Opet VPN, moze li ovako nesto?

[audiofreak]

Dakle, imam u firmi Cisco 1841 ruter. Trenutno je namesten da moze da se ostvari VPN konekcija ka firmi preko Cisco klijenta. Kako je sada podesen, kada se nakacim od kuce dobijam IP adresu iz opsega 10.254.254.x, dok je u firmi mreza na 192.168.1.x.

Ono sto bih ja hteo je da dobijem 192.168.1.x, dakle da budem deo office mreze (naravno stavio bih isti workgroup). Da li je to nekako izvodljivo i ako jeste kako?

 

[Darko]

Pregledaj podesavanja u ruteru. Znam da je moguce jer se putem cisco VPNa povezujem na akademsku mrezu kad mi treba nesto iz lokala sa fakulteta. Samo fora je sto ja dobijam automatski odgovarajuci IP, "kao da sam tamo". Zasto ti dobijas u drugom opsegu, ne znam...

 

[audiofreak]

Pregledaj podesavanja u ruteru. Znam da je moguce jer se putem cisco VPNa povezujem na akademsku mrezu kad mi treba nesto iz lokala sa fakulteta. Samo fora je sto ja dobijam automatski odgovarajuci IP, "kao da sam tamo". Zasto ti dobijas u drugom opsegu, ne znam...

Zato sto je neko to tako podesio, a nisam ja

Da znam da podesim sam ne bih pitao.

 

[FantomX]

Pa normalno je da dobijas 10.x.x.x adresu, to je adresa iz privatnog opsega, VPN server je podesen da daje adrese iz tog opsega. Nema razlike da li ce biti 192. ili 10. adresa, bitno je da onaj koji to radi napravi neki bridge izmedju te dve mreze, tj. da poveze podesavanjima na ruteru ta dva opsega (rutira adresu koju ti dobijes na 192 segment). lm, ti ovde ne mozes puno toga uraditi, sem ako ti nisi osoba koja podesava opremu.

Cenim da bi trebala jednostavno da se konfigurise access lista da dopusta bilo koji mrezni segment, nesto tipa:

access-list 100 permit ip 10.254.254.0 0.0.0.255any (100 je bilo koji broj access liste, moze biti bilo koji)

gde su permit adrese one koje dodeljuje dobijate VPN-om.

Probajte, pa javi kako ide.

 

[audiofreak]

Problem je tu sto ljudi ne znaju koji cu ja IP da dobijem pa ne mogu meni da pristupe tj. mojim share-ovima osim ako im nekako ne "javim" koji IP sam dobio sto je bezveze.

Inace smo za dhcp napravili staticke alokacije za sve racunare na osnovu mac adresa pa sam mislio da bi mozda moglo i za ovo da se isto uradi i jos bolje ako se pojavim pritom u istom poolu 192.168.1.x ali ako ne moze onda ne moze jbg.

Drugi problem je sto kad pitam zasto nesto ne moze nikako ne uspevam da dobijem tehnicko objasnjenje.

 

[FantomX]

Pa ne bi trebalo da im javis svoju IP adresu, ako ste u istoj radnoj grupi dovoljno je da pristupe tebi sa \\imeracunara\share, tako funkcionise pristup racunarima u mrezi, dns razresava ime hosta ovako ili sa IP adresom. Druga stvar koja moze da pravi problem je sto VPN moze da pravi problem kada se radi workgroup-i, odredjeni VPN klijenti blokiraju share na racunarima odakle se koriste. Sto se tice dobijanja adrese iz opsega 192, VPN server bi trebao da dodeljuje adresu iz tog opsega sto ovde nije slucaj, ali u krajnjem slucaju to nije potrebno, mada moze da se namesti. Da ste podigli domen sve bi bilo mnogo lakse, postave se grupne politike, racunari se stave u odredjene grupe i tako se definisu prava sta ko moze a sta ne.
Sto se tice tvog racunara tvog share-e, najlakse i ujedno najelegantnije resenje je da napravish FTP na svom racunaru, ubacis u folder sta zelis da share-ujes i to je resenje problema brzinski. Nad folderom postavis dozvole za read i write, jer ce verovatno svi pristupati fajlovima radi download-a i kasnije upotrebe, niko nece nista menjati, i guess.
Ovo sasvim dobro radi na svakom windows-u, tako da neces imati problema, jednostavno otkucaju ftp:\\adresatvog racunara, i to je to. Konfigurisanje je prosto, mozes naci na netu gomilu uputstava, ako treba pomoc mogu i to da pojasnim.

Sto se tice drugog problema, tu nema pomoci, ipak je ovo IT (aj ti ), mada je izgleda u pitanju nestrucnost ljudi koji rade to, ove stvari nije tesko objasniti, a mozda neko i ne zeli.
Lagano, pa vidi sta je najbolje resenje, ako ti njima pristupas bez problema, resi problem FTP-om, ne treba ti staticka adresa, posto i dinamicke stoje po par dana dok se ne odradi lease, a i ako zelis staticku, nije velika kinta, 300-400 dinkica.

