Специфичная переадресация

[daledale]

Доброго. Скажите плз, можно ли реализовать такую штуку - можно только направление подсказать, конкретные действия можно не писать. В общем 2.14 прошивка. Роутер является клиентом L2TP = поднят vpn туннель до другого Keenetik. Можно ли создать правило переадресации и/или + маршрутизации, чтобы некто, подключающийся с внешки к этому клиенту VPN на опеределённый порт, был завернут в этот vpn туннель и далее получил бы доступ к компу на другом конце туннеля. Наверное непонятно, объясню на примере.

1. Есть роутер keenetik vpn клиент, с внешним ip допустим 1.2.3.4

2. Есть роутер - сервер Keenetik vpn куда коннектится роутер-клиент из п.1. Допустим у этого роутера-сервера vpn внешний ip 5.6.7.8 (впрочем в данном вопросе не важно какой у него внешний ip). Локальная подсеть у него, допустим 192.168.100.0/24

3. Есть некто, кто знает внешний ip роутера из п.1. 1.2.3.4. По ряду причин ему не нужно знать внешний ip роутера 2 (5.6.7.8). Итак он стучится на 1.2.3.4, например на порт 1234. Как его запрос завернуть в vpn туннель, чтобы он получил доступ к внутреннему ресурсу, находящимся за роутером 2, например с локальным ip: 192.168.100.10:8888?

Спасибо.

 

[Кинетиковод]

9 часов назад, daledale сказал:

Скажите плз, можно ли реализовать такую штуку - можно только направление подсказать, конкретные действия можно не писать.

Openvpn TAP.

[KorDen]

Ну так простейшая переадресация портов, только не на локальный хост, а либо на IP туннеля (и на втором роутере еще переадресация), либо сразу на нужный DST при условии наличия маршрутов

[daledale]

1 час назад, Кинетиковод сказал:

Openvpn TAP.

Чёт я погорячился)). Можно с этого места поподробнее?

 

1 час назад, KorDen сказал:

либо сразу на нужный DST при условии наличия маршрутов

Игрался вроде и так и сяк, с маршрутами. с 1-го роутера удаленный хост, находящийся за вторым роутером в другой подсети пингуется, но никак не удаётся завернуть подключающегося с внешки на 1-ый роутер в VPN туннель.

[Кинетиковод]

2 минуты назад, daledale сказал:

Чёт я погорячился)). Можно с этого места поподробнее?

Подробнее: поднимаем сервер tap, клиента регистрируем и привязываем профиль, где подключением будет L2TP клиент сервера 5.6.7.8. Если адрес сервера великая тайна, то L2TP клиент не должен использоваться для выхода в интернет, а только для объединения сетей. Таким образом openvpn завернёт клиента в туннель. Если L2TP используется для интернета, тогда эту схему можно нагородить из одних openvpn серверов, если они конечно влезут на ваши Омни. Кстати Омни 3 не существует.

Что касается переадресации, то у меня это дело не заводится. Между внешкой и локалкой пожалуйста, а остальное никак. Возможно я что-то делаю не так.

[daledale]

38 минут назад, Кинетиковод сказал:

Подробнее: поднимаем сервер tap, клиента регистрируем и привязываем профиль, где подключением будет L2TP клиент сервера 5.6.7.8. Если адрес сервера великая тайна, то L2TP клиент не должен использоваться для выхода в интернет, а только для объединения сетей. Таким образом openvpn завернёт клиента в туннель. Если L2TP используется для интернета, тогда эту схему можно нагородить из одних openvpn серверов, если они конечно влезут на ваши Омни.

Ясно. Точнее пока ничего не ясно, надо "курить" тему. Просто, как было раньше, если интересно:

Локалка 192.168.0.0/24.

В ней два провайдера со статическими внешними ip.

1. Провайдер 1 - интернет поднимается на кинетике + vpn туннель до другого Keenetik и удаленной подсети 192.168.100.0/24. На удаленном хосте, например 192.168.100.10 работает некий сервис на порту например 8888.

2. Провайдер 2 - интернет поднимается на программном шлюзе. НЕкто с внешки подключается именно к этому Ip/провайдеру, он не знает про существование прова №1 и его ip. Собс-но на шлюзе касательно этого, буквально две настройки:

Правило запросы от Источник (внешний IP "НЕкто") и на оперделённый порт завернуть на 192.168.100.10:8888, да да, прямо ip адрес конкретного хоста удаленной подсети, это не ошибка!

