Dijeljenje VPN-a s VM guesta na host

[Bubba]

Situacija je sljedeca - host je W7, guest je W10, VirtualBox je u igri.

VB je konfiguriran tako da je hostova mrezna u bridgeu s onom na guestu, tako da mi je dostupna cijela lokalna mreza bez previse prtljanja.

Na guestu imam VPN klijent koji se uredno spaja i sve je super-divno-krasno-proljetno!

No, mogu li ikako pustiti VPN promet na host preko tog VM guesta? Probao sam napraviti bridge u guestu ali mi se vise ne zeli spojiti na VPN (radi se o Paolo Alto GlobalProtectu). Zapravo mi ni ne treba cijeli promet, nego samo port 1433...

[Alister]

trebao bi to moći složiti preko statički route-a, da ti VPN sa host-a radi preko guesta

[Bubba]

Citiraj:

Autor Alister

trebao bi to moći složiti preko statički route-a, da ti VPN sa host-a radi preko guesta

Guest ima IP preko bridgena na 192.168.5.x a kada se spoji VPN-om taj drugi mrezni adapter dobije 192.168.10.x adresu. Predpostavljam da je intervencija potrebna samo na W10 (guest) kako bi se nesto routalo tako da i host (W7) dobije pristup tom dijelu mreze? Ide li onda samo promet prema portu 1433 i tom 192.168.10.x IP-u na kojemu je SQL server s hosta ili cijeli promet s hosta ide preko tog routanog VPN-a (sto mi ne pase, ali jebat ga, ako je to jedini uvjet, bum se skoncentriral kako surfam po dark webu u pauzama).

[mann]

Da bi win7 routa (vjerojatno je isto i na w10) treba prebaciti IPEnableRouter na 1 (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Tcpip\Parameters\IPEnableRouter) i onda enableati Routing and Remote Access servis. Sto se route tice, dodaj routu u w7 192.168.10.x preko gateway-a 192.168.5.x. U teoriji bi trebalo proci. Pazi samo na firewal, u w10. Iskljuci ga za pocetak tj. allow all.

[Bubba]

Nisam si bas doma s mrezama, pa cu napisati korak po korak sto sam radio (i ne radi ).

Windows 7, host, 192.168.5.103
Windows 10, VM guest, 192.168.5.155
IP od VPN-a koji dobijem na Windows 10 guestu, 192.168.10.8
IP od servera na kojeg se spajam preko VPN-a, 192.168.11.6

Napominjem da iz W10 guesta sve prema tom serveru radi!

U W7 (host) sam napravio sljedece:

Code:

C:\>route add 192.168.5.0 mask 255.255.255.0 192.168.5.155 metric 2
OK!

C:\>route print
===========================================================================
Interface List
 16...fc aa 14 9e 5b a3 ......Killer E2200 Gigabit Ethernet Controller
 15...00 02 5b 01 0d 63 ......Bluetooth Device (Personal Area Network) #2
 18...0a 00 27 00 00 12 ......VirtualBox Host-Only Ethernet Adapter
  1...........................Software Loopback Interface 1
 13...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
 17...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
 19...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.5.1    192.168.5.103     10
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.5.0    255.255.255.0         On-link     192.168.5.103    266
      192.168.5.0    255.255.255.0    192.168.5.155    192.168.5.103     12
    192.168.5.103  255.255.255.255         On-link     192.168.5.103    266
    192.168.5.255  255.255.255.255         On-link     192.168.5.103    266
     192.168.56.0    255.255.255.0         On-link      192.168.56.1    266
     192.168.56.1  255.255.255.255         On-link      192.168.56.1    266
   192.168.56.255  255.255.255.255         On-link      192.168.56.1    266
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.5.103    266
        224.0.0.0        240.0.0.0         On-link      192.168.56.1    266
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.5.103    266
  255.255.255.255  255.255.255.255         On-link      192.168.56.1    266
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
  1    306 ::1/128                  On-link
 16    266 fe80::/64                On-link
 18    266 fe80::/64                On-link
 18    266 fe80::bdf4:efa3:8b85:3dea/128
                                    On-link
 16    266 fe80::e58a:b40a:c2dc:17a3/128
                                    On-link
  1    306 ff00::/8                 On-link
 16    266 ff00::/8                 On-link
 18    266 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Na W10 guestu Routing and Remote Access servis je upaljen kao i editiran Registry kljuc (cak sam napravio i restart) a Windows firewall zagasen.

Iz guesta sve i dalje radi, ali na hostu ne mogu doprijeti do 192.168.11.6 masine.

Ne razumijem zasto promet prema 192.168.11.6 s hosta ide "u krivo".

Code:

C:\>tracert 192.168.11.6

Tracing route to 192.168.11.6 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  192.168.5.1
  2     6 ms     6 ms     6 ms  bng03.net.iskon.hr [213.191.132.176]
  3     6 ms     6 ms     5 ms  89.164.64.94
  4    21 ms     7 ms     6 ms  ^C
C:\>tracert 192.168.5.155

Tracing route to virtual-w10 [192.168.5.155]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  virtual-w10 [192.168.5.155]

Trace complete.

