OT: Mikrotik za Sophosem a VPN

Petr Zapadlo zapik na email.cz
Úterý Listopad 9 18:31:36 CET 2021 

Takže pokud vyjdeme z premisy, že Mikrotik je nastaven správně (vypnut 
NAT, správně konfigurovaný FW atd), tak velmi pravděpodobně je buď blbé 
pravidlo na Sophosu a nebo Sophos nemá routu do té sítě (protože ji nemá 
přímo na portu, musí mít explicitně přidanou routu do routovací tabulky)

chtělo by to výpisy ze Sophosu

Petr

Dne 09. 11. 21 v 18:19 Tomáš Koželuh napsal(a):
> Dle popisu funguje ping na 10.123.1.15 a samozřejmě se pak nedá dostat do 10.1.1.1/24.
>
> -----Original Message-----
> From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Petr Zapadlo
> Sent: Tuesday, November 9, 2021 6:17 PM
> To: hw-list na list.hw.cz
> Subject: Re: OT: Mikrotik za Sophosem a VPN
>
> Super, takto je to pochopitelné.
>
> A teď ještě chování.
>
> Jsem v internetu a připojím se na VPN. Co mi funguje?
>
> - Ping na  adresu Mikrotiku?
>
> - Ping na adresu PLC?
>
> Petr
>
>
> Dne 09. 11. 21 v 17:50 Milan Kratochvíl napsal(a):
>> Kreslení mi moc nejde a tak to zkusím lépe popsat.
>>
>> Stroj s Mikrotikem ------------ Firemní síť -------------- Sophos
>> ---------------------- Internet
>> 10.123.1.15                         10.123.1.xxx              dál už
>> adresy neznám
>>
>> Mikrotik je klient ve firemní síti a uvnitř stroje pracuje jako router
>> a DHCP server pro vnitřek stroje kde je PLC, kamera, Festobloky a
>> další. Je to něco jako když má člověk router doma.
>>
>> Adresy ve stroji mi dovolili v rozsahu 10.1.1.1 - 10.1.1.254 s maskou
>> 255.255.255.0
>>
>> Mikrotik má na WAN port připojen firemní síť kde dostal adresu
>> 10.123.1.15. Tato adresa i tento kabel je v takzvané VLAN pro stroje.
>> (Doufám, že je to správně použitý výraz.)
>>
>> VPN server dělá Sophos. Požadavek byl, aby když se někdo připojí přes
>> VPN tak bude jako kdyby si připojil počítač do Mikrotiku na nějaký LAN
>> port uvnitř stroje.
>>
>> Momentální stav je, že když se někdo připojí přes VPN tak je na adrese
>> 10.123.1.15 a vidí Mikrotik zvenku (WAN port).
>>
>> Ještě mne napadlo zda to Mikrotik v licencí L4 zvládne, nebo zda
>> budeme muset mít něco lepšího.
>>
>> Děkuji
>>
>> Milan
>>
>>
>>
>> Dne 09. 11. 21 v 17:16 Petr Zapadlo napsal(a):
>>> Zkuste prosím namalovat nějakou skicu a do ní připsat adresy jak jsou
>>> přidělené. (pokud to nechcete do konfery, tak třeba přímo mě
>>> soukromě)
>>>
>>> Podle tohoto popisu se nedá moc vymyslet.
>>>
>>> Nerozumím výrazu "VPN končí na WAN portu Mikrotiku". Jak je to
>>> myšleno? VPN server dělá ten Sophos a nebo až ten mikrotik uvnitř?
>>>
>>> Mikrotik je směrem k Sophosu připojen přes WAN port a dělá router do
>>> VLNAy pro stroje?
>>>
>>> Pokud je VPN zakončena na Sophosu - nechybí na něm routa do VLAN pro
>>> stroje vedoucí přes Mikrotik?
>>>
>>> Petr
>>>
>>> Dne 09. 11. 21 v 17:08 Milan Kratochvíl napsal(a):
>>>> Hezký den všem
>>>>
>>>> Měl bych prosbu, chci se zeptat zda se někdo setkal s následujícím
>>>> problémem, případně jak jej řešil.
>>>>
>>>> Máme ve firmě stroj ve kterém je router od Mikrotiku RB750r2. Stroj
>>>> je připojen k VLANě určené pro stroje. Na internetovém vstupu do
>>>> firmy je systém Sophos, který zprostředkovává VPN do tohoto stroje
>>>> pro dálkovou správu od dodavatele.
>>>>
>>>> Problém mám s tím, že VPN končí na WAN portu Mikrotiku a nedaří se
>>>> mi (ani našim ajťákům) nastavit aby VPN končila až uvnitř Mikrotiku.
>>>> Bohužel také nejsem správcem Sophosu a ani jej neznám. Ten kdo to
>>>> spravuje mi tvrdí, že má nějaký problém s generovanými certifikáty,
>>>> ale víc tomu nerozumím.
>>>>
>>>> Vím že je to šílený dotaz na něco co neznám, ale kdyby někdo náhodou
>>>> věděl tak prosím o nakopnutí.
>>>>
>>>> Děkuji
>>>>
>>>> Milan Kratochvíl
>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>>>> http://list.hw.cz/mailman/listinfo/hw-list
>>> _______________________________________________
>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz http://list.hw.cz/mailman/listinfo/hw-list
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list