OT: Mikrotik za Sophosem a VPN

Milan Kratochvíl krata.milan na seznam.cz
Úterý Listopad 9 21:07:22 CET 2021


Aha, to máte pravdu, že záměr je takový, že co je za Mikrotikem má být 
přístupné jen z VPN. Z firemní sítě bych chtěl povolit jenom vzdálenou 
plochu na vnitřní PC co sbírá data, ale jinak nic.

Milan


Dne 09. 11. 21 v 20:53 Tomáš Koželuh napsal(a):
> Já jsem to pochopil tak, že ten Mikrotik má oddělit ty sítě, takže je tam i NAT. Pokud nemá natovat, ale pouze routovat, tak potom skutečně stačí nastavit routu na Sophosu. Pak ale síť za MKT bude dostupná všem za Sophosem, to nevím, jestli je záměr.
>
>> -----Original Message-----
>> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Zapadlo
>> Sent: Tuesday, November 09, 2021 6:32 PM
>> To: hw-list na list.hw.cz
>> Subject: Re: OT: Mikrotik za Sophosem a VPN
>>
>> Takže pokud vyjdeme z premisy, že Mikrotik je nastaven správně (vypnut
>> NAT, správně konfigurovaný FW atd), tak velmi pravděpodobně je buď blbé
>> pravidlo na Sophosu a nebo Sophos nemá routu do té sítě (protože ji nemá
>> přímo na portu, musí mít explicitně přidanou routu do routovací tabulky)
>>
>> chtělo by to výpisy ze Sophosu
>>
>> Petr
>>
>> Dne 09. 11. 21 v 18:19 Tomáš Koželuh napsal(a):
>>> Dle popisu funguje ping na 10.123.1.15 a samozřejmě se pak nedá dostat do
>> 10.1.1.1/24.
>>> -----Original Message-----
>>> From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Petr Zapadlo
>>> Sent: Tuesday, November 9, 2021 6:17 PM
>>> To: hw-list na list.hw.cz
>>> Subject: Re: OT: Mikrotik za Sophosem a VPN
>>>
>>> Super, takto je to pochopitelné.
>>>
>>> A teď ještě chování.
>>>
>>> Jsem v internetu a připojím se na VPN. Co mi funguje?
>>>
>>> - Ping na  adresu Mikrotiku?
>>>
>>> - Ping na adresu PLC?
>>>
>>> Petr
>>>
>>>
>>> Dne 09. 11. 21 v 17:50 Milan Kratochvíl napsal(a):
>>>> Kreslení mi moc nejde a tak to zkusím lépe popsat.
>>>>
>>>> Stroj s Mikrotikem ------------ Firemní síť -------------- Sophos
>>>> ---------------------- Internet
>>>> 10.123.1.15                         10.123.1.xxx              dál už
>>>> adresy neznám
>>>>
>>>> Mikrotik je klient ve firemní síti a uvnitř stroje pracuje jako router
>>>> a DHCP server pro vnitřek stroje kde je PLC, kamera, Festobloky a
>>>> další. Je to něco jako když má člověk router doma.
>>>>
>>>> Adresy ve stroji mi dovolili v rozsahu 10.1.1.1 - 10.1.1.254 s maskou
>>>> 255.255.255.0
>>>>
>>>> Mikrotik má na WAN port připojen firemní síť kde dostal adresu
>>>> 10.123.1.15. Tato adresa i tento kabel je v takzvané VLAN pro stroje.
>>>> (Doufám, že je to správně použitý výraz.)
>>>>
>>>> VPN server dělá Sophos. Požadavek byl, aby když se někdo připojí přes
>>>> VPN tak bude jako kdyby si připojil počítač do Mikrotiku na nějaký LAN
>>>> port uvnitř stroje.
>>>>
>>>> Momentální stav je, že když se někdo připojí přes VPN tak je na adrese
>>>> 10.123.1.15 a vidí Mikrotik zvenku (WAN port).
>>>>
>>>> Ještě mne napadlo zda to Mikrotik v licencí L4 zvládne, nebo zda
>>>> budeme muset mít něco lepšího.
>>>>
>>>> Děkuji
>>>>
>>>> Milan
>>>>
>>>>
>>>>
>>>> Dne 09. 11. 21 v 17:16 Petr Zapadlo napsal(a):
>>>>> Zkuste prosím namalovat nějakou skicu a do ní připsat adresy jak jsou
>>>>> přidělené. (pokud to nechcete do konfery, tak třeba přímo mě
>>>>> soukromě)
>>>>>
>>>>> Podle tohoto popisu se nedá moc vymyslet.
>>>>>
>>>>> Nerozumím výrazu "VPN končí na WAN portu Mikrotiku". Jak je to
>>>>> myšleno? VPN server dělá ten Sophos a nebo až ten mikrotik uvnitř?
>>>>>
>>>>> Mikrotik je směrem k Sophosu připojen přes WAN port a dělá router do
>>>>> VLNAy pro stroje?
>>>>>
>>>>> Pokud je VPN zakončena na Sophosu - nechybí na něm routa do VLAN
>> pro
>>>>> stroje vedoucí přes Mikrotik?
>>>>>
>>>>> Petr
>>>>>
>>>>> Dne 09. 11. 21 v 17:08 Milan Kratochvíl napsal(a):
>>>>>> Hezký den všem
>>>>>>
>>>>>> Měl bych prosbu, chci se zeptat zda se někdo setkal s následujícím
>>>>>> problémem, případně jak jej řešil.
>>>>>>
>>>>>> Máme ve firmě stroj ve kterém je router od Mikrotiku RB750r2. Stroj
>>>>>> je připojen k VLANě určené pro stroje. Na internetovém vstupu do
>>>>>> firmy je systém Sophos, který zprostředkovává VPN do tohoto stroje
>>>>>> pro dálkovou správu od dodavatele.
>>>>>>
>>>>>> Problém mám s tím, že VPN končí na WAN portu Mikrotiku a nedaří se
>>>>>> mi (ani našim ajťákům) nastavit aby VPN končila až uvnitř Mikrotiku.
>>>>>> Bohužel také nejsem správcem Sophosu a ani jej neznám. Ten kdo to
>>>>>> spravuje mi tvrdí, že má nějaký problém s generovanými certifikáty,
>>>>>> ale víc tomu nerozumím.
>>>>>>
>>>>>> Vím že je to šílený dotaz na něco co neznám, ale kdyby někdo náhodou
>>>>>> věděl tak prosím o nakopnutí.
>>>>>>
>>>>>> Děkuji
>>>>>>
>>>>>> Milan Kratochvíl
>>>>>>
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>>>>>> http://list.hw.cz/mailman/listinfo/hw-list
>>>>> _______________________________________________
>>>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>>>>> http://list.hw.cz/mailman/listinfo/hw-list
>>>> _______________________________________________
>>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>>>> http://list.hw.cz/mailman/listinfo/hw-list
>>> _______________________________________________
>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
>>> _______________________________________________
>>> HW-list mailing list  -  sponsored by www.HW.cz
>>> Hw-list na list.hw.cz
>>> http://list.hw.cz/mailman/listinfo/hw-list
>> _______________________________________________
>> HW-list mailing list  -  sponsored by www.HW.cz
>> Hw-list na list.hw.cz
>> http://list.hw.cz/mailman/listinfo/hw-list
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list


Další informace o konferenci Hw-list