OT: Mikrotik za Sophosem a VPN

Tomáš Koželuh mr.death na ipq.cz
Úterý Listopad 9 23:11:56 CET 2021


Což ale současně znamená zasáhnout do Sophosu a všichni, kdo se mají připojovat do té jeho VPN musí mít vždy stejnou statickou IP, aby se to pak dalo takto povolit. Pokud se jedná o jednoho člověka, tak by to samozřejmě šlo, pokud to Sophos dovolí.
Osobně bych doporučil, pokud to bude možné, přesměrovat jeden port na Sophosu a na Mikrotiku udělat VPN, je jich tam hned několik a třeba OpenVPN půjde nastavit na jakýkoliv port.

> -----Original Message-----
> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr Zapadlo
> Sent: Tuesday, November 09, 2021 9:14 PM
> To: hw-list na list.hw.cz
> Subject: Re: OT: Mikrotik za Sophosem a VPN
> 
> To je otázka nastavení firewallu v tom Mikrotiku aby omezil přístup.
> 
> Petr
> 
> Dne 09. 11. 21 v 20:53 Tomáš Koželuh napsal(a):
> > Já jsem to pochopil tak, že ten Mikrotik má oddělit ty sítě, takže je tam i
> NAT. Pokud nemá natovat, ale pouze routovat, tak potom skutečně stačí
> nastavit routu na Sophosu. Pak ale síť za MKT bude dostupná všem za
> Sophosem, to nevím, jestli je záměr.
> >
> >> -----Original Message-----
> >> From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Petr
> Zapadlo
> >> Sent: Tuesday, November 09, 2021 6:32 PM
> >> To: hw-list na list.hw.cz
> >> Subject: Re: OT: Mikrotik za Sophosem a VPN
> >>
> >> Takže pokud vyjdeme z premisy, že Mikrotik je nastaven správně (vypnut
> >> NAT, správně konfigurovaný FW atd), tak velmi pravděpodobně je buď
> blbé
> >> pravidlo na Sophosu a nebo Sophos nemá routu do té sítě (protože ji
> nemá
> >> přímo na portu, musí mít explicitně přidanou routu do routovací tabulky)
> >>
> >> chtělo by to výpisy ze Sophosu
> >>
> >> Petr
> >>
> >> Dne 09. 11. 21 v 18:19 Tomáš Koželuh napsal(a):
> >>> Dle popisu funguje ping na 10.123.1.15 a samozřejmě se pak nedá dostat
> do
> >> 10.1.1.1/24.
> >>> -----Original Message-----
> >>> From: Hw-list <hw-list-bounces na list.hw.cz> On Behalf Of Petr Zapadlo
> >>> Sent: Tuesday, November 9, 2021 6:17 PM
> >>> To: hw-list na list.hw.cz
> >>> Subject: Re: OT: Mikrotik za Sophosem a VPN
> >>>
> >>> Super, takto je to pochopitelné.
> >>>
> >>> A teď ještě chování.
> >>>
> >>> Jsem v internetu a připojím se na VPN. Co mi funguje?
> >>>
> >>> - Ping na  adresu Mikrotiku?
> >>>
> >>> - Ping na adresu PLC?
> >>>
> >>> Petr
> >>>
> >>>
> >>> Dne 09. 11. 21 v 17:50 Milan Kratochvíl napsal(a):
> >>>> Kreslení mi moc nejde a tak to zkusím lépe popsat.
> >>>>
> >>>> Stroj s Mikrotikem ------------ Firemní síť -------------- Sophos
> >>>> ---------------------- Internet
> >>>> 10.123.1.15                         10.123.1.xxx              dál už
> >>>> adresy neznám
> >>>>
> >>>> Mikrotik je klient ve firemní síti a uvnitř stroje pracuje jako router
> >>>> a DHCP server pro vnitřek stroje kde je PLC, kamera, Festobloky a
> >>>> další. Je to něco jako když má člověk router doma.
> >>>>
> >>>> Adresy ve stroji mi dovolili v rozsahu 10.1.1.1 - 10.1.1.254 s maskou
> >>>> 255.255.255.0
> >>>>
> >>>> Mikrotik má na WAN port připojen firemní síť kde dostal adresu
> >>>> 10.123.1.15. Tato adresa i tento kabel je v takzvané VLAN pro stroje.
> >>>> (Doufám, že je to správně použitý výraz.)
> >>>>
> >>>> VPN server dělá Sophos. Požadavek byl, aby když se někdo připojí přes
> >>>> VPN tak bude jako kdyby si připojil počítač do Mikrotiku na nějaký LAN
