בחברתנו ישנו שרת מאובטח, שכאשר משתמש מורשה מהחברה יכול להכנס מכל רשת אלחוטית באשר היא כשההתחברות נעשית באמצעות VPN

בשל ריבוי מבקרים בחברתנו, המשתמשים עם מחשבים ניידים/ טלפונים חכמים, החלטנו להרכיב נתב אלחוטי המוגן ב WAP2 לנוחיותם.

הנתב קבל אחת מכתובות הרשת הפנימית (המקושרת גם לשרת) ככתובת WAN באמצעות STATIC IP כגון 192.168.12.200 והכולל גם את כתובות ה SUBNET וה GATEWAY,
במקביל רשת ה LAN של הנתב האלחוטי הינה רשת עם כתובת אחרת לחלוטין 10.0.0.138
והתחום נע מ 10.0.0.1 - 10.0.0.100 (כך קבענו).

גלישה באינטרנט מצויינת לכל מי שמתחבר ללא שום בעיה.

במהלך ישיבה שערכנו רציתי להכנס לשרת באמצעות ה VPN דרך הרשת האלחוטית, אולם התקבלה הודעה ש"השרת אינו מגיב".

בו במקום ניסיתי להתחבר באמצעות המכשיר הנייד שלי המכיל אפליקצית ניתוב, והתחברתי ללא שום בעיה, ניסיתי שוב מתוך הרשת (בדיוק כפי שאני נכנס מכל רשת אלחוטית אחרת), שוב חזרה הודעת השגיאה ש"השרת אינו מגיב" , מה יכולה להיות הבעיה, וכיצד ניתן לפתור אותה ?
תודה

EalanY

נפרק את הבעייה לכמה חלקים

למה אתה מתכוון שאתה אומר "שרת מאובטח"? לשרת שיש בינו לבין האינטרנט פיירוול? אם כן, זה לא אומר שהוא "מאובטח" (טענה שנתונה לדיון ובהחלט יתכן שניתן להפריכה), אלא שהוא "מאחורי פיירוול". אני אשער שלכך אתה מתכוון, אבל תקן אותי אם אני טועה.

הלאה - ה VPN כאן - מה מטרתו? לעקוף את הפיירוול שבפיסקה הקודמת? או שמא השרת ה"מאובטח" הוא בעצם שרת ה VPN?

בכלל, תרשים של איך הכל היה מחובר, היה עוזר. ברור לי מדוע לא תרצה לצרף כתובות IP פנימיות של הארגון (משיקולי אבטחה; אם כי, זה קצת מוזר. חיברת רשת אלחוטית ישר לתוך הרשת של החברה, ובכך נתת גישה להכל [לא?]) - אבל אני רוצה לוודא שאין בשום שלב כתובות חופפות כאן. אם תהיה מעוניין לא לחשוף מידע זה, לפחות תעשה את הבדיקה בעצמך שאין חפיפה שכזו.

עכשיו מה שאני לא מבין והתרשים היה עוזר לי - אם ה VPN מאפשר גישה לרשת של החברה, והראוטר האלחוטי שלך כבר מחובר לתוך הרשת של החברה - למה בעצם צריך את ה VPN? מה אני מפספס? זה נשמע שאתה מתחבר לשרת ה VPN מתוך הרשת שאליה שרת ה VPN אמור לחבר אותך, ואין בכך יותר מדי הגיון (ובהרבה מקרים שרת VPN יקונפג בצורה כזו שלא תצליח להתחבר אליו מתוך הרשת פנימית, כי אתה בעצם יוצר לולאת ניתוב - בפשטות על ידי האזנה רק על ממשק ה WAN שלו, ולא על כל הממשקים)

ולבסוף - מה זו "אפליקצית ניתוב"? אינני מכיר קונספט כזה - ניתוב נעשה באמצעות הקרנל של מערכת ההפעלה, לא באמצעות אפליקציה כזו או אחרת...

נמאס לכם לזכור סיסמאות? לחצו כאן!

1. תודה על תגובתך
2. השרת נמצא מאחורי FW
3. אין לנו עניין שאורח יתחבר לאותה רשת שבה כל מחשבי החברה, אולם עדיין מעוניינים אנו שתהיה להם אפשרות להשתמש באינטרנט .
4. הרשת בחברה מתחילה ב 192.168 הרשת בנתב האלחוטי 10.0
5. אין חובה להתחבר לשרת משם, אולם אנו נכנסים מרשתות אלחוטיות שונות, מחוץ לחברה, לשרת על מנת להעלות או להוריד חומר עבודה חיוני, כאשר עבדתי מחובר לנתב האלחוטי לא הצלחתי להתחבר, במשרדי אני מתחבר באמצעות כבל לרשת 192.168
6. אשמח להעביר תרשים במידה ועדיין אינני ברור

EalanY

2. כלומר גם מתוך החברה, צריך להתחבר ל VPN בשביל להגיע אליו? זה מה שאתה אומר?