а собственно программный шлюз "знал" про удаленную подсеть, т.к. в нём прописано одно правило маршрутизации вида route add 192.168.100.0 mask 255.255.255.0 [локальный ip keenetik 1-го прова].

Всё, всё работало. Т.е. этот некто даже не подозревая о существовании 1-го прова и его ip, подключался к внешнему ip и на определённый порт прова 2 и запросы сразу улетали в удаленную подсеть.

=========

Что изменилось сейчас? Вместо программного шлюза прова №2 - добавился Keenetik в котором тоже как и в первом поднят vpn до той же самой удаленной подсети. Впрочем и на первом Keenetik также поднят vpn до той же удаленной подсети. Ну собс-но проблема в первом посте.

 

38 минут назад, Кинетиковод сказал:

Кстати Омни 3 не существует.

Это я так KN-1410 обозвал))

Edited March 5, 2019 by daledale

[Кинетиковод]

32 минуты назад, daledale сказал:

Что изменилось сейчас? Вместо программного шлюза прова №2 - добавился Keenetik в котором тоже как и в первом поднят vpn до той же самой удаленной подсети. Впрочем и на первом Keenetik также поднят vpn до той же удаленной подсети. Ну собс-но проблема в первом посте.

Тогда создавайте IPsec подключение от нового Кинетика (я так понимаю Старта), до удалённого к которому сейчас L2TP идёт, L2TP обязательно выключайте. Далее на Старте на сервере L2TP пишите диапазон из локальной сети самого Старта, но так чтобы он не пересекался с диапазоном локалки. Удалённый клиент будет при подключении к L2TP сереверу будет получать адрес из локальной сети, которая посредством IPsec соединена с удалённой сетью. Таким образом клиент получит доступ в удалённую локалку, ну и локалку самого Старта, а о провайдере №1 он ничего не узнает. Настройка вся из вебморды за пару минут.

41 минуту назад, daledale сказал:

Это я так KN-1410 обозвал))

Понятно. Кстати роутеров марки Keenetik не существует, есть Keenetic. Ваш за Keenetik Omni III наверное китайская подделка.)))

[daledale]

9 часов назад, Кинетиковод сказал:

(я так понимаю Старта)

Где два кинетика в одной локалке - оба KN-1410. В удаленной сети Omni II c с прошивкой 2.14.

9 часов назад, Кинетиковод сказал:

Кстати роутеров марки Keenetik не существует

очепятка, конечно же KeenetiC. Роутеры самые что ни на есть - Genuine Original ))

------------

 

9 часов назад, Кинетиковод сказал:

Далее на Старте на сервере L2TP пишите диапазон из локальной сети самого Старта, 

Тут, если я правильно понял, речь идёт об удаленном Keenetic = сделать его подсетку такую же, как и здесь, разумеется без пересечений?

[Кинетиковод]

1 час назад, daledale сказал:

Тут, если я правильно понял, речь идёт об удаленном Keenetic = сделать его подсетку такую же, как и здесь, разумеется без пересечений?

Я не знаю что у вас удалено, а что рядом. Подсеть сервера l2tp сделать в диапазоне локалки на Кинетике, который теперь вместо шлюза, иначе схема не заработает. А вот удалённые подсети ни в коем случае не пересекать, они обязательно разные.

Допустим локалка 192.168.1.30-70, сеть сервера 192.168.1.200-210.

[daledale]

Было:

1. Инет 1 - внешний 1.2.3.4 + l2tp/ipsec vpn до п.4 см. ниже

2. Инет 2 - внешний 5.6.7.8 + l2tp/ipsec vpn до п.4 см. ниже

3. Оба интернета пп.1-2 в одной локалке 192.168.0.0/24 здесь.

4. Удаленный keenetic - внешний ip 9.10.11.12. Удаленная локалка 192.168.100.0/24

Вы предлагаете. Удаленную локалку сделать тоже 192.168.0.0/24 без пересечения ip адресов с локалкой здесь из п.3, верно?

В общем - я просто не пойму такой штуки, почему когда что 1-ый, что 2-ой кинетик здесь, зная удаленную локальную подсеть (поднят vpn до неё), более того даже зная конкретный хост в этой удаленной сети - не могут переадресовать запросы в эту подсеть. Т.е. с любого кинетика из админки пингуется не только удаленный шлюз-кинетик по его локальному ip, а даже удаленный хост по его локальному для той подсети ip (есть правила маршрутизации). Вот, по сути, в чём смысл, так сказать, вопроса.

