Mikrotik site-to-site VPN binnen VLAN - Netwerken

vrijdag 16 augustus 2013 12:33

Acties:

IT Security Nerd

Topicstarter

Hallo,
Voor de zaak ben ik bezig met een site-to-site VPN tussen twee vestigingen, deze wordt opgesteld d.m.v. twee MikroTik RB2011UAS-RM routers.

Beide vestigingen beschikken over een 100/100 glasvezelverbinding van verschillende providers.
Op het hoofdkantoor hebben we een /29 Subnet tot onze beschikking,
echter is het op de tweede locatie niet mogelijk om meerdere IP adressen te krijgen omdat de betreffende provider dit weigert (wegens schaarste).

Nou is de tweede locatie tevens het woonhuis van de directrice, waar ook kinderen en vrienden van dien rondlopen, die daar ook gebruik maken van het internet. Die mogen natuurlijk niet aan zakelijke gegevens kunnen komen. Nou weet ik dat het mogelijk is om VLAN's binnen een VPN tunnel te maken, maar bij voorkeur willen we geen privéverkeer over de verbinding van het hoofdkantoor routeren.

Nou dacht ik dus andersom: Is het mogelijk om 2 VLANs op de mikrotik te maken, waarbij de site-to-site VPN binnen een van deze VLANs word opgezet? Zodat het andere VLAN voor privegebruik kan zijn, en deze gegevens direct over het internet geroutereerd worden, i.p.v. via het andere kantoor.
Ik heb hier op zitten zoeken, maar ik kon niks zinnigs vinden.

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

vrijdag 16 augustus 2013 12:54

Acties:

The Eagle

I wear my sunglasses at night

Als ik het zo lees laat de baas jou dus uitzoeken hoe zijzelf zakelijk en prive internet kan scheiden

Het kan aan mij liggen, maar volgens mij denk je te moeilijk. Die router aan de prive kant moet volgens mij gewoon zo ingesteld worden dat ie alle verkeer binnen het company subnet via de VPN routeert, en de rest direct naar de ISP.
Mocht die Mikrotik dat niet ondersteunen, dan kun je denk ik ook een extra router overwegen. In het huis connect je dan eerst naar die priverouter (die dan ook dchp doet in een andere IP range). Van daar uit ga je verder, al dan niet via de site to site VPN. Moet lukken lijkt me

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

vrijdag 16 augustus 2013 12:56

Acties:

plizz

Ik denk dat jouw 2de optie het beste is. Kan je een ACL maken die prive vlan verkeer blokkeert door tunnel en de werk vlan toelaat?

vrijdag 16 augustus 2013 13:01

Acties:

Dennism

Wij werken hier met Sonicwalls en daar kan je bijv ook gewoon firewall regels instellen voor site to site verkeer. Voor zover ik weet gooien de sonicwalls ook sowieso alleen verkeer voor het remote subnet over de VPN en niet verkeer bestemd voor het internet. Ik weet echter niet of een microtic dit ook kan, maar de mogelijkheid lijkt mij het onderzoeken waard.

vrijdag 16 augustus 2013 13:31

Acties:

Rolfie

Wat je wil kan op verschillende manieren.

Ik weet niet wat voor een VPN je precies gebruikt? IPSEC VPN kan misschien wat lastiger zijn om op te zetten. Maar zou het ook gewoon moeten kunnen doen.

Maar beide oplossingen zou je kunnen gebruiken. Eventueel met wat firewall rules er tussen. Die Mikrotik kan beide oplossingen doen.

vrijdag 16 augustus 2013 13:39

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Wat subnetten betreft.
Ik dacht eraan om de mikrotik op de externe locatie het IP 10.0.0.2 mee te geven, deze dan in de VPN te hangen, en de mikrotik op de 'hoofdlocatie' de DHCP laten doen. En dan op het andere VLAN subnet 192.168.0.0/24 aanhouden welke direct naar het internet gerouteerd word.

Zodat je infeite de situatie krijgt al op het schetsje hieronder..

Als ik het dus goed begrijp zou ik dit kunnen doen:

VLAN 1: Subnet 192.168.0.0/24
VLAN 10: Subnet 10.0.0.0/24 Met 10.0.0.2 als de lokale mikrotik en 10.0.0.1 als de mikrotik op de hoofdlocatie..

Voor priveverkeer zeg ik dan Subnet 192.168.0.0/24 Dest: XS4All gateway..
En voor zakelijk: Subnet 10.0.0.0/24 Dest: 10.0.0.1
Correct?

Afbeeldingslocatie: http://i43.tinypic.com/29hhjr.jpg

Afbeeldingslocatie: http://i43.tinypic.com/29hhjr.jpg

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

vrijdag 16 augustus 2013 14:21

Acties:

Dennism

Volgens mij wel ja, maar waarom de router op de hoofdlocatie DHCP laten doen, mocht dan de tunnel wegvallen heeft de thuis locatie geen DHCP meer voor het prive netwerk, of zie ik dat nu verkeerd in de schets, lijkt me niet handig tenzij je ook beheer wil doen op het prive netwerk daar

vrijdag 16 augustus 2013 14:44

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Dennism schreef op vrijdag 16 augustus 2013 @ 14:21:
Volgens mij wel ja, maar waarom de router op de hoofdlocatie DHCP laten doen, mocht dan de tunnel wegvallen heeft de thuis locatie geen DHCP meer voor het prive netwerk, of zie ik dat nu verkeerd in de schets, lijkt me niet handig tenzij je ook beheer wil doen op het prive netwerk daar

Ik wilde hem alleen DHCP laten doen voor het privenetwerk. Het bussiness netwerk wilde ik door de hoofdlocatie laten doen.