3. אז לא כדאי שתחברו את ה AP הזה ישר ל WAN, במקום לרשת של החברה?

4. וה IP של שרת ה VPN ושל הרשתות שמאחוריו לא מתנגש עם אף אחת מהן, כן?

5. אוקיי, כלומר, אתה אומר שלו היית מנתק את ה AP שדרכו אינך מצליח להתחבר, והיית מחבר את המחשב שלך במקומו, אזי, היית מצליח, כן? במקרה זה, עלי יהיה לנחש (ואשמח אם תאשר), ששרת ה VPN משתמש באחת הטכנולוגיות "שהרבה יותר טובות מ SSL", וממומשות על גבי פרוטוקולים שדורשים דברים מעבר ל TCP/UDP - כגון: PPTP, IPSec, GRE וכו'. במקרה זה, סביר להניח שהנתב האלחוטי שלך אולי פשוט לא תומך (ב NAT שהוא עושה) בפרוטוקולים האלה, וכשהם מגיעים אליו, הוא "מתבלבל". הצעות לפתרון: בדוק בממשק הניהול של הנתב - אם יש שם הגדרות של VPN Passthrough - ושם פרוטוקולים אלה. אם כן, הפעל אותן אם אינן מופעלות. פתרון אחר לעקוף את הבעייה: חלק משרתי ה VPN תומכים גם ב UDP Encapsulation של הפרוטוקולים ש"אינם אוהבים NAT", ובכך עוקפים את הבעייה - גם לקוח ה VPN צריך לתמוך את זה, וגם האפשרות צריכה להיות מופעלת בשרת ה VPN. לעתים זה נקרא "Office Mode", מונח לא טכני בעליל, שנועד לבלבל את האוייב ( = איש המקצוע)

כל הנ"ל בהנחה שבאמת הבנתי את דיאגרמת הרשת שלך :-)

נמאס לכם לזכור סיסמאות? לחצו כאן!

אנסה לפשט את הציור (עד כמה שהבנתי)

יש להם בחברה שרת שכאשר הם נמצאים במשרד הם מתחברים אליו ישירות בכבל ואינם זקוקים ל-VPN כדי להתחבר אליו
אך כשהם מחוץ למשרד הם משתמשים בחיבור VPN לשרת כדי לאבטח את הגישה לשרת .

כעת הם רצו להוסיף למשרד רשת אלחוטית עם אינטרנט חופשי לאורחים וכדי לחסוך חיבור אינטרנט נוסף הם לקחו ראוטר והגדירו אותו כ-AP וניצלו בתוכו את האופציה של יצירת שני רשתות נפרדות
האחת WAN שמתחברת בכבל לראוטר הראשי של המשרד ומשם מקבלת אינטרנט ,192.168. (אני מאמין שאם הוא יתחבר לאחת מכניסות ה-LAN של הראוטר הזה הוא יהיה ישירות ברשת של השרת )
והשניה רשת אלחוטית 10.0.0.שאת האינטרנט היא מקבלת מהראוטר הזה שיוצר חייץ ביניהם אך מספק גלישה לשניהם .

כעת הוא שואל, מדוע ברגע שהוא התחבר מהנייד לרשת האלחוטית המבודדת הזאת ויש לו גישה לאינטרנט הפתוח , הוא אינו מצליח להכנס ב-VPN לשרת שנמצא ברשת הסמוכה .
כלומר שבחיוג ל-VPN הוא מבצע יציאה לאינטרנט ומשם לכתובת IP של הראוטר הראשי (שזה גם ה-IP שלו) ומשם היה אמור להיות מנותב לשרת של החברה ,
אך כנראה שהראוטר הנוסף שיוצר את החציצה או הראוטר הראשי לא מאפשרים לו זאת .
מקווה שהבנתי והובנתי .

תודה, אכן היטבת להסביר זאת ממני

EalanY

גם בהסבר שלך לא הצלחתי להבין לאיזה שתי רשתות פיזיות שונות (שאתה רומז שיש), מחובר הראוטר החדש. כך או כך, זה לא ממש משנה, אם כתובת שרת ה VPN היא כתובת WAN-ית, ובלבד ששום דבר בדרך לא חוסם את התקשורת אליה, וששרת ה VPN עצמו מאזין על ממשק הרשת הספציפי שדרכו מגיעה התעבורה מכיוון הראוטר החדש הזה.

אם זה לא העניין של VPN Passthrough שהצעתי בתגובתי הקודמת, אז ping ו traceroute מהמחשב הנייד שמאחורי הראוטר לכיוון ה IP של שרת ה VPN *אולי* ישפכו אור על העניין...

נמאס לכם לזכור סיסמאות? לחצו כאן!

