-
Fototrend
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
bambano
titán
nem akar semmit az orrod alá dörgölni, próbálja finoman érzékeltetni, hogy túlmentél azon a határon, amit haveri segítségként illik kérni.
azt kellene megértened, hogy ha a te tudásod nem üt meg bizonyos szintet, akkor segítséget adni csak olyan pluszmunkával lehet, amit már túlzás elvárni. ilyenkor is lehet segítséget kérni, a kolléga szívesen meg is oldja, csak majd kapsz számlát. Nem tudom, ő mennyiért dolgozik, de akiket pestről ismerek, azok szerintem nettó két kiló + fa díjért megcsinálják pöpecül.
az általad elvárt, kikövetelt segítségnek nagyjából ennyi a piaci értéke. ezért nem kéne beszólni a szakmai alázatról a kollégának.
-
bacus
őstag
Én így csinálnám: (de ezt szerintem te nem akarod valamiért)
1. Azt a hálót ahol a szerverek is vannak (központ) be kell állítani egy egyedi ip cím tartományra, amit a sok piacon kapható home router nem használ. pl 192.168.188.x/24. A helyi kliensek maradhatnak a most bevált tartományban, de a szervereket át kell tenni. Ez csak pár gép átkonfigurálása..
A vpn kliensek is a szerver poolból kapjanak ip címet. A megvalósítás a tied, csinálhatod, mikrotikkel két fizikai interfaceel/bridgeel, két switchhel, vagy vlannal smart/managelhető switchel, ami neked tetszik és jó megoldás. A lényeg, hogy itt két alhálózat lesz, közte a mikrotik fog routeolni.2. A kliens telephelyekre is kell tenni egy mikrotiket, majd az legyen a vpn kliens, ami nem is feltétlen pptp-t vpn, lehet sstp, vagy l2tp, ovpn, de csak egy kapcsolat telephelyenként, az ott lévő windows gépeknek nem kell vpn kapcsolatot nyitni, ez leegyszerűsíti a dolgozók életét, stb., és csak a mikrotikeken kell routing szabályokat írni. (ha nem okoz semmi gondot, lehet a mostani megoldás is jó, de azért szerintem sem mindegy, hogy hány vpn kapcsolat van)
3. Az ezeken kívül eső helyeken a win kliensek vpn kapcsolat félépítése után érik el a szervereket, nyilván itt is egy helyről akár többen is megnyithatják a saját vpn-t
Nekem nem okoz örömet, hogy nem tudsz valamit, de olybá tűnik a feladat túlmutat a tudásodon. Szerintem segítőkész voltam eddig is, de ha sértegetni próbálsz, akkor nem szólok hozzá többet.
-
bacus
őstag
"
Kérdés: A VPN klienseknek abban az alhálózatban kell lenniük, amilyen maszkot fognak használni?
Tehát ha mondjuk a VPN poolt beállítom 192.168.1.230-192.168.1.245-re, a maszkot pedig 255.255.255.248-ra, akkor ugye 3 bit marad a végén, ezeket az állomásokat fogja látni a VPN távoli hálózatából, az az alatti IP-ket pedig a kliensek helyi hálójában? Ez elvileg egy /29-es alháló. Ez így jó?
A szervereket meg 248-tól fölfelé rakom.
"Lehet én emlékszem rosszul, de a megoldásodhoz neked a VPN maskját kellene tudd állítani, amit szerintem nem tudsz. Ami megoldás lehet, hogy a vpn pool teljesen más alhálózat, pl 192.168.11.x -ből osztogatod a címeket, a mikrotiknek a tűzfalán ezt is engeded oda vissza forwardolni, majd a kliensekhez veszel fel routing szabályt, hogy amennyiben a 192.168.1.246-254 címeket akarja elérni akkor az a vpn felé menjen..
persze ha az nincs megnyitva lesz gond, így aki lokálisan a szerver mellett van, annak ez a routing szabály nem kell.Én biztos nem így csinálnám (nem is így csinálom..)
-
krealon
veterán
"Vagy a kliensek IP-inek is bele kell esni az alhálózatba, tehát ha a kliensek IP-i 248 alatt vannak, akkor nem lesz jó a /29, hanem mondjuk vegyem kicsit nagyobbra: mondjuk /28 vagy /27?"
