středa 30. dubna 2025

Propojení sítí přes Tailscale, MikroTik a Raspberry Pi VPN bez veřejné IP

 

Úvod

Tailscale je jednoduchý nástroj pro vytvoření bezpečné VPN založené na WireGuard. V tomto projektu jsme využili Tailscale pro propojení dvou sítí:

  • Domácí síť: 192.168.11.0/24

  • Vzdálená síť: 10.0.1.0/24

Cílem je, aby zařízení v jedné síti mohla komunikovat se zařízeními v druhé síti skrze Raspberry Pi s Tailscale a MikroTik router.

Síťová topologie

Síťový diagram

1. Instalace Tailscale na Raspberry Pi

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up --advertise-routes=10.0.1.0/24



Povolte route v Tailscale admin rozhraní.
 
 
2. Povolení směrování v Raspberry Pi
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
 
3. NAT a forwardování přes iptables – Vysvětlení


Aby Raspberry Pi mohlo fungovat jako brána mezi dvěma sítěmi 
(například mezi domácí 192.168.11.0/24 a vzdálenou 10.0.1.0/24),
 je potřeba na něm povolit tzv. packet forwarding a správně nastavit
 iptables – nástroj pro řízení síťového provozu v Linuxu.
 


Co dělají tyto příkazy:
sudo iptables -t nat -A POSTROUTING -s 192.168.11.0/24 -d 10.0.1.0/24 -j MASQUERADE
Tento řádek říká, že když zařízení z domácí sítě (192.168.11.0/24)
  •  komunikuje se zařízeními ve vzdálené síti (10.0.1.0/24),
     má se jejich IP adresa přepsat (tzv. masquerade – maskování).
    


    Jinými slovy: Raspberry Pi „převleče“ pakety tak, aby vypadaly,
     že pochází přímo od něj – podobně jako NAT v routeru.
    •  
    sudo iptables -A FORWARD -s 192.168.11.0/24 -d 10.0.1.0/24 -j ACCEPT
     
    Toto pravidlo povoluje směr provozu z domácí sítě do vzdálené. 
     
     
    sudo iptables -A FORWARD -s 10.0.1.0/24 -d 192.168.11.0/24 -j ACCEPT
    Toto pravidlo naopak umožňuje odpovědi a další komunikaci zpět
     – ze vzdálené sítě do domácí
    

    Uložení pravidel
    

    Ve výchozím stavu se iptables pravidla po restartu ztratí.
     Proto doporučuji nainstalovat a použít nástroj iptables-persistent,
     který umožňuje jejich trvalé uložení:
     
    sudo apt install iptables-persistent
    sudo netfilter-persistent save

    Tím se uloží aktuální stav iptables do souborů a budou znovu načteny po každém restartu. 


     
     
     
     
     
    4. MikroTik směrování
    Otevřete terminál MikroTiku nebo použijte WinBox a vložte:
    /ip route add dst-address=10.0.1.0/24 gateway=192.168.11.2 distance=1
     
    🏁 Výsledek
    

    Zařízení z jedné sítě mohou komunikovat s druhou přes zabezpečené VPN tunely díky
     Tailscale a jednoduchému nastavení routování.
     
     
     

    Posted by at Žádné komentáře:
    Přihlásit se k odběru: Příspěvky (Atom)