 

[audiofreak]

Nema veze, to sad radi ovako kako radi ali imam jedan ozbiljan problem:

Imam dve javne adrese na dva razlicita ISP-a. Primera radi nazovimo ih:

ISP A:
200.100.10.1

ISP B:
100.200.20.2

Imam web server koji ima lokalnu adresu:
15.0.0.4

Ja imam lokalnu adresu iz drugog opsega:
30.0.0.12

Web server je NAT-ovan na 200.100.10.1 (SSL port 443), a ja izlazim na internet preko 100.200.20.2.

E sad dolazimo do zanimljivog dela -- ja bih hteo da pristupim serveru preko interneta (jer iz lokala ne mogu zbog SSL sertifikata) i ljudi mi kazu da Cisco 1841 to ne moze da rutira zato sto radi ruting pre NAT-a.

Meni treba ovako nesto:
30.0.0.12 -> 100.200.20.2 -> 200.100.10.1 -> 15.0.0.4

Zna li neko da li je moguce nekako prevazici taj problem?

 

[FantomX]

Sad si zbunio sam sebe, ako ti je adresa 30.0.0.12, znaci da si nakacen VPN-om u lokal, sto znaci da koristis net preko 100.200.20.2 provajdera. Nemoguce je da izadjes na drugi ISP ako si vec nakacen na jedan. Na ruteru mora da moze da se odradi port forward, posto je web server u lokalu, njemu se pristupa ili https-om ili nekom adresom sa dodatkom porta na kraju, recimo javnadresa:port3333, ruter odmah radi port forward na web server. To sto radi i rutiranje i NAT nema veze nikakve, on moze da spoji 2 segmenta mreze, ali to nema nikakve veze sa forward-om porta na odredjeni komp. U svakoj mrezi su serveri na lokalnoj adresi, moze im se pristupiti ili VPN-om pa remote desktopom, a da bi bez VPN stigao do njega dovoljno je da se konfigurise ruter da na odredjenom portu preusmeri saobracaj na odredjeni, u ovom slucaju web server. NAT sluzi da bi tu jednu javnu adresu za net koju imate u firmi podeli sa ostalim racunarima da bi imali izlaz na net.

Sto se tice pristupa iz lokala, u tu svrhu iskoristi remote desktop i nakaci se na njega, sve sto je potrebno je da ubacis sebe u remote desktop user-e na serveru, mozes i kao nekog power user-a ili admina, ne zna kakva je politika i to je to. Dakle VPN+remote desktop ti iz lokala zavrsavaju posao.

 

[audiofreak]

Nisi me razumeo...

Imam dve javne IP adrese, na jednoj je server, preko druge izlazim na internet, u pitanju su dva razlicita provajdera.

Problem je u tome sto ne mogu iz firme da pristupim tom serveru preko interneta jer ruter nece da rutira preko interneta vec pravi "precicu" direktno da drugi interfejs.

Sustina je da moram da mu pristupim preernetanterneta zbog SSL-a i sertifikata.

 

[FantomX]

U tom slucaju mora direktno provajder da napravi access liste sa adresama na koje zelis da pristupis na svom ruteru. Ti pretpostavljam da imas bridge na jednom ruteru sa dva ISP-a, tu si poprilicno nemocan, bar tako mislim, tako da ces morati da se obratis nekom strucnom licu koji rade providing usluga za Vas. Morao bih malo da osvezim pamcenje literaturom, ali mislim da 99% ovog problema moze da resi provajder, nemoj me drzati na rec, ako imas visio nacrtaj neki dijagram da bi meni bilo malo jasnije kako funkcionise sve, jer rute sa jednog na drugi ISP mora provajder licno odraditi sa access listama.

 

[audiofreak]

Nemam visio ali evo malo konkretnije -- ima dva segmenta mreze:

Jedan je 172.16.0.x i rutira se na javni IP A.
Drugi je 192.168.1.x i rutira se na javni IP B.

Na 172.16.0.4 je server koji je NAT-ovan na IP A port 443.
Na 192.168.1.12 je moj racunar koji izlazi na net preko IP B.

172.16 i 192.168 segmenti nisu povezani u ruteru tj. ne vide jedni druge (2 vlana).

Dakle, ja hocu da sa svoje adrese 192.168.1.12 preko IP B da dodjem na IP A i kroz njega na server na 172.16.0.4. Moze li to ili ne?

 

[FantomX]

Jedini nacin na koji to mozes da uradis je da se VPN-om kacis sa tvog segmenta na IP A i onda koristis remote desktop za pristup serveru i da na tom serveru koristis FTP folder iz kojeg bi vukao fajlove i instalacije za koriscenje na istom. Postoji i lan switch-ing koji mozes da napravis izmedju ta dva segmenta, tj da ih povezes da budu kao jedan segment iako imaju razlicit pool adresa, ali je to sa opremom koji posedujete nemoguca misija. Dakle postoji jedan nacin na koji to mozes uraditi trenutno, napravi FTP folder na tom serveru, tu pakuj fajlove za kasnije koriscenje i nakon toga preko remote desktopa odradjuj potrebne intervencije.

 

[audiofreak]

Ne moze FTP, u pitanju je web aplikacija koja zahteva SSL pristup i mora se ici preko odredjenog domena na server jer inace ne vazi sertifikat i aplikacija ne radi.