Ahojte
na úvod - čo sa sietí týka som úplný amatér a toto čo chcem je nad moje schopnosti
neviem prísť na jednu vec, ako sa pripojiť na CCTV NVR vo vzdialenej lokalnej sieti v ktorej je len VPN klient
na vysvetlenie diagram v prílohe
doma mam Wireguard VPN server (10.10.0.1) v lokalnej sieti 192.168.7.0/24
u rodicov mám rpi na ktorej bezi Wireguard ako klient (10.10.0.3), lokalna siet tam je 192.168.9.0/24
moj notebook a mobil sa pripajaju ako wireguard klienti k serveru a vidia celu lokalnu siet kde je server (tak som to chcel to funguje super), viem manazovat aj router, aj sa pripojit k desktopu na dialku aj k NFS na serveri (je jedno či použijem VPN adresu 10.10. alebo lokálnu 192.168) a funguje mi aj blokovanie reklám cez pihole DNS blokator
teraz mi vznikla situácia kde sa potrebujem dostať k CCTV zaznamom u rodicov, NVR však nemá podporu pre wireguard (ani inú VPN) lebo je to čínsky shit a zadanie adresy CCTV NVR (192.168.9.100) pri pripojeni cez VPN nefunguje
*áno viem sa pripojiť k vzdialenej ploche na rpi a tam cez prehliadac na CCTV NVR, alebo spraviť z Rpi druhý VPN server a pripojiť sa tak - ale ani jedno nechcem - zbytočne komplikované a zdĺhavé
viete mi poradiť čo a ako treba nastaviť aby som sa z mobilu alebo NTB pripojeného na VPN server (10.10.0.1) dostal k CCTV (192.168.9.100)
pochopil som že bude treba spraviť nejaké routovanie (ale nemám ani najmenšieho zdania ako) a neviem ani nájsť nejaký návod pre začiatočníkov
za veškerú pomoc ďakujem
konfiguracia Rpi
[Interface] PrivateKey = *** Address = 10.10.0.3/24 DNS = 10.10.0.1 [Peer] PublicKey = *** PresharedKey = *** Endpoint = no-ip-byt:79 AllowedIPs = 0.0.0.0/0
konfiguracia servera
[Interface] PrivateKey = **** Address = 10.10.0.1/24 ListenPort = 79 [Peer] PublicKey = *** PresharedKey = *** AllowedIPs = 10.10.0.2/32 [Peer] PublicKey = *** PresharedKey = *** AllowedIPs = 10.10.0.3/32
z obrazku nie je jasne ake mas nastavenie interfacov ip a na RPI a na routery.
ale skusil by som sa pohrat so statickou routou na RPI alebo routery, nieco ako
ip route add 192.168.9.100 dev {DEVICE}na routroch neviem spustiť ip, sú to zariadenia od orange a telecomu
ip a na rpi:
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000 link/ether dc:a6:32:6b:ea:ba brd ff:ff:ff:ff:ff:ff inet 192.168.9.200/24 brd 192.168.9.255 scope global dynamic noprefixroute eth0 valid_lft 61404sec preferred_lft 50604sec inet6 fe80::7066:192b:35:2471/64 scope link valid_lft forever preferred_lft forever 3: wlan0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000 link/ether dc:a6:32:6b:ea:bb brd ff:ff:ff:ff:ff:ff 4: jbs: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000 link/none inet 10.10.0.3/24 scope global jbs valid_lft forever preferred_lft foreverBTW IP adresa pre pi je rezervovaná v nastavení routra podla MAC adresy (lebo som robil kopu testovacich instalacii a nechcelo sa mi to zakaždým nastavovať)
ehm ahaa cize router ma komunikovat so zariadenim, ktore je uplne niekde v kukurici, po ethernete? a co este...?
Na toto by sa hodil Netcat.
Prípadne socat.
a este nmap a ma vymalovane, ze...?
oboje linky som si prečítal a nič, nemám tušenia čo by som mal spraviť, budem si musieť k tomu sadnúť na dlhšie
pokial vpn server nie je zaroven aj routrom (co nie je), tak ti pristup z vpn klientov do lan nemoze fungovat. jedine, ak by vpn server poslal klientom routovanie a zaroven nastavil s-nat. ak to urobil automaticky, tak dakujem pekne za taku vpn.
rpi ti nemoze vobec fungovat, kedze ma ip z ineho rozsahu ako lan, v ktorej je. ale predpokladam, ze ma ip 192.168.9.200
aby ti to fungovalo:
1.
a)musis vsetkym zariadeniam v lan pridat staticke routovanie remote siete 192.168.9.0/x cez branu 192.168.7.111
b) alebo to routovanie pridat len na routri - ale potom tam po sieti behaju kadejake icmp redirecty a niektore os ich zahadzuju...
