:28
Děkuji za opravu, jakmile bude chvilka času, zkusím si s tím znovu trochu pohrát.

Variantu s route namísto iroute jsem zkusil, viz. přechozí příspěvek. Vytvořil jsem toto pravidlo 192.168.5.0     192.168.100.2   255.255.255.0   UG    0      0        0 tun0, kde 192.168.100.2 je adresa toho Mikrotiku z VPN rozsahu, na kterou se normálně připojím. Bohužel však po zadání traceroute 192.168.5.1, což je vlastně znovu ten Mikrotit nedošlo k žádnému skoku a to ani na bránu, což mi právě přijde trochu zvláštní.
Nahoru Téma Majitelé routerů / Technická podpora - web / Turris - Mikrotik VPN (uzamčeno)

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill