Βοηθεια για route

[groun]

Καλημέρα. Θα ήθελα τη βοήθεια σας στο εξής:
Σε ένα χώρο έχουμε ένα πάροχο για internet και ένα ακόμα για vpn μεταξύ δύο καταστηματων. Θέλω όλη η κίνηση να περνάει ότι το interface του isp1 εκτός από το το subnet 192.168.2.X που πρέπει να δρομολγειτε μέσω της eth2. Γνωρίζει κάποιος πως υλοποιείται; Ευχαριστώ.

[griniaris]

Θα πρεπει να δωσεις καποιες πληροφοριες για να μπορεσει να σε βοηθησει καποιος.

Τι modem-router χρησιμοποιουνται? τι συσκευες κανουν το vpn ? υπαρχει αλλο ρουτερ ?

[groun]

Καλησπέρα,

Λοιπόν, Ο ISP1 είναι που βγαίνουμε στο ιντερνετ είναι ένα wan router της hcn. Έχει ρυθμιστεί και παίζει μια χαρά με το Mikrotik.

Η δεύτερη γραμμή, είναι μισθωμένη από τη Nova, μόνο για το vpn. To vpn γίνεται στις δύο άκρες με ρουτεράκια sisco ρυθμισμένα από τη nova. Από αυτή τη γραμμή δεν περνάει ιντερνετ, παρά μόνο το vpn.

Ώς εδώ έχω καταφέρει και τα έχω σετάρει σαν μεμονωμένες γραμμές μια χαρά. Δηλαδή,

Όταν χρησιμοποιώ το route 0.0.0.0 -->gateway:eth1 έχουμε ίντερνετ κανονικά,
και αντίστοιχα 0.0.0.0 --> gateway:eth2 παίζει το vpn.

το τοπικό δίκτυο είναι το 192.168.1.0/24
και το απομακρυσμένο vpn το 192.168.2.0/24

αυτό που θέλω είναι, όταν υπάρχει εξερχόμενη προς το 192.168.2.Χ να βγαίνει μέσα από το vpn, ενώ σε οποιαδήποτε άλλη περίπτωση μέσα από το eth1 (internet-hcn)

[netblues]

route add 192.168.2.0/24 ->gateway:eth2

[groun]

αυτό έχω κάνει, αλλά όταν ενεργοποιώ αυτή τη route, χάνεται το ιντερνετ. Μήπως χρειάζεται κάποιο mangle;

[kostas2911]

αυτό έχω κάνει, αλλά όταν ενεργοποιώ αυτή τη route, χάνεται το ιντερνετ. Μήπως χρειάζεται κάποιο mangle;

Κάνε ένα export το configuration και ανέβασε το

[groun]

Παιδιά καλησπέρα, είχαν κάνει λάθος στην ip της route. Αλλού έψαχνα το πρόβλημα, και ήταν μπρος στα μάτια μου. Ευχαριστώ πολύ για το χρόνο και το ενδιαφέρον σας.

[groun]

Επαναφέρω το θέμα, για ένα ακόμα πρόβλημα που αντιμετωπίζω στην ίδια εγκατάσταση.

Θέλω να ανοίξω μια πόρτα σε μια ip, που βρίσκεται στην απέναντι μεριά του vpn (μέσω της eth2 και subnet 192.168.5.X) και να βγαίνει στο ιντερνετ από την hcn (eth1). με τον κλασικό κανόνα του port forword, ενώ η πόρτα φαίνεται ανοιχτή, δεν μεταφέρεται στην τοπική ip του υποκαταστήματος.

[kostas2911]

Δεν κάνεις κανένα σχέδιο την τοπολογία γιατί εγώ προσωπικά δεν έχω καταλάβει τίποτα.

[groun]

Κεντρικό κατάστημα:
mikrotik router
eth1 --> ISP (HCN)
eth2 --> VPN (nova - no internet, 10.10.1.2/30)
bridge1 --> LAN (192.168.2.0/24)

Υποκατάστημα
mikrotik router
eth1 --> ISP (ΟΤΕ)
eth2 --> VPN (nova - no internet, 10.10.1.1/30)
bridge1 --> LAN (192.168.5.0/24)

θέλω να περάσω κίνηση απο το eth1(kκεντρικό κατάστημα) --> eth2 (vpn κεντρικό κατάστημα) --> eth2 (vpn υποκαταστηματος) -->LAN υποκαταστηματος.


Ευχαριστώ.

[kostas2911]

Αν έχεις κάνει απλά dst-Nat στην απέναντι ip θα έχεις ασύμμετρο Routing. Θέλεις και src-Nat.

Κάνε ένα export τα Nat και τα route σου

[macro]

To οτι θελλει src nat εννοειται οταν εχεις διαφορετικα subs και μετα να κανει απλο routing, π.χ. dst.adr 10.1.1.1/30-->gateway eth HCN. Πρεπει ακομη τις ip που ρουταρει να τις αφηνει απο το firewall.

[kostas2911]

To οτι θελλει src nat εννοειται οταν εχεις διαφορετικα subs και μετα να κανει απλο routing, π.χ. dst.adr 10.1.1.1/30-->gateway eth HCN. Πρεπει ακομη τις ip που ρουταρει να τις αφηνει απο το firewall.

Δεν είναι κανόνας το src-nat ούτε έχει να κάνει με τα διαφορετικά subs. Θα μπορούσε και στο ίδιο sub να χρειάζεται src-nat.
Εξαρτάτε από την εκάστοτε περίπτωση.
Στη συγκεκριμένη περίπτωση λοιπόν η src-address θα είναι η public του "client" που συνδέεται απ έξω. Αν δεν κάνει src-nat o "server" θα απαντήσει μέσω του default gateway του και όχι μέσω του vpn.