OT: Mikrotik za Sophosem a VPN

Tomáš Koželuh mr.death na ipq.cz
Úterý Listopad 9 18:12:30 CET 2021 

To je podle popisu naprostí nesmysl. Buď musí MKT dělat VPN a nevidím důvod, proč by ji nemohl dělat, stačí si vybrat typ VPN a na Sophosu nastavit přesměrování portů. Nebo je potřeba mít na kabelu do Sophosu 2 VLANy (INET a VPN) a ta VPN část Sophosu musí vidět do té vnitřní sítě.
Vzhledem k popisu problému, přístupu adminů a existenci Sophosu bych doporučil jít variantou 1.

-----Original Message-----
From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Milan Kratochvíl
Sent: Tuesday, November 9, 2021 5:51 PM
To: hw-list na list.hw.cz
Subject: Re: OT: Mikrotik za Sophosem a VPN

Kreslení mi moc nejde a tak to zkusím lépe popsat.

Stroj s Mikrotikem ------------ Firemní síť -------------- Sophos
---------------------- Internet
10.123.1.15                         10.123.1.xxx              dál už adresy neznám

Mikrotik je klient ve firemní síti a uvnitř stroje pracuje jako router a DHCP server pro vnitřek stroje kde je PLC, kamera, Festobloky a další. 
Je to něco jako když má člověk router doma.

Adresy ve stroji mi dovolili v rozsahu 10.1.1.1 - 10.1.1.254 s maskou
255.255.255.0

Mikrotik má na WAN port připojen firemní síť kde dostal adresu 10.123.1.15. Tato adresa i tento kabel je v takzvané VLAN pro stroje. 
(Doufám, že je to správně použitý výraz.)

VPN server dělá Sophos. Požadavek byl, aby když se někdo připojí přes VPN tak bude jako kdyby si připojil počítač do Mikrotiku na nějaký LAN port uvnitř stroje.

Momentální stav je, že když se někdo připojí přes VPN tak je na adrese
10.123.1.15 a vidí Mikrotik zvenku (WAN port).

Ještě mne napadlo zda to Mikrotik v licencí L4 zvládne, nebo zda budeme muset mít něco lepšího.

Děkuji

Milan



Dne 09. 11. 21 v 17:16 Petr Zapadlo napsal(a):
> Zkuste prosím namalovat nějakou skicu a do ní připsat adresy jak jsou 
> přidělené. (pokud to nechcete do konfery, tak třeba přímo mě soukromě)
>
> Podle tohoto popisu se nedá moc vymyslet.
>
> Nerozumím výrazu "VPN končí na WAN portu Mikrotiku". Jak je to 
> myšleno? VPN server dělá ten Sophos a nebo až ten mikrotik uvnitř?
>
> Mikrotik je směrem k Sophosu připojen přes WAN port a dělá router do 
> VLNAy pro stroje?
>
> Pokud je VPN zakončena na Sophosu - nechybí na něm routa do VLAN pro 
> stroje vedoucí přes Mikrotik?
>
> Petr
>
> Dne 09. 11. 21 v 17:08 Milan Kratochvíl napsal(a):
>> Hezký den všem
>>
>> Měl bych prosbu, chci se zeptat zda se někdo setkal s následujícím 
>> problémem, případně jak jej řešil.
>>
>> Máme ve firmě stroj ve kterém je router od Mikrotiku RB750r2. Stroj 
>> je připojen k VLANě určené pro stroje. Na internetovém vstupu do 
>> firmy je systém Sophos, který zprostředkovává VPN do tohoto stroje 
>> pro dálkovou správu od dodavatele.
>>
>> Problém mám s tím, že VPN končí na WAN portu Mikrotiku a nedaří se mi 
>> (ani našim ajťákům) nastavit aby VPN končila až uvnitř Mikrotiku.
>> Bohužel také nejsem správcem Sophosu a ani jej neznám. Ten kdo to 
>> spravuje mi tvrdí, že má nějaký problém s generovanými certifikáty, 
>> ale víc tomu nerozumím.
>>
>> Vím že je to šílený dotaz na něco co neznám, ale kdyby někdo náhodou 
>> věděl tak prosím o nakopnutí.
>>
>> Děkuji
>>
>> Milan Kratochvíl
>>
>>
>>
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz 
>> http://list.hw.cz/mailman/listinfo/hw-list
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz 
> http://list.hw.cz/mailman/listinfo/hw-list
_______________________________________________
HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list