Kicsit kevered a fogalmakat.
Nyilvanvaloan a helyi halozat es a VPN az ket kulon csatolo a Mikrotiken.Hiaba allitasz azonos IP tartomanyt (alhalozat) rajtuk, amig nem lesznek Layer 2 kapcsolatban (Bridge), nem fogjak latni egymast.
Routing-gal (Layer 3) pedig azaert nem hozhatok ossze, mert megegyezik az alhalozat.Rendesen meg kene tervezni a rendszert (atgondolni, hogy milyen szolgaltatasokat milyen kliensek hogyan tudank elerni) es ennek megfeleloen kialakitani a IP konfigot. Az, hogy IP cimekkel vagdalkozuk, nem visz sehova.
Tekintve a Windows-os klienseket, erdemes lehetne Active Directory alapon dolgozni, igy lehetne a konbozo szolgaltatasokat kulon subnetben kezelni, es tufallal szeparalni.
-
ggg1
aktív tag
Vagy a kliensek IP-inek is bele kell esni az alhálózatba, tehát ha a kliensek IP-i 248 alatt vannak, akkor nem lesz jó a /29, hanem mondjuk vegyem kicsit nagyobbra: mondjuk /28 vagy /27? A klienseket ugye nem kell elérni, azok csak kapják az IP-t. Csak a szervereket kell elérni, ami 248 fölött lesz!
-
bambano
titán
kezdjük már elölről:
tehát van egy központod meg egy telephelyed. a telephelyen van több windows kliens, azokon van a pptp kliens, amik be akarnak lépni a központi telephelyen a pptp szerverbe?
mer az ugye megvan, hogyha több kliens akarja egyidőben a telephelyi hálózatot összekötni a központival, abból orbitális káosz lesz?
ha a telephelynek van saját lanja, akkor a telephelyre ki kell tenni pontosan egy darab routert, ami pptp kliensként bemennek a központ szerverére.
a proxy arpra szerintem nem hat az openwrt routing tűzfala, merthogy a proxy arp nem ip protokoll.
-
bacus
őstag
Nem biztos, hogy érted ezeket az alhálózatokat...
" 255.255.0.0, és akkor az egyik háló 255.255.1.x, a másik meg 255.255.2.x, jól gondolom?"
A 255.255.0.0 egy mask, de ez egy /16 -os mask, neked nem bőviteni kell, hanem szűkiteni.Amiért nem működik: Amikor nincs vpn a kliensen, akkor 1 db ip cím, egy alhálózat, egyértelmű. hogy amikor meg akarja szólítani a 192.168.1.50-es ip cimet, akkor azon az interfacen keresztül kell kiküldeni a csomagot, de amint beindítod a vpn-t, két cím van, ugyanarra az alhálózatra. Ezt nem lehet jól kezelni, ezért a vpn -es interfacen keresztül szólitja meg ezt az alhálózatot, ami innét már nem lokál, sőt nem is éri el a lokális dolgokat.
(a windows ezen felül csak egy darab átjárót kezel, így még megannyi dolgot nem lehet egy windowsal és több interface-el csinálni)jó lenne ha utána olvasnál és megértenéd, hogy mi is az az ip cim, alhálózati mask, ilyenkor milyen cimeket lehet elérni átjáró nélkül, stb. Ha megérted a problémát, akkor rá fogsz jönni a megoldásra, hogy mit kell tegyél.
Amit irtam, hogy nem kell átkonfigurálni, az nem jelenti azt, hogy két mp alatt megoldható, és semmit nem kell konfigolni.
Alapvető kérdés, hogy mindenhol mikrotik routerek vannak? Mert ha igen, akkor a vpn-t nem kliensenként kell megoldani, hanem a routereket kell összekötni és oda kell pár routing szabály, természetesen az ilyen szervereknek mindenhová nézve egyedi ip cim kell, pl nem lehet a 4 telephelyen is csak egy darab 192.168.1.50 ip cím, ha azt bármelyik telephelyen el kell tudd érni.
