Выделение на Микротике транизитных ViPNet соединений

Обсуждение ПО и его настройки
rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

Имеется сеть.

Посредством ViPNet Client, установленных на Workstаtion5 и Workstаtion6 с одной стороны и ViPNet Coordinator с другой стороны через интернет устанавливаются защищённые шифрованные соединения, при этом:

Workstаtion5, Workstаtion6 имеют доступ к Workstаtion1, Workstаtion2 по адресам 192.168.0.107,192.168.0.108.

Workstаtion1, Workstаtion2 имеют доступ к Workstаtion5, Workstаtion6 по адресам 10.0.0.22,10.0.0.23

На Микротике нужно:
- разрешить в обе стороны все запросы из локальной сети (192.168.0.0/24) через ViPNet-координатор к удалённым ViPNet-клиентам (10.0.0.0/24);
- запретить [все остальные запросы] из локальной сети (192.168.0.0/24) в публичный интернет через ViPNet-координатор.

Решаема ли задача в принципе, с учётом того, что селектировать следует шифрованные соединение? Если решаема - помогите, пожалуйста, с конкретными командами Микротика.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

если речь идёт о том, что надо разбираться в этом шифрованном соединении, то нет, задача не решаема иначе толку было от этого vipnet - 2 копейки.
если речь идёт о том, что бы запретить соединения от W5 и W6 к этому координатору, то проблем нет. простая задача для firewall


rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

simpl3x писал(а):если речь идёт о том, что надо разбираться в этом шифрованном соединении, то нет, задача не решаема иначе толку было от этого vipnet - 2 копейки.
если речь идёт о том, что бы запретить соединения от W5 и W6 к этому координатору, то проблем нет. простая задача для firewall

Нет, это совсем не нужно.

Задача - разрешить HW1000 отдавать в локальную сеть 192.168.0.0/24 интернет-трафик только для обслуживания ViPNet-сети с 10.0.0.0/24. Остальной интернет трафик для локальной сети 192.168.0.0/24 через HW1000 должен быть закрыт.


rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

simpl3x писал(а):если речь идёт о том, что надо разбираться в этом шифрованном соединении, то нет, задача не решаема иначе толку было от этого vipnet - 2 копейки.

Ну в общем случае, наверное, в шифрованный трафик сунуть нос не получится.

А если иметь возможность получить какую-то дополнительную информацию о ViPNet-сети - может быть что-то и выйдет?

ViPNet-сеть (ViPNet-координатор, ViPNet-клиенты) настраиваются и сопровождаются сторонней организацией - информация об их настройке и структуре ViPNet-сети нам недоступна.

Если я правильно понимаю, где-то вовне имеется по крайней мере один VPN-сервер, обслуживающий соединения Workstаtion1,Workstаtion2 к Workstаtion5,Workstаtion6.

Кроме того, Workstаtion3, Workstаtion4 находятся по отношению к этой виртуальной сети в другой виртуальной ViPNet-сети - соответственно где-то снаружи находится ещё, как минимум один, ViPNet-координатор. Но сейчас это к слову - в нашем вопросе мы их не рассматриваем.

Может быть следует запросить в организации, поддерживающей ViPNet, дополнительную информацию? Какую? Или как-то помогут адреса серверов ViPNet-инфраструктуры?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

я вот одного не пойму, у вас W1 и W2 шлюзом имеют этот HW1000, а прокси у них ваш прокси сервер, т.е. к прокси они ходят через это устройство? а W3 и W4 одновременно в двух сетях? и ходят в интернет через что?
т.е. не ясно, какую роль здесь играет прокси и на каком этапе шифрация данных у вас.


rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

Но ведь Координатор, скорее всего, связывается с VPN-сервером и ВЕСЬ трафик между сетями 192.168.0.0/24 и 10.0.0.0/24 ходит на самом деле через этот VPN-сервер (тут я совсем не уверен). И если иметь его адрес - можно Микротиком выделить ViPNet-трафик в/из HW1000?
Последний раз редактировалось rstaganrog 26 май 2013, 21:34, всего редактировалось 1 раз.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

да, я просто не заметил у вас этот HW.
вам надо поступить проще, у микротика есть функция Tourch на интерфейсах, запустите его и посмотрите какой трафик генерируется. что, кто и куда ходит.


rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

simpl3x писал(а):вам надо поступить проще, у микротика есть функция Tourch на интерфейсах, запустите его и посмотрите какой трафик генерируется. что, кто и куда ходит.

Прошу прощения, не подскажете подробнее, как воспользоваться этой функцией на МТ?


rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

simpl3x писал(а):я вот одного не пойму, у вас W1 и W2 шлюзом имеют этот HW1000, а прокси у них ваш прокси сервер, т.е. к прокси они ходят через это устройство? а W3 и W4 одновременно в двух сетях? и ходят в интернет через что?
т.е. не ясно, какую роль здесь играет прокси и на каком этапе шифрация данных у вас.

Да, вопрос с прокси и W3-W4 закономерный - просто их я в данном контексте пока опустил.

Прокси пока реально не работает - это пока только в планах. Сначала хочу закрыть весь публичный интернет для машин из 192.168.0.0/24 [собственно сабж]. А потом уже направить весь публичный интернет из из 192.168.0.0/24 маршрутом через W3. Ну и уже после этого задействовать прокси для http-https-ftp.

W3 и W4 действительно одновременно в двух сетях - 192.168.0.0/24 и 192.168.0.1/24. Их ViPNet-клиенты обеспечивают им присутствие в другой ViPNet-сети, отличной от сети, обслуживаемой HW1000 и ViPNet-клиентами на W5 и W6.


rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

simpl3x писал(а):а W3 и W4 одновременно в двух сетях? и ходят в интернет через что?
т.е. не ясно, какую роль здесь играет прокси и на каком этапе шифрация данных у вас.

W3 и W4 шифруют свой трафик как ViPNet-узлы, пропуская через себя остальной интернет-трафик нешифрованным.

Существенный момент - W3 и W4 не являются NAT-ми и поэтому я хочу перенаправить маршрут из локальной сети в публичный инет через один из них - W3.
В этом случае на МТ я увижу реальные адреса-источники из сети 192.168.0.0/24.
Если же я сеть 192.168.0.0/24 выпущу в публичный инет через HW1000, то он, будучи NAT-ом попортит мне для МТ адреса-источники 192.168.0.0/24.


Ответить