OT: Mikrotik za Sophosem a VPN

Milan Kratochvíl krata.milan na seznam.cz
Úterý Listopad 9 19:29:31 CET 2021


Děkuji, zkusím co vytáhnu od ajťáků.

Milan

Dne 09. 11. 21 v 18:31 Petr Zapadlo napsal(a):
> Takže pokud vyjdeme z premisy, že Mikrotik je nastaven správně (vypnut 
> NAT, správně konfigurovaný FW atd), tak velmi pravděpodobně je buď 
> blbé pravidlo na Sophosu a nebo Sophos nemá routu do té sítě (protože 
> ji nemá přímo na portu, musí mít explicitně přidanou routu do 
> routovací tabulky)
>
> chtělo by to výpisy ze Sophosu
>
> Petr
>
> Dne 09. 11. 21 v 18:19 Tomáš Koželuh napsal(a):
>> Dle popisu funguje ping na 10.123.1.15 a samozřejmě se pak nedá 
>> dostat do 10.1.1.1/24.
>>
>> -----Original Message-----
>> From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Petr Zapadlo
>> Sent: Tuesday, November 9, 2021 6:17 PM
>> To: hw-list na list.hw.cz
>> Subject: Re: OT: Mikrotik za Sophosem a VPN
>>
>> Super, takto je to pochopitelné.
>>
>> A teď ještě chování.
>>
>> Jsem v internetu a připojím se na VPN. Co mi funguje?
>>
>> - Ping na  adresu Mikrotiku?
>>
>> - Ping na adresu PLC?
>>
>> Petr
>>
>>
>> Dne 09. 11. 21 v 17:50 Milan Kratochvíl napsal(a):
>>> Kreslení mi moc nejde a tak to zkusím lépe popsat.
>>>
>>> Stroj s Mikrotikem ------------ Firemní síť -------------- Sophos
>>> ---------------------- Internet
>>> 10.123.1.15                         10.123.1.xxx dál už
>>> adresy neznám
>>>
>>> Mikrotik je klient ve firemní síti a uvnitř stroje pracuje jako router
>>> a DHCP server pro vnitřek stroje kde je PLC, kamera, Festobloky a
>>> další. Je to něco jako když má člověk router doma.
>>>
>>> Adresy ve stroji mi dovolili v rozsahu 10.1.1.1 - 10.1.1.254 s maskou
>>> 255.255.255.0
>>>
>>> Mikrotik má na WAN port připojen firemní síť kde dostal adresu
>>> 10.123.1.15. Tato adresa i tento kabel je v takzvané VLAN pro stroje.
>>> (Doufám, že je to správně použitý výraz.)
>>>
>>> VPN server dělá Sophos. Požadavek byl, aby když se někdo připojí přes
>>> VPN tak bude jako kdyby si připojil počítač do Mikrotiku na nějaký LAN
>>> port uvnitř stroje.
>>>
>>> Momentální stav je, že když se někdo připojí přes VPN tak je na adrese
>>> 10.123.1.15 a vidí Mikrotik zvenku (WAN port).
>>>
>>> Ještě mne napadlo zda to Mikrotik v licencí L4 zvládne, nebo zda
>>> budeme muset mít něco lepšího.
>>>
>>> Děkuji
>>>
>>> Milan
>>>
>>>
>>>
>>> Dne 09. 11. 21 v 17:16 Petr Zapadlo napsal(a):
>>>> Zkuste prosím namalovat nějakou skicu a do ní připsat adresy jak jsou
>>>> přidělené. (pokud to nechcete do konfery, tak třeba přímo mě
>>>> soukromě)
>>>>
>>>> Podle tohoto popisu se nedá moc vymyslet.
>>>>
>>>> Nerozumím výrazu "VPN končí na WAN portu Mikrotiku". Jak je to
>>>> myšleno? VPN server dělá ten Sophos a nebo až ten mikrotik uvnitř?
>>>>
>>>> Mikrotik je směrem k Sophosu připojen přes WAN port a dělá router do
>>>> VLNAy pro stroje?
>>>>
>>>> Pokud je VPN zakončena na Sophosu - nechybí na něm routa do VLAN pro
>>>> stroje vedoucí přes Mikrotik?
>>>>
>>>> Petr
>>>>
>>>> Dne 09. 11. 21 v 17:08 Milan Kratochvíl napsal(a):
>>>>> Hezký den všem
>>>>>
>>>>> Měl bych prosbu, chci se zeptat zda se někdo setkal s následujícím
>>>>> problémem, případně jak jej řešil.
>>>>>
>>>>> Máme ve firmě stroj ve kterém je router od Mikrotiku RB750r2. Stroj
>>>>> je připojen k VLANě určené pro stroje. Na internetovém vstupu do
>>>>> firmy je systém Sophos, který zprostředkovává VPN do tohoto stroje
>>>>> pro dálkovou správu od dodavatele.
>>>>>
>>>>> Problém mám s tím, že VPN končí na WAN portu Mikrotiku a nedaří se
>>>>> mi (ani našim ajťákům) nastavit aby VPN končila až uvnitř Mikrotiku.
>>>>> Bohužel také nejsem správcem Sophosu a ani jej neznám. Ten kdo to
>>>>> spravuje mi tvrdí, že má nějaký problém s generovanými certifikáty,
>>>>> ale víc tomu nerozumím.
>>>>>
>>>>> Vím že je to šílený dotaz na něco co neznám, ale kdyby někdo náhodou
>>>>> věděl tak prosím o nakopnutí.
>>>>>
>>>>> Děkuji
>>>>>
>>>>> Milan Kratochvíl
>>>>>
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>>>>> http://list.hw.cz/mailman/listinfo/hw-list
>>>> _______________________________________________
>>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>>>> http://list.hw.cz/mailman/listinfo/hw-list
>>> _______________________________________________
>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz 
>> http://list.hw.cz/mailman/listinfo/hw-list
>>
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list


Další informace o konferenci Hw-list