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

vrijdag 16 augustus 2013 16:03

Acties:

The Eagle

I wear my sunglasses at night

Je moet het privenetwerk DHCP laten doen voor prive en het zakelijke voor de zaak. Er is een reden dat je deze netwerken gescheiden wilt houden. En dus ook de IP ranges

Die routers zijn volgens mij prima in staat om DHCP te doen. Jij wilt niet tig mac reservations van directrice's neefje's iPad, Android of whatever in je zakelijke netwerk hebben. Hoort er niet thuis en levert alleen maar ellende.
Sowieso, als directrice zonodig met de zaak verbonden moet zijn, zal het haar worst wezen wat haar IP is. Jij moet er alleen voor zorgen dat ze er eentje krijgt

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

vrijdag 16 augustus 2013 16:38

Acties:

Oid

wat wil je nu eigenlijk bereiken?

als ik het zo lees wil de directrice 1 laptop of pc met de zaak verbinden?

of werken er tig mensen op die locatie? als dat het geval is, dan huis-tuin en keuken router voor de verbinding, daarna de site2site vpn router daar achter voor het zakelijk gedeelte. (klinkt zo en zo als een zyxel als hoofdrouter met xs4all glas)

alle wifi/ipad/vriendjes meuk maken altijd verbinding met de eerste router, en nooit met het zakelijk gedeelte.

vrijdag 16 augustus 2013 16:41

Acties:

Verwijderd

Heel simpel:

Router thuis:

DHCP server aan, range 192.168.1.1 - 192.168.1.250. (glas modem op 192.168.1.254 zetten en DHCP uit)
MKTik een vast IP geven, bv. 10.0.0.1
VPN opzetten naar de zaak.
In IP / Routes het volgende toevoegen:

regel 1: route 10.0.0.0/24 ---> VPN interface (wat voor naam je gezokzen hebt).
regel 2: route 0.0.0.0/24 --> gateway 192.168.1.254.

Dus hij kijkt eerst naar regel 1: Zit er traffic erbij met destination 10.0.0.xxx ? Zo ja, dan gaat het naar de zaak. Zo nee, dan gaat hij naar regel 2. En daar staat alles het internet (glasmodem) in gooien.

Wat Oid aanbeveelt, kan ook ja. Dan laat je de zakelijke MKtik traffic als zijnde een "client" op de Zyxel zitten. Het is toch alleen maar VPN traffic. En dan geef je de MKTik een vast IP adres buiten DHCP range van de Zyxel. En een firewall rule dat alles gedropt wordt wat binnen komt op de WAN poort (dan kan iemand van het prive netwerk niet op de MKTik komen).

[ Voor 23% gewijzigd door Verwijderd op 16-08-2013 16:45 ]

vrijdag 16 augustus 2013 18:53

Acties:

Fish

How much is the fish

Ik zou dus gewoon helemaal geen site to site vpn maken. alle clients bij de drecteur gewoon allemaal een aparte vpn verbindig laten maken met de vestiging

minder kosten. ik zie het nut namelijk niet terug van een site ro site verbinding

[ Voor 22% gewijzigd door Fish op 16-08-2013 18:55 ]

Iperf

vrijdag 16 augustus 2013 19:30

Acties:

Dennism

fish schreef op vrijdag 16 augustus 2013 @ 18:53:
Ik zou dus gewoon helemaal geen site to site vpn maken. alle clients bij de drecteur gewoon allemaal een aparte vpn verbindig laten maken met de vestiging

minder kosten. ik zie het nut namelijk niet terug van een site ro site verbinding

Dat zou ik ook doen idd als het enkel een woon locatie is, echter uit de TS maak ik op dat het een vestiging + woonhuis is. Vandaar dus denk ik een oplossing als deze.

zaterdag 17 augustus 2013 00:18

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Wat dennism zegt, het is een vestiging+woonhuis.. en op die vestiging staat ook de off-site backup voor de servers op de hoofdlocatie. En die hebben wel een VPN Client, maar niet voor IPSec. (Alleen PPTP/OpenVPN)

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

zaterdag 17 augustus 2013 14:42

Acties:

bigfoot1942

je denkt te moeilijk (of ik begrijp je niet goed).

Gebruik een aparte interface op de firewall (of anders via een vlan) welke je DMZ noemt.
Dit (v)lan laat je gebruiken voor prive-gebruik.
De VPN tunnel bouw je vanaf het LAN op locatie 1 naar het LAN op locatie 2 (en vice versa), dus niet naar de DMZ.
Opgelost!

Enige risico is dat bij evt abuse vanaf de het privenetwerk de provider de verbinding zou dichtgooien...

zaterdag 17 augustus 2013 20:45

Acties:

Verwijderd

site to site VPN is gratis bij Mikrotik. Je kan zelfs onbeperkt aantal VPN connecties maken (bij level 4 OS en hoger).
Zit standaard in de software, in alle vormen en mate. PPTP, L2TP, IPSec, SSTP, Open VPN. Als server en als client.

Je moet alleen de juiste routering doen.

Ik heb hier ook een MKTik draaien met een VPN. 99% van de traffic gaat de VPN in, en maar 1% gaat via de lokale ISP (via een rule en een static route).
Ook draait er een script, dat als de VPN "down" is, dat ik een SMS krijg en een mailtje.