[Alister]

Jedno glupo pitanje? uključio si share VPN konekcije u postavkama dial up-a?
Nisam to slagao na Windows desktop OS-ovima, na serverskom jesam (tamo RRAS većinu sam odradi). Ali statičku routa ti treba biti vezana za VPN subnet, ne za lokalni subnet. Tebi sada ide na VPN preko 5.1. adrese, a ne preko 5.155.
route add 192.168.10.0 mask 255.255.255.0 192.168.5.155
Da li možeš pingati 192.168.10.8 ?

[Bubba]

Citiraj:

Autor Alister

Jedno glupo pitanje? uključio si share VPN konekcije u postavkama dial up-a?

Ali ja nemam nista u dial upu u W10, samo taj "PANGP Virtual Ethernet Adapter". Kada na njemu ukljucim "Allow other network users to connect through this computer's Internet connection", sve ode u 3 lepe, da prostis (nema ni "obicnog" interneta niti vise imam pristup VPN-u)...

Citiraj:

Nisam to slagao na Windows desktop OS-ovima, na serverskom jesam (tamo RRAS većinu sam odradi). Ali statičku routa ti treba biti vezana za VPN subnet, ne za lokalni subnet. Tebi sada ide na VPN preko 5.1. adrese, a ne preko 5.155.
route add 192.168.10.0 mask 255.255.255.0 192.168.5.155
Da li možeš pingati 192.168.10.8 ?

Dodao sam i ovu rutu koju si ti napisao, ne mogu pingati niti 10.x niti 11.x s host masine.

[mann]

Dodaj jos rutu 192.168.11.0 255.255.255.0 gw 192.168.5.155. Jer sada on tema 11.0. Probaj pingati oba subneta, dali prolazi? Hm, kazes ne prolazi ping? Tracert bi trebao sada ici u pravome smjeru samo je pitanje dali routing na w10 radi.

P.s. 192.168.5.0 255.255.255.0 192.168.5.155 192.168.5.103 12 ti netreba. W7 vec ima interface u tom segmentu.

[mann]

Citiraj:

Autor mann

Dodaj jos rutu 192.168.11.0 255.255.255.0 gw 192.168.5.155. Jer sada on tema 11.0. Probaj pingati oba subneta, dali prolazi? Hm, kazes ne prolazi ping? Tracert bi trebao sada ici u pravome smjeru samo je pitanje dali routing na w10 radi.

P.s. 192.168.5.0 255.255.255.0 192.168.5.155 192.168.5.103 12 ti netreba. W7 vec ima interface u tom segmentu.

Fuck. Pa tebi ni server nezna gdje slati 192.168.5.0 tj nezna ga vratiti. Uh, nece to ici bez rute na serveru.

[Bubba]

Citiraj:

Autor mann

Fuck. Pa tebi ni server nezna gdje slati 192.168.5.0 tj nezna ga vratiti. Uh, nece to ici bez rute na serveru.

Nakon primjene ovih svih routa sto ste napisali:
Guest (radi)

Code:

C:\>tracert 192.168.11.6

Tracing route to 192.168.11.6 over a maximum of 30 hops

  1     *        *        *     Request timed out.
  2     8 ms     7 ms     8 ms  10.10.10.1
  3     8 ms     8 ms     8 ms  192.168.11.6

Trace complete.

Host (ne radi)

Code:

C:\>tracert 192.168.11.6

Tracing route to 192.168.11.6 over a maximum of 30 hops

  1     *        *        *     Request timed out.
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.
  4     *        *        *     Request timed out.
  5     *        *        *     Request timed out.
  6     *        *        *     Request timed out.
  7     *        *        *     Request timed out.
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
 10     *        *        *     Request timed out.
 11     *        *        *     Request timed out.
 12     *        *        *     Request timed out.
 13     *        *        *     Request timed out.
 14  ^C

Znaci, 0 bodova? Mogu li nekako napraviti port forwarding na W10 tako da mi se ODBC driver spaja na tu W10 masinu a dalje ga W10 masina forwarda nekako na VPN?

[DiTech]

Probaj nacrtat neku skicu kako to izlgeda da bude malo jasnije sto i kako, i nekuzim sto je 192.168.56.1 u rutung tablici?

Koliko se sjecam na stroju gdje instliras VPN on uzme sav promet i gura ga kroz tunel, pa se moras igrati sa direktnim routama da bi slozio ako za lokalni promet neces da ide kroz taj VPN. Meni je tako bilo sa checkpoint vpn adapterom.

[Bubba]

Citiraj:

Autor DiTech

Probaj nacrtat neku skicu kako to izlgeda da bude malo jasnije sto i kako, i nekuzim sto je 192.168.56.1 u rutung tablici?

Ja ne znam ni sto je routing tablica, tak da smo si dobri po tom pitanju...

Ne znam kako bih to jasnije objasnio: zelim sa W7 hosta pristupiti serveru kojem pristupam preko VPN-a na W10 guestu.

[mann]

Bilo bi idealno tu kada bi Windowsi podrzavali NAT-anje ali ne podrzavaju. Samo serveri to imaju. Windows OS ima ICS, internet connection share koji radi na meni ne tako jako bistar nacin. On kada to omogucis stavi neke njegove ip adrese na te interface-e, nemam blage, nikada mi nije taj ICS sjeo...