Kotiverkon rakentelua....VPN Brume yhdyskäytävä

[JouniJok]

Tarkoituksena olisi nakerrella VPN palvelin kotiverkkoon Brume 2 VPN yhdyskäytävällä.

Tällä hetkellä kuitupäätteen takana on MikroTik:n reititin ja Brume tämän takana.

Ongelmana on se että nyt käytössä on 3 dhcp palvelinta (ja kolme verkkoa): kuitupäätteessä yksi (192.168.1.0/24), MikroTikissä toinen (192.168.88.0/24) ja viimeinen Brumessa. Eli en voi nyt tehdä porttiohjausta kuitupäätteestä VPN:ä varten Brumen koska Mikrotikin aliverkko on välissä.

Internet <--> Genexis kuitupääte (LAN:192.168.1.1) <--> (WAN: 192.168.1.202) MikroTik reititin (LAN: 192.168.88.1) <--> (WAN: 192.168.88.251) Brume 2 VPN yhdyskäytävä (LAN: 192.168.88.251 ) <--> Workstation

Eli mitä luulette, olisiko järkevintä vain yksinkertaisesti poistaa koko MikroTikin reititin ja kytkeä Brume suoraan kuitupäätteen LAN porttiin? Tai esim. muuttaa MikroTik:n siltaavaksi.

Alunperin ostin MikroTik:n reitittimen sen takia että en ollut varma riittääkö kuitupäätteen ominaisuudet kotiverkon suoaamiseen. Sehän ei varsinaisesti ole reititin vaan ns. kuitumodeemi. Eli onkohan ok kytkeä härpäkkeet suoraan kuitupäätteeseen?

 

[JouniJok]

Tarkoituksena olisi nakerrella VPN palvelin kotiverkkoon Brume 2 VPN yhdyskäytävällä.

Tällä hetkellä kuitupäätteen takana on MikroTik:n reititin ja Brume tämän takana.

Ongelmana on se että nyt käytössä on 3 dhcp palvelinta (ja kolme verkkoa): kuitupäätteessä yksi (192.168.1.0/24), MikroTikissä toinen (192.168.88.0/24) ja viimeinen Brumessa. Eli en voi nyt tehdä porttiohjausta kuitupäätteestä VPN:ä varten Brumen koska Mikrotikin aliverkko on välissä.

Internet <--> Genexis kuitupääte (LAN:192.168.1.1) <--> (WAN: 192.168.1.202) MikroTik reititin (LAN: 192.168.88.1) <--> (WAN: 192.168.88.251) Brume 2 VPN yhdyskäytävä (LAN: 192.168.88.251 ) <--> Workstation

Eli mitä luulette, olisiko järkevintä vain yksinkertaisesti poistaa koko MikroTikin reititin ja kytkeä Brume suoraan kuitupäätteen LAN porttiin? Tai esim. muuttaa MikroTik:n siltaavaksi.

Alunperin ostin MikroTik:n reitittimen sen takia että en ollut varma riittääkö kuitupäätteen ominaisuudet kotiverkon suoaamiseen. Sehän ei varsinaisesti ole reititin vaan ns. kuitumodeemi. Eli onkohan ok kytkeä härpäkkeet suoraan kuitupäätteeseen?

Vaan käyttöohjeistahan tuo selvisikin että kuitupäätteen lani portit ovat suoraan auki nettiin. Eli reititin/palomuuri tarvitaan eikä siltaaminen taida olla vaihtoehto. Pitäisiköhän kokeilla siirtää VPN yhdyskäytävä suoraan kuitupäätteen perään ja siitä reitittimelle?

 

[jessenic]

Eikö MikroTikkiin saa Wireguard palvelinta, ei tarvitsisi erillistä VPN purkkia? Tai sitten otat mikrotikin pous ja käytät VPN-purkkia reitittimenä. Tai jos VPN-purkin saa siltaavana toimimaan niin Mikrotikin perään.

 

[HTK12]

Itse laittaisin Wireguardin siihen mikrotikkiin ja en käyttäisi ollenkaan tuota Brumea. Jos kuitupääte on DHCP palvelin, niin silloin siinä on myös NAT (koska jakaa privaatti IP:tä) Vähän epäilen, ettei ne portit ole suoraan auki nettiin (jos se kuitupääte on oikeasti DHCP palvelin). Eli se kuitupääte pitäisi saada siltaavaksi ja sitten sen jälkeen sitten omat laitteet hoitamaan sisäverkon. Toisessa viestissä sanoit lan porttien olevan suoraan auki nettiin, joten onko se kuitimuunnin kuitenkin pelkkä siltaava purkki?Jos laitat sen kuitupäätteen tarkan mallin, niin helpompi sitten kaikkien neuvoa kun tietää minkälainen laite siellä nyt on.

Ei ole oikein järkeä laittaa useaa nattia peräkkäin. Eli pitäisi päättää haluatko nyt sen Mikrotik vai Brume olevan se kotiverkon reititin joka hoitaa natin. Onko tarkoitus tehdä kaksi erillistä kotiverkkoa (LAN) vai yksi kotirvekko?

 

[JouniJok]

Kuitupääte on mallia GENEXIS FIBERTWIST P3420B.
Ohjeita olen tavannut Lounean ohjeesta vaikka itselläni on BLC liittymä. BLC:ä en ole löytänyt vastaavaa ohjetta. Täällä oli siis maininta porttien avoimuudesta.
Brumessa VPN palvelimen pystyttäminen on vain niin paljon helpompaa kuin MikroTikissä kun on sitä varten erityisesti tehty laite.
Yksi sisäverkko riittää mainiosti.

 

[HTK12]

No tässä nyt on toisensa pois sulkevavat vaihtoehdot A) se kuitupääte on siltaavana ja tuo ensimmäisen viestin kuva ei edusta nykyistä tilannetta B) ensimmäinen kuva edustaa nykyistä tilannetta ja kuitupääte ei ole siltaavana (NAT on päällä kuitupäätteessä). C) liittymässä ei ole ollenkaan julkista IP:tä (pidän epätodennäisenä tätä) ja ensimmäinen kuva ei silloinkaan pidä paikkaansa. Eri operaattorin ohjeita on turha tavata, kun ne voi olla tai olla olematta oikeassa. Elmonet ohjeissa sanotaan GENEXIS FIBERTWIST P3420 kuitupäätteelle, että käyttäjä voi tehdä porttiohjauksia ym -> NAT käytössä. Tiedä sitten mitä eroa noilla kahdella eri versiolla on.

Tämä nyt on nopea & helppo selvittää onko tilanne A/B/C. Onko tuo kuitumuunnin DHCP palvelin kuten kuvaan on merkitty ja sillä on julkinen IP? Jos kyllä tilanne on B. Siinä tässä tapauksessa sun pitäisi muuttaa sen kuitupäätteen asetuksia, että saat porttiohjauksen tai mahdollisesti sillata se kuitupääte, jos se on mahdollista. Toki voi hyvin olla ettei kuluttaja pääse kuitupäätteen asetuksia muuttamaan ja se on täysin operaattorin hallinnassa. Mikäli et pääse kuitumuuntimen asetuksiin käsiksi, niin sitten ole BLC yhteydessä ja kysy voivatko sillata sen kuitumuuntimen tai saako liittymään IPv6 käyttöön.

Jos pää prioriteetti nyt on saada helposti se VPN brumella, niin heität Mikrotikin sitten olan yli ja käytät pelkästään tuota Brumea. Brumessa lienee palomuuri? En ole itse tarkemmin laitteeseen tutustunut. Kuvan mukainen ratkaisu, jossa on kolme NAT peräkkäin ei ole järkevä ratkaisu.

Itsellä on Lounean kuitu, eri kuitumuunnin tosin. Oma reititin kuitumuuntimen jälkeen saa julkisen IP:n (ei 192.168.0.0 - 192.168.255.255). 192.168.0.0 - 192.168.255.255 IP:t on privaatti IP:tä, joten silloin ollaan aina NAT takana.

 

[Hyrava]

192 alkuiset IP:t on privaatti IP:tä, joten silloin ollaan aina NAT takana.

Jos tarkkoja ollaan niin 192-alkuisista vain 192.168.0.0 - 192.168.255.255 -välinen alue on privaattiosoitteita, muut 192-alkuiset ovat julkisia.

 

[snw]

Genexiksen päätelaitteet tulevat operaattorin tilaamilla konffeilla, joten Lounean ohjeeseen ei voi luottaa tuossa tapauksessa. Lounean päätelaitteet taitaa tulla nykyään kaikki siltana.

 

[HTK12]

Jos tarkkoja ollaan niin 192-alkuisista vain 192.168.0.0 - 192.168.255.255 -välinen alue on privaattiosoitteita, muut 192-alkuiset ovat julkisia.

Näin toki, mutta aika harvoin taitaa se suomalainen kuluttaja saada 192 alkuista julkista IP:tä. Ajattelin tuota kirjoittaessa nyt tämän esimerkin kuvan osoitteita. Päivitinnyt tuota aiempaa, niin ei tule epäselvyyksiä siitä.

 

[JouniJok]

Näyttäisi siltä että kuitupääte on nattaava ja että omatoimisesti sitä ei saa sillattua. Porttiohjaus onnistuu. Julkinen IP sillä näkyy olevan.

Yksi vaihtoehto saattaisi tosiaan olla että nakkaa MikroTikin mäkeen ja pistää Brume:n suoraan kuitupäätteen perään. Brumessa on kuitenkin palomuuri. Tarvitsee vain vielä kytkimen vielä perään sillä Brumessa on pelkästään 1x WAN ja 1x LAN portteja.

Brume:n opas
GL-MT2500/GL-MT2500A (Brume 2) - GL.iNet Router Docs 4