VPN a dve WAN rozhrani

orbb

Zdravim vsechny, mam dve WAN rozhrani, obe s verejnou pevnou IP, obe aktivni, v mikrotiku je mam rozlisene v routach jako WAN-1 s prioritou 1 a WAN 2 s prioritou 2. Na WAN2 provozuji VPN (historicke duvody, potrebuji to tam). VPN tunelu mam asi 20, sestavi se mi v pohode, ze vzdalene site si pingnu, z lokalni do vzdalene ne. Ke kazdemu tunelu mam pravidlo dstnat src adress 192.168.2.0/24, dstadress 192.168.1.0/24 action accept. to si myslim je OK, z pobocky do lokalni site ping funguje. Druhe pravidlo je: srcnat-src adress 192.168.1.0/24, dst adress 192.168.2.0/24, Out interface: WAN-2, action Accept. Bohuzel to nefunguje, zkousel jsem i action snat na adresu brany, brany vzdalene site apod ale nic mi kyzeny uspech neprineslo :-( Poradi nekdo ? Nebranim se po dohode se na to podivat i pres vzdaleny pristup apod. .. Diky.

majklik

A typobočk ve svých stích mají jaké IP adresy? Jestli všechny 192.168.2.0/24, tak to neuchodíš, pokud každá svůj další segment, tak ti to nefnguje bude proto, že ti chybí routy, kdy na centrále musíš do tunelu na každou poočku naroutovat ten její segment 192.168.X.0/24 a nebo pokud je tam máš, tak nemáš ve firewallu ve forward povoleno přeposílání paketů. Jaký druh VPN používáš?

orbb

Ahoj a diky za odpoved, kazda pobocka ma vlastni segment :) Routu bych nastavil, nicmene jak ma vypadat ? Co jsem na to koukal tak tam muzu zadat branu, ale neumim tam nadefinovat ze bude routovat pouze pakety jdouci do dane cilove site. Kdyz jsem nastavoval protistranu s mikrotikem (puvodne jsem na centrale mel ZyWALL 70) kde pouzivam jen jedno rozhrani WAN tak jsem nastvoval pouze dva naty (tak jak jsem je vypsal) ale tady netusim jak ho donutit aby si povidal skrze tunel na druhem rozhrani. Ve firewallu mam pravidla pro povoleni VPN, tzn. UDP 500, pouzivam IPSEC-ESP, v ramci testu jsem ve firewallu zakazal veskera pravidla ktera neco blokovala ale ani tak to neslo. Zitra zkusim vytvorit routu s dst adress 192.168.2.0/24, Gateway: IP WAN-2 ? nebo verejna IP pobocky ? Nebo vnitrni IP pobocky ? Zkusim postupne vsechny :)

majklik

Aha, klasické IPsec tunely. Takže ve firewallu v input by mělo být povoleno vedle UDP/500 i protokol 50 (ipsec-esp). Dále, to vyloučení z SRC-NATu nedělej na wan2, ale obecně, fakticky se ti to zanatuje totoiž dle wan1. Paket ven se směruje na základě routovací tabulky, tam máš prioritu na wan1, takže se paket natne dle wan1 a ne wan2. IPsec se na to uplatní nezávisle na routovací tabulkce a je jedno, že jeho tunel ochází skrz wan2.

Takže mít na začátku NAT pravidel to jen nějak takto:

/ip firewall nat

add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.2.0/24

patřičně pro všechny rozsahy poboček (a na nich zase obráceně). Je třeba mít povoleno i pod /ip firewall filter chain=forward to stejné.

A samozřejmě se podívat, zda se ty protistrany domluvily a mají něco patřičně pod /ip ipsec installed-sa, tam bych měl i vidět, zda se snaží něěco do tunelů posílat/přijímat dle čítačů tunelovaných bajtů.

orbb

Ahoj, tak otestovano, bohuzel ani tak mi to nejde. Provedl jsem nicmene pruzkum a pokud prohodim prioritu rout (WAN rozhrani) tak mi vpn hned zacne komunikovat krasne v pohode :( Takze neco chybi co mi prehodi provoz v tunelech tak, aby sel skrze WAN-2. Zkousel jsem nastavit i dalsi routu vypadajici: dst adress: 192.168.2.0/24, GW: WAN-2 a dat ji nejvyssi prioritu ale ani to mi nepomohlo (vzdy po zmene rout jsem i pro sychr restartoval mikrotika). Zacinam se propadat do deprese a pomyslim na ritualni sebevrazdu :)

majklik

Tak to máš rozbitý routing a ne IPsec. Prvně, máš v /ip ipsec peers u definic vyplněnu i svoji Local Address odpovídající tomu wan2? Pokud ne a vyplníš, tak se ti to možná rozbije úplně a přestane jít i jedním směrem...

Jednoduchý test, když si povolíš odpověď na ping z venku a dáš odněkud ping na IP wan1 a pak i na wan2, tak ti to z wan2 odpoví nebo ne? Jde o to, aby jsi správně nastavil, že na data došlá na wan2 se má odpovídat zpět přes wan2 a ne skrz wan1, stejně tak data odcháející s IP odpovídající wan2, aby chodila přes tu wan2....

Pokud máš na wan2 třeba 2.2.2.2/24 a bránou 2.2.2.254, tak by mělo být v cfg routingu i něco jako (na wan1 třeba adresa 1.1.1.1/24 v lan a na pobočkách používáš věci z 192.168...):

/ip route rule

add dst-address=192.168.0.0/16 table=main

add dst-address=1.1.1.0/24 table=main

add dst-address=2.2.2.0/24 table=main

add action=lookup-only-in-table src-address=2.2.2.2.2 table=linka2

/ip route

add distance=1 dst-address=2.2.2.0/24 gateway=WAN2 pref-src=2.2.2.2 routing-mark=linka2

add check-gateway=ping gateway=2.2.2.254 pref-src=2.2.2.2 routing-mark=linka2

Tohle by ti mělo zaříit, aby ten IPsec odcházel přes wan2.

orbb

Diky moc za rady, bohuzel nic nefungovalo :(

Nicmene nakonec jeden kolega pres telefon a teamviewer pomohl. Zde je reseni pro podobne zoufalce :)

Potreba pridat routu pro kazdou VPNku vypadajici nasledovne:

IP-Routes

dst-address:"Verejna_IP_ciloveho_zarizeni" Gateway:"Brana_od_ISP_na_pozadovanem_WAN_rozhrani" Distance=1