Mikrotik PPTP VPN pēc ROS 6.44

[uldii12345]

Sveiki. Kā jau nosaukums saka. Atjauninot programmatūru uz no 6.43 uz 6.44 vai 6.45  nevar pieslēgties PPTP vpn serverim uz mikrotika. Interesantākais, ka no datora, kas pieslēgts pie mikrotik arī nevar pieslēgties citiem VPN serveriem ar PPTP. Uzliekot atpakaļ 6.43 versiju viss iet. Kāds ir saskāries?

[uldise]

domāju, ka tas saistīts ar Mikrotik pēdējiem CVE labojumiem, pamēģini šādu pielikt(protams pareizā secībā)

/ip firewall filter add chain=forward action=accept protocol=gre src-address=ip.address.of.the.PPTP.server

un otrs, apskatīties vai  IP Firewall Service ports gadījumā pptp nav disabled.

[Ronalds]

Bet nu mūsdienās pptp lietot.... 

Kas traucē uz tā paša MT palaist L2TP + IPSEC?

 

https://wiki.mikrotik.com/wiki/L2TP_%2B_IPSEC_between_Mikrotik_router_and_a_PC

 

[Racer]

Man ir HapLite RouterOS v6.44.1, PPTP vpn strādā bez bēdu. Bij problēmas uzlikt atjauninājumu, jo vnk nebij rūtera atmiņā vietas, tad nu iedevu spečukam, tas tur kaut ko iztīrīja un uzlika.

 

Pirms 20 minūtēm , Ronalds teica:

Bet nu mūsdienās pptp lietot.... 

 Piekrītu, bet man vajag no iekārtām, kas ar IPSEC negrib draudzēties lāga.  

[Ronalds]

Kura mūsdienu iekārta neatbalsta L2TP + IPSEC? Vismaz es tādu neesmu sastapis.....

[CosmosDC]

6.44v bija problēma ar L2TP, bet to jau izlaboja. Par PPTP nav nekas dzirdēts/lasīts (droši vien tāpēc, ka to nemaz nevajadzētu lietot pēc būtības).

 

[Ronalds]

Pirms 4 minūtēm , CosmosDC teica:

Par PPTP nav nekas dzirdēts/lasīts

Nu tad palasi! Jau vismaz kādus gadus 10 neviena lielā kompānija (CISCO, MT, MS) neiesaka izmantot pptp. Jo ir kaudze ar labākām alternatīvām. PPTP ir bariņš ar problēmām pašā protokolā. 

Un uz MT nosetupot L2TP +  IPSEC nav ne pa gramu sarežģītāk, kā pptp. Un uz win/android/ios klienta arī.

[uldii12345]

Pirms 8 minūtēm , Ronalds teica:

Nu tad palasi! Jau vismaz kādus gadus 10 neviena lielā kompānija (CISCO, MT, MS) neiesaka izmantot pptp. Jo ir kaudze ar labākām alternatīvām. PPTP ir bariņš ar problēmām pašā protokolā. 

Un uz MT nosetupot L2TP +  IPSEC nav ne pa gramu sarežģītāk, kā pptp. Un uz win/android/ios klienta arī.

Ne par to stāsts. Ir arī l2tp ipsec nokonfigurēts, bet diemžēl nevisur tas strādā. Piemēram, objektā ir melnais lmt 4g routeris, aiz viņa dmz mikrotik. No android ipsec strādā, no vindows nepakam. Identiska ipsec konfigurācija citur, kur uz MT ir publiska IP, ipsec iet rūkdams. Turklāt ipsec vairāk noslogo tīklu, ir bijis, ka ar ipsec zūd savienojums, ar ptpp viss ok. Manā gadījumā vpn tiek izmantots, lai attālināti konfigurētu iekārtas, nekur savienojums nav ilglaicīgs, kur tādā gadījumā, tas pptp lielais nedrošums? Ir bijis, ka logos, kāds mēģina pieslēgties, nobloķēju IP un viss. Man protams nav pieslēgšanās admin admin. 

[Ronalds]

Nevis tīri ipsec, bet ipsec + l2tp! Ir drusku atšķirība! 

 

Vismaz es neesmu novērojis ka kādā konfigurācijā ipsec + l2tp nestrādātu! Tīrais ipsec, jeb šifrētas ip paketes - jā tur ir problēmas...

[CosmosDC]

Pirms 27 minūtēm , Ronalds teica:

Nu tad palasi!

Es biju domājis par PPTP bugu ROS 6.44v.?

 

[uldise]

Pirms 8 minūtēm , Ronalds teica:

Vismaz es neesmu novērojis ka kādā konfigurācijā ipsec + l2tp nestrādātu!

Tad Tev ir paveicies, man pašam ir mājās Ipsec+L2TP, no viena ofisa varu pieslēgties, no cita nevaru.

problēma ir dēļ lietotajiem portiem, kuri daudz kur tie bloķēti.

tāpēc priekš manis minētais Ipsec+L2TP vairāk tiek lietots kā PtP risinājums, kad ir jāsavieno divi konkrēti saiti.

"Road warrior" gadījumam izmantoju OpenVPN, kas strādā uz 443 UDP, te vēl neesu pieredzējis vietu, kad nevarētu pieslēgties. 

[Ronalds]

Open VPN ir ok risinājums!  Bet https://www.softether.org/ ir labāks! Es agrāk openVPN lietoju, bet tagad esmu visus klientus uz softether pārvedis. 

[uldii12345]

Es biju domājis L2TP IPSEC. Paldies Uldise, vaina bija pie firewall/ service ports, PPTP bija atslēgts, jo standartā tur visu atslēdzu. Iepriekš tas neko nemainīja.

[Net]

Pagaidām uz pēdējo ''Stable'' 6.45.2 versiju updatot nav ieteicams, jo tur džeki biš nolaiduši ūdeni. Arī ar Sfp portu ir zapte. Daudziem tas pēc update parubijās. Gaidam labojumus 6.46.Ja kāds dzīvo un vecākām versijām zem 6.45.2, nekas baigi kritisks nav un updaties tikai kā saka ''lai būtu'' ,nevajag iespringt.

 

pirms 5 stundām , uldise teica:

no viena ofisa varu pieslēgties, no cita nevaru.

problēma ir dēļ lietotajiem portiem, kuri daudz