 

Edited March 6, 2019 by daledale

[Кинетиковод]

2 часа назад, daledale сказал:

Где два кинетика в одной локалке - оба KN-1410. В удаленной сети Omni II c с прошивкой 2.14.

Два в одной локалке? Это как и зачем? Как два dhcp сервера в одной сети уживаются? 

Кинетики давно работают с двумя провайдерами, два Кинетика в одной локалке не требуется. Если у вас уже эта локалка соединена через l2tp  с удалённой, то ещё ipsec городить ни к чему. 

 

[daledale]

10 минут назад, Кинетиковод сказал:

Два в одной локалке? Это как и зачем?

Так получилось, это делалось не сразу, а постепенно. На данный момент так.

10 минут назад, Кинетиковод сказал:

Как два dhcp сервера в одной сети уживаются? 

Где я писал, что у них включены dhcp? Скажу больше, dhcp ни на одном не включен, а dhcp сервер это вообще третий девайс - тот самый программный. Он ничего не фильтрует, просто выполняет роль dhcp сервера, причём очень гибкого в отличии от кинетик))

10 минут назад, Кинетиковод сказал:

Кинетики давно работают с двумя провайдерами,

Знаю. Писал выше про "так получилось....", более того всё же как ни крути две независимые железки с двумя провайдерами более надёжны, нежели одна. Т.е. будет 1 девайс с настроенными двумя провами и он, например, благополучно зависнет. Получится картина маслом - два интернета и ни один не работает...

10 минут назад, Кинетиковод сказал:

Если у вас уже эта локалка соединена через l2tp  с удалённой,

На данный момент оба из kn-1410 здесь соединены (являются клиентами L2tp/ipsec) с удаленной.

Edited March 6, 2019 by daledale

[Кинетиковод]

3 минуты назад, daledale сказал:

Где я писал, что у них включены dhcp? Скажу больше, dhcp ни на одном не включен, а dhcp сервер это вообще третий девайс))

О мой Гад!  Это видимо тоже для надёжности. 

https://youtu.be/5KppXjhHJb4

 

[daledale]

Добавлю, или снова повторюсь. Давайте абстрагируемся от двух кинетиков в одной локалке, количества dhcp серверов и проч.

Допустим берём пример.

1. Кинетик №1 с внешним статическим ip и локальной сетью 192.168.0.0/24. Он же являеется клиентом l2tp/ipsec до удаленного кинетик см. п.2 далее. 

2. Кинетик №2 тоже с внешним ip и локальной сетью 192.168.100.0/24. На нём поднят l2tp/ipsec vpn сервер. К нему подключается кинетик №1. Vpn поднимается и работает. В его локальной сети есть хост 192.168.100.10:8888

---------

Из админки Кинетика №1 пингуется не только локальный ip кинетика №2, а даже сам хост 192.168.100.10. Т.е. кинетик №1 благодаря туннелю vpn и правилам маршутизации знает о существовании хоста в локалке кинетика №2.

Вопрос: Почему Кинетик №1 правилом переадресации не может перекинуть запросы со внешки на определённый порт, непосредственно на удаленный хост 192.168.100.10, ведь он его пингует и знает о нём? Или тут засада кроется не в кинетик №1, а в кинетик №2? 1-ый кинетик успешно перенаправляет запросы, а вот фаерволл второго лочит?

 

Edited March 6, 2019 by daledale

[daledale]

23 минуты назад, Кинетиковод сказал:

О мой Гад!  Это видимо тоже для надёжности. 

Что смешного, блин? Не далее как пару дней назад была ситуация, практически с новым кинетик с прошивкой 2.13. Проблема проявлялась так. Часть правил переадресации перестала работать, часть работала. Кинетик пинговался и снаружи и изнутри. Этот кинетик выполнял дополнительно роль l2tp/ipsec vpn сервера, он отключился и перестал работать. Веб морда была доступна и снаружи и изнутри, но как только вводил логин и пароль в веб морде, страница не показывала никакую ошибку, но и кинетик не пускал внутрь (проблема с браузером и cookies - исключена 100%, пробовал разные брузеры, компьютеры, ос). Никакие команды, в т.ч. и по telnet'у по перезагрузке "system reboot" кинетик не выполнял, точнее писал что выполнял в консоли (тоже никаких ошибок НЕ было), а по факту перезагрузки не происходило. Сталкивались с таким, не? Я - столкнулся. Единственный способ, только приезд и передёргивание питания решило проблему. Что скажете на это, когда в такой вот кинетик будет воткнуто два/три... провайдера?

Edited March 6, 2019 by daledale