NAT אחרי NAT

יש ראוטר אחד ראשי שמחובר לאינטרנט ולכל המחשבים בחברה ולשרת
הראוטר הזה מבצע את הפניית הפורטים VPN לשרת

כעת רצו לשתף את האיטרנט מהראוטר הזה לרשת אלחוטית פתוחה
שלה לא תהיה גישה לרשת המקומית .
לצורך כך לוקחים ראוטר נוסף שבו יש אופציה ליצירת שני רשתות שונות (וירטואלית)
בהגדרות ה-WAN שלו מזינים את ה-IP של הראוטר הראשון
192.168. וזו כעת בעצם הרשת הראשית של הראוטר הזה
הרשת השניה הוירטואלית והאלחוטית היא על כתובות 10.0.0
כעת מי שמתחבר לראוטר הזה מקבל כתובת 10.0.0
ואינו יכול לגשת לרשת המקבילה למרות שממנה מגיע היציאה שלו לאינטרנט.
לכן הוא מנסה להגיע לשרת דרך כתובת IP חיצונית בהנחה שהראוטר הראשי ינתב אותו לשרת
אך בפועל זה אינו קורה.

השאלה היא כיצד מתנהגת רשת ברגע שמנסים להגיע ממחשב X למחשב שכן
דרך כתובת ה IP החיצונית שלו + ניתוב .

במקרה שלנו המשתמש גולש אלחוטית מראוטר מס׳ 2 שמבצע NAT
ומעביר את הבקשות לראוטר מס׳ 1 שהוא מוציא את הבקשה החוצה לאינטרנט
ברגע שהפניה ל vpn מגיע אליו מבחוץ הוא אמור להפנות אותה לכתובת IP הפנימית של השרת

כך נראה הציור בעיני, כעת תפרט לנו כיצד זה מתנהל מאחורי הקלעים
תודה*

אכן ישנו ראוטר הראשי (1) המחובר לאינטרנט והרשת הפנימית שלו הינה 192.168.9, כל המחשבים בחברה מחברים באמצעות כבל.

אל אחת היציאות מתחבר הראוטר האלחוטי(2), כתובת ה WAN הינה 192.168.9.199, ה GATEWAY הינו ה IP של הראוטר הראשי, כתובת ה LAN הינה 10.0.0
אכן כפי שכתבת

ציטוט:

במקור נכתב על ידי amir1 NAT אחרי NAT במקרה שלנו המשתמש גולש אלחוטית מראוטר מס׳ 2 שמבצע NAT ומעביר את הבקשות לראוטר מס׳ 1

האם ראוטר 1 מוציא החוצה או מנסה להתחבר פנימית, הדבר לא נהיר לנו.

אנחנו מצפים שאכן 1 יוציא את זה לרשת ויתחבר כפי שאני מתחבר מרשתות אלחוטיות חיצוניות.

EalanY

איפה בכל הסיפור הזה יושב ה IP של שרת ה VPN?

מדוע אתה מתעלם שוב ושוב משאלתי לגבי אופציה של VPN Passthrough בנתב שבו זה לא עובד, ובסוג פרוטוקול התקשורת שבו ה VPN המסויים הזה עובד?

נמאס לכם לזכור סיסמאות? לחצו כאן!

1. סליחה ההתעלמות לא מכוונת
2. VPN Passthrough בראוטר נמצאים במצב Enable
3. ה IP של ה VPN נמצא ברשת הראשית בראוטר 1 (לא האלחוטי)

EalanY

טוב, אז על פניו, אם הראוטר תומך ב VPN Passthrough של הפרוטוקול המסויים שבו ה VPN שלך משתמש, נשמע שזה היה אמור לעבוד (וידאת שאין רשימה של פרוטוקולים תחת VPN Passthrough שצריך לסמן גם, כן?)

כיוון שטרם אמרת לנו באיזה פרוטוקול זה עובד, קשה יהיה לנחש אם זו האשמה הגיונית.

כפי שאמרתי קודם, נסה לחפש בלקוח ה VPN אפשרות של Office Mode או UDP Encapsulation...

מעבר לנקודה זו, קצת קשה לי להמשיך הלאה בלי להריץ סניפר על כרטיס הרשת של מכונת ה VPN ולראות מה מגיע ומה לא...

נמאס לכם לזכור סיסמאות? לחצו כאן!

ברצוני להודות לכל המשיבים
הבעייה נפתרה, הסתבר שספק האינטרנט התקין לנו בנוסף SBOX
בבדיקה שערכנו באינטרנט נמצא שב SBOX ישנו מצב של OFFICE MODE כפי ששימי ציין
ה SBOX מטופל על ידי ספק האינטרנט, בפניה אליהם הגיע טכנאי שבצע את השינוי
שוב תודה על העזרה

EalanY