OT: Mikrotik za Sophosem a VPN

Tomáš Koželuh mr.death na ipq.cz
Úterý Listopad 9 20:53:03 CET 2021 

Já jsem to pochopil tak, že ten Mikrotik má oddělit ty sítě, takže je tam i NAT. Pokud nemá natovat, ale pouze routovat, tak potom skutečně stačí nastavit routu na Sophosu. Pak ale síť za MKT bude dostupná všem za Sophosem, to nevím, jestli je záměr.

> -----Original Message-----
> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Zapadlo
> Sent: Tuesday, November 09, 2021 6:32 PM
> To: hw-list na list.hw.cz
> Subject: Re: OT: Mikrotik za Sophosem a VPN
> 
> Takže pokud vyjdeme z premisy, že Mikrotik je nastaven správně (vypnut
> NAT, správně konfigurovaný FW atd), tak velmi pravděpodobně je buď blbé
> pravidlo na Sophosu a nebo Sophos nemá routu do té sítě (protože ji nemá
> přímo na portu, musí mít explicitně přidanou routu do routovací tabulky)
> 
> chtělo by to výpisy ze Sophosu
> 
> Petr
> 
> Dne 09. 11. 21 v 18:19 Tomáš Koželuh napsal(a):
> > Dle popisu funguje ping na 10.123.1.15 a samozřejmě se pak nedá dostat do
> 10.1.1.1/24.
> >
> > -----Original Message-----
> > From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Petr Zapadlo
> > Sent: Tuesday, November 9, 2021 6:17 PM
> > To: hw-list na list.hw.cz
> > Subject: Re: OT: Mikrotik za Sophosem a VPN
> >
> > Super, takto je to pochopitelné.
> >
> > A teď ještě chování.
> >
> > Jsem v internetu a připojím se na VPN. Co mi funguje?
> >
> > - Ping na  adresu Mikrotiku?
> >
> > - Ping na adresu PLC?
> >
> > Petr
> >
> >
> > Dne 09. 11. 21 v 17:50 Milan Kratochvíl napsal(a):
> >> Kreslení mi moc nejde a tak to zkusím lépe popsat.
> >>
> >> Stroj s Mikrotikem ------------ Firemní síť -------------- Sophos
> >> ---------------------- Internet
> >> 10.123.1.15                         10.123.1.xxx              dál už
> >> adresy neznám
> >>
> >> Mikrotik je klient ve firemní síti a uvnitř stroje pracuje jako router
> >> a DHCP server pro vnitřek stroje kde je PLC, kamera, Festobloky a
> >> další. Je to něco jako když má člověk router doma.
> >>
> >> Adresy ve stroji mi dovolili v rozsahu 10.1.1.1 - 10.1.1.254 s maskou
> >> 255.255.255.0
> >>
> >> Mikrotik má na WAN port připojen firemní síť kde dostal adresu
> >> 10.123.1.15. Tato adresa i tento kabel je v takzvané VLAN pro stroje.
> >> (Doufám, že je to správně použitý výraz.)
> >>
> >> VPN server dělá Sophos. Požadavek byl, aby když se někdo připojí přes
> >> VPN tak bude jako kdyby si připojil počítač do Mikrotiku na nějaký LAN
> >> port uvnitř stroje.
> >>
> >> Momentální stav je, že když se někdo připojí přes VPN tak je na adrese
> >> 10.123.1.15 a vidí Mikrotik zvenku (WAN port).
> >>
> >> Ještě mne napadlo zda to Mikrotik v licencí L4 zvládne, nebo zda
> >> budeme muset mít něco lepšího.
> >>
> >> Děkuji
> >>
> >> Milan
> >>
> >>
> >>
> >> Dne 09. 11. 21 v 17:16 Petr Zapadlo napsal(a):
> >>> Zkuste prosím namalovat nějakou skicu a do ní připsat adresy jak jsou
> >>> přidělené. (pokud to nechcete do konfery, tak třeba přímo mě
> >>> soukromě)
> >>>
> >>> Podle tohoto popisu se nedá moc vymyslet.
> >>>
> >>> Nerozumím výrazu "VPN končí na WAN portu Mikrotiku". Jak je to
> >>> myšleno? VPN server dělá ten Sophos a nebo až ten mikrotik uvnitř?
> >>>
> >>> Mikrotik je směrem k Sophosu připojen přes WAN port a dělá router do
> >>> VLNAy pro stroje?
> >>>
> >>> Pokud je VPN zakončena na Sophosu - nechybí na něm routa do VLAN
> pro
> >>> stroje vedoucí přes Mikrotik?
> >>>
> >>> Petr
> >>>
> >>> Dne 09. 11. 21 v 17:08 Milan Kratochvíl napsal(a):
> >>>> Hezký den všem
> >>>>
> >>>> Měl bych prosbu, chci se zeptat zda se někdo setkal s následujícím
> >>>> problémem, případně jak jej řešil.
> >>>>
> >>>> Máme ve firmě stroj ve kterém je router od Mikrotiku RB750r2. Stroj
> >>>> je připojen k VLANě určené pro stroje. Na internetovém vstupu do
> >>>> firmy je systém Sophos, který zprostředkovává VPN do tohoto stroje
> >>>> pro dálkovou správu od dodavatele.
> >>>>
> >>>> Problém mám s tím, že VPN končí na WAN portu Mikrotiku a nedaří se
> >>>> mi (ani našim ajťákům) nastavit aby VPN končila až uvnitř Mikrotiku.
> >>>> Bohužel také nejsem správcem Sophosu a ani jej neznám. Ten kdo to
> >>>> spravuje mi tvrdí, že má nějaký problém s generovanými certifikáty,
> >>>> ale víc tomu nerozumím.
> >>>>
> >>>> Vím že je to šílený dotaz na něco co neznám, ale kdyby někdo náhodou
> >>>> věděl tak prosím o nakopnutí.
> >>>>
> >>>> Děkuji
> >>>>
> >>>> Milan Kratochvíl
> >>>>
> >>>>
> >>>>
> >>>> _______________________________________________
> >>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
> >>>> http://list.hw.cz/mailman/listinfo/hw-list
> >>> _______________________________________________
> >>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
> >>> http://list.hw.cz/mailman/listinfo/hw-list
> >> _______________________________________________
> >> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
> >> http://list.hw.cz/mailman/listinfo/hw-list
> > _______________________________________________
> > HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
> >
> > _______________________________________________
> > HW-list mailing list  -  sponsored by www.HW.cz
> > Hw-list na list.hw.cz
> > http://list.hw.cz/mailman/listinfo/hw-list
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list