> >>>> port uvnitř stroje.
> >>>>
> >>>> Momentální stav je, že když se někdo připojí přes VPN tak je na adrese
> >>>> 10.123.1.15 a vidí Mikrotik zvenku (WAN port).
> >>>>
> >>>> Ještě mne napadlo zda to Mikrotik v licencí L4 zvládne, nebo zda
> >>>> budeme muset mít něco lepšího.
> >>>>
> >>>> Děkuji
> >>>>
> >>>> Milan
> >>>>
> >>>>
> >>>>
> >>>> Dne 09. 11. 21 v 17:16 Petr Zapadlo napsal(a):
> >>>>> Zkuste prosím namalovat nějakou skicu a do ní připsat adresy jak jsou
> >>>>> přidělené. (pokud to nechcete do konfery, tak třeba přímo mě
> >>>>> soukromě)
> >>>>>
> >>>>> Podle tohoto popisu se nedá moc vymyslet.
> >>>>>
> >>>>> Nerozumím výrazu "VPN končí na WAN portu Mikrotiku". Jak je to
> >>>>> myšleno? VPN server dělá ten Sophos a nebo až ten mikrotik uvnitř?
> >>>>>
> >>>>> Mikrotik je směrem k Sophosu připojen přes WAN port a dělá router
> do
> >>>>> VLNAy pro stroje?
> >>>>>
> >>>>> Pokud je VPN zakončena na Sophosu - nechybí na něm routa do VLAN
> >> pro
> >>>>> stroje vedoucí přes Mikrotik?
> >>>>>
> >>>>> Petr
> >>>>>
> >>>>> Dne 09. 11. 21 v 17:08 Milan Kratochvíl napsal(a):
> >>>>>> Hezký den všem
> >>>>>>
> >>>>>> Měl bych prosbu, chci se zeptat zda se někdo setkal s následujícím
> >>>>>> problémem, případně jak jej řešil.
> >>>>>>
> >>>>>> Máme ve firmě stroj ve kterém je router od Mikrotiku RB750r2. Stroj
> >>>>>> je připojen k VLANě určené pro stroje. Na internetovém vstupu do
> >>>>>> firmy je systém Sophos, který zprostředkovává VPN do tohoto stroje
> >>>>>> pro dálkovou správu od dodavatele.
> >>>>>>
> >>>>>> Problém mám s tím, že VPN končí na WAN portu Mikrotiku a nedaří
> se
> >>>>>> mi (ani našim ajťákům) nastavit aby VPN končila až uvnitř Mikrotiku.
> >>>>>> Bohužel také nejsem správcem Sophosu a ani jej neznám. Ten kdo
> to
> >>>>>> spravuje mi tvrdí, že má nějaký problém s generovanými certifikáty,
> >>>>>> ale víc tomu nerozumím.
> >>>>>>
> >>>>>> Vím že je to šílený dotaz na něco co neznám, ale kdyby někdo
> náhodou
> >>>>>> věděl tak prosím o nakopnutí.
> >>>>>>
> >>>>>> Děkuji
> >>>>>>
> >>>>>> Milan Kratochvíl
> >>>>>>
> >>>>>>
> >>>>>>
> >>>>>> _______________________________________________
> >>>>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
> >>>>>> http://list.hw.cz/mailman/listinfo/hw-list
> >>>>> _______________________________________________
> >>>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
> >>>>> http://list.hw.cz/mailman/listinfo/hw-list
> >>>> _______________________________________________
> >>>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
> >>>> http://list.hw.cz/mailman/listinfo/hw-list
> >>> _______________________________________________
> >>> HW-list mailing list  -  sponsored by www.HW.cz Hw-list na list.hw.cz
> >> http://list.hw.cz/mailman/listinfo/hw-list
> >>> _______________________________________________
> >>> HW-list mailing list  -  sponsored by www.HW.cz
> >>> Hw-list na list.hw.cz
> >>> http://list.hw.cz/mailman/listinfo/hw-list
> >> _______________________________________________
> >> HW-list mailing list  -  sponsored by www.HW.cz
> >> Hw-list na list.hw.cz
> >> http://list.hw.cz/mailman/listinfo/hw-list
> > _______________________________________________
> > HW-list mailing list  -  sponsored by www.HW.cz
> > Hw-list na list.hw.cz
> > http://list.hw.cz/mailman/listinfo/hw-list
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list



Další informace o konferenci Hw-list