De hosszú távra ez a fajta beállítás azért mindenképpen tud meglepetést és szívást tartogatni, és persze nyilván való az előny is, ha mindenhol van egy hp 4000 nyomtató, minden telephelyen azonos ip címmel és erre nyomtat, akkor mindegy hol van, mindig a helyire megy ki a papír.., de azért nem kell a felhasználókat ennyire bénának nézni, válassza már ki, hogy hol van, és tudja, hova akar nyomtatni... -
ggg1
aktív tag
elírás javítva:
Igen, teljesen jól érted, a VPN-be belépő távoli kliens gépek helyi alhálózata és a VPN helyi alhálózata ugyanaz, ahogy írod, és miután a távoli kliens gépEK belépnek a VPN-be, utána a saját helyi hálózatukban nem látnak semmit. Viszont a teljes távoli hálózatot meg igen, ahol a VPN van. És arra volna szükség, hogy ne a VPN távoli hálózatát lássák, hanem a sajátjukat.
-
bacus
őstag
ezt 2x kellett elolvassam, hogy (talán) megértsem (így vasárnap reggel...)
Szóval a baj a távoli gépekkel van, mert ott is ugyanaz az alhálózat mint a szervernél? Azaz mindkét alhálózat 192.168.1.0/24
A távoli gépnek ezek szerint ott van egy ip címe, mondjuk 192.168.1.100, majd a vpn megnyitásakor 192.168.1.250-t is megkapja? Jól értem? Ezek után a távoli gép lokális hálózatában lévő szervert ami 192.168.1.50 már nem éri el a távoli gép, ugye?
Ha ezt jól értem, akkor ezt a /24-es hálózati maszk használatával nem igen fogod tudni jól megoldani, vagy egyáltalán nem fogod tudni megoldani, ha az ip címek "össze vissza" vannak, azaz 192.168.1.49 az a vpn szervernél van, míg a 192.168.1.50 meg a kliens mellett. Ha tartományokra lehet bontani, akkor használni kell a /25 v. /26 -os maszkokat és menni fog. Azaz "A" telephely /26 háló 1-62 ip cimek, "B" telephely /26 háló 65-126 ip címek
A jó hír, hogy ha csak egy szervert kell elérni a vpn kliensnek, akkor talán megúszható az alhálózat megváltoztatása valamelyik (vagy mindkét) helyen, azaz a /24 hálót használva is megoldható a dolog, de a vpn pool-t akkor is át kell írni.
schawo Nem ismerem az iskolák költségvetését, viszont nem is akarom megismerni.
Új hozzászólás Aktív témák
ekkold- Luck Dragon: Asszociációs játék. :)
- Gaming notebook topik
- Synology NAS
- Mielőbb díjat rakatnának a görögök az olcsó csomagokra az EU-ban
- Ventilátorok - Ház, CPU (borda, radiátor), VGA
- sziku69: Fűzzük össze a szavakat :)
- Autós topik
- Motorolaj, hajtóműolaj, hűtőfolyadék, adalékok és szűrők topikja
- Gyúrósok ide!
- Nintendo Switch 2
- További aktív témák...
- ÚJ aktiválatalan Apple iPhone 16 Pro 128GB ! 1ÉV nemzetközi APPLE GARANCiA
- Új Gamer PC - Ryzen 7 5700X / RTX 5060 / A520M / 16GB vagy 32GB RAM / 240GB + 1TB M.2 SSD / 650W
- Samsung Galaxy Z Fold 4 256 GB, szürkészöld + S Pen tok
- TP-Link ER-7212PC Omada 3-in-1 Gigabit VPN Router
- TP-Link EAP Omada Wifi AP-k (225, 245, 615)
- Újra Akcióban!!! Ducky One 2 Mini és SF billentyűzetek a bolti ár töredékéért! Számla+Gari
- Zebra ZP505 EPL - Hőpapíros címkenyomtató
- ÚJ Lenovo Legion Pro 5 16IRX9 - 16" WQXGA 165Hz - i5 14500HX - 32GB - 1TB - RTX 4060 - 3 év garancia
- ÁRGARANCIA!Épített KomPhone i7 14700KF 32/64GB RAM RX 9070 XT 16GB GAMER PC termékbeszámítással
- BESZÁMÍTÁS! Gigabyte B650M R7 7700 32GB DDR5 1TB SSD RTX 5070 12GB BE QUIET! Pure Base 500DX 650W
Állásajánlatok
Cég: PC Trade Systems Kft.
Város: Szeged
Cég: Promenade Publishing House Kft.
Város: Budapest