2. na vpn serveri musis pridat routovanie remote siete 192.168.9.0/x cez branu (vpn klienta) 10.10.0.3
tym sme dostali paket so zdrojovou adresou lokalnej siete na rpi
3. trafik prichadzajuci na vpn interface rpi s cielovou adresou 192.168.9.0/x s-nat-ovat na jeho lokalnu ip adresu (alebo ho len masqueradovat)
tym sme dostali paket az na zariadenie v remote lan. paket vyzera, akoby prisiel z rpi, takze routovanie netreba riesit, zariadenie odpovie naspat priamo rpi. a rpi uz (ako vravis) ma routovanie do lan, takze uz netreba nic riesit...
rozumel som prvým dvom vetám potom ani ťuk
ale áno rpi má samozrejme adresu 192.168.9.200 (to bol preklep)
ten zvyšok si skúsim naštudovať ale nevidím to ružovo
zariadenia v lan posielaju pakety, pre ktore nemaju v routovacej tabulke ziadny zaznam, na default branu, cize na router 192.168.7.1. ten tiez smeruje neznamy trafik na svoju default gw. aby si sa z lan dostal to remote lan, potrebujes routovat siet 192.168.9.0/24 cez vpn server. do dosiahnes tak, ze vsetkym zariadeniam pridas staticku routu (napr. cez dhcp), aby trafik pre 192.168.9.0/24 posielali cez vpn server:
variantu b) by som neriesil
takze paket mame na vpn serveri.
vpn server ale o remote sieti tiez nic netusi, preto mu musis pridat routovanie, rucne takto:
to sa ale robi vacsinou v konfiguracii vpn, resp. konfiguracii daneho vpn klienta, na ktory ma tento trafik smerovat, cize dana routa sa prida automaticky.
tymto sme paket dostali na vpn klienta (rpi).
teraz sa este natiska otazka, s akou zdrojovou adresou pride paket na rpi - ci s realnou ip adresou zariadenia v lan (192.168.7.x), alebo robi vpn server s-nat a na rpi pride paket s jeho zdrojovou adresou vpn interfacu (10.10.0.1). ale kedze vravis, ze sa z vpn klientov dostanes do lan, tak to netreba riesit.
takze mame paket na rpi, a ten uz komunikuje s cctv po jeho lokalnej (v pohladu vpn servera remote) lan.
paket dorazil do ciela na cctv.
ale zdrojova adresa paketu bude bud realna ip adresa zariadenia v lan (vpn servera), alebo ip adresa vpn interfacu servera (vid vyssie). kedze ale cctv netusi nic o sietiach 192.168.7.0/24 a 10.10.0.0/24, preto odpoved posle na jeho default gw a tym padom spojenie nefunguje.
preto treba paketu, ktory pride na rpi z vpn a smeruje do remote lan (reps. jeho lokalnej lan 192.168.9.0/24), zmenit zdrojovu adresu na jeho lokalnu adresu 192.168.9.200:
tym padom na cctv pride paket so zdrojovou adresou rpi (192.168.9.200) a teda odpoved vrati spat na rpi - proste si bude mysliet, ze spojenie ide priamo z rpi a nebude vobec tusit, ze realne komunikuje s niecim uplne inym.
ak ostatnym vpn klietom tiez natlacis routovanie siete 192.168.9.0/24 cez vpn server:
tak sa do remote lan dostanes aj z nich. toto sa ale tiez riesi v konfiguracii vpn (teda pokial take nieco podporuje) a routy sa na vpn klientoch pridavaju automaticky.
btw, na rpi treba povolit forward:
Samalama ja žasnem, sieťam sa nevenujem a ani im nerozumiem, ak vieš o čom píšeš tak klobúk dole :-)
To ci vie o com pise si mohol napisat skor pod prispevok bednu.. ktory ako vzdy nevie o com pise, ale vsetko vie a vsade bol.Tu je jasne ze samalama vie o com pise.
wow, dakujem krasne za rozsiahle vysvetlenie, už začínam chápať
idem sa stym zabavat