[elektro] mobilnet router + VPN >> VPN nem routeren

[Jordan, Gabor]

Szóval lehet, hogy ha megfeszülök sem fog menni, mert a modem/router 
kombón nem jön át? :-(

És ha a mikrotiket DMZ-be tenném és onnan NATolnám tovább a belső hálót? 
(Vagy csak a szervert teszem DMZ-be.) Jól gondolom, hogy a home routeres 
DMZ esetén ugyan kap sajnos nat-olt belső címet a mikrotik, de elvileg 
minden kívülről jövő forgalmat felé továbbít vizsgálat nélkül a router. 
Ráadásul, ha jól tudom ezek a home routerek nem valós dmz-t nyújtanak, 
mert nem szeparálják el a dmz-be rakott gépet, csak ráeresztenek mindent 
ami egyébként nincs máshova irányítva.
Ha így van és ez tényleg nem valós DMZ, lehet, hogy csak a szervert is 
tehetném DMZ-be, mert nem szeparálja el a router a belső háló többi 
elemétől és elérem a szervert a belső hálón, de kívülről is.

?

Kösz,

JG

3/9/2015 8:47 PM keltezéssel, Horváth Péter írta:
> 2015.03.09. 16:34 keltezéssel, Jordan, Gabor írta:
>> Hello,
>>
>> Látom nagyon jól átlátod, én is segítséget szeretnék kérni.
>>
>> Mikrotik routeren állítottam be VPN-t, ami ment is frankón, csakhogy
>> vdsl-re váltottam és a T által hozott cuccot kell használjam. Lehetne a
>> T dobozát csak vdsl modem-mé butítani és a kiscsirke lenne a kliens, de
>> sajnos akkor TV nincs.
>> Nem rossz amit hoztak dobozt, gyors a router része, gyors és stabil a
>> wifi meg, dinamikus dns megy, de VPN nem van benne.
>>
>> Van egy open media vault, debian alapú szerverem, a router mögött,
>> nat-olt hálón, amire tettem openVPN-t, küzdöttem vele sokat de nem megy
>> kívülről PC-vel sem (android telefonnal kellene első sorban). Ilyenkor
>> hiányzik nagyon a kiscsirke, azon kiválóan láttam, hogy az adott porton
>> valaki próbálkozik befelé, továbbjut-e, belülről van-e válasz stb. Most
>> ennél a T routernél vak vagyok. Más port is van nyitva és szépen
>> beengedi, az megy. Elvileg a szerverhez el kell jusson a kérés, de
>> válasz kifelé nem jön semmi. El sem jut az autentikációig.
>>
>> Elvileg ha az adott portot beengedem és elküldöm a szerver felé, kellene
>> menjen nem? Attól még, hogy nem a routeren fut a vpn szerver. ? Vagy
>> felejtsem el, ez nat-olt címről mér nem fog menni?
> Ha csak sima TCP/UDP vel menne, akkor egy sima port forward-al
> megoldható lenne.
> De mindíg van valami kavarás az átvitelben. Vagy GRE protokoll, vagy
> IPSEC amit egyszerűen nem kezelnek a
> routerek, ezért nem is forwardolják. A "VPN passtrough"tulajdonsággal
> rendelkező SOHO routerek
> általában átengedik a GRE protokollt és/vagy az IPSEC -et. Ha egy router
> nem ilyen akkor "SSTP" vel érdemes
> próbálkozni. Ehhez elméletben csak 1 TCP portot kell forwardolni (443).
> De pl. a Windows XP még nem ismerte,
> és a RouterOS v3x -sem. Windowsnál a virtuális magánhálózat
> tulajdonságánál meg lehet adni, hogy milyet
> használjon, és akkor nem is próbálkozik PPTP -vel kapcsolódni.
>
>
>
>
>
>> Mi a véleményetek?
>>
>> Kösz,
>> JG
>>
>>
>> 3/9/2015 3:03 PM keltezéssel, Horváth Péter írta:
>>> 2015.03.09. 9:51 keltezéssel, njjano írta:
>>> Először is azt kell kipróbálni,hogy a mobilneten milyen VPN megy át.
>>>
>>> A legújabb az SSTP amihez csak TCP protokollt kell átvinni, viszont
>>> kevés eszköz ismeri....
>>> A PPTP -hez már a GRE protokollt is kell, ami szerintem mobilnet esetén
>>> problémás lesz.
>>> Az OpenVPN-el megoldva nem lesz 1 broadcast domain (nem lesz 1
>>> alhálózatban a 2 végpont).
>>> A többi fajtának is van valami baja.
>>>
>>> A draytek routerek is csak a PPTP L2TP protokollokat ismernek. Linux
>>> alapú firmware esetén a
>>> ugyanaz a PPP kernel modul intézi a VPN kapcsolatokat, mint a mobilnet
>>> (modem) kapcsolatot.
>>> Viszont necces hogy ilyen PPP interface-ből 2-t egymásba lehet ágyazni,
>>> egy SOHO router-nél.
>>>
>>> Így szerintem a problémát csak Mikrotik-al lehet megoldani (függetlenül
>>> attól hogy a 3G modem USB -s, vagy PCIe-s).
>>> Nem kizárt hogy a Cisco is tudja (de nem az amit Linksys-ről neveztek át) :)
>>> Esetleg még az OpenWRT
>>>
>>> -----------------------------------------
>>>              elektro[-flame|-etc]
>> -----------------------------------------
>>             elektro[-flame|-etc]
> -----------------------------------------
>            elektro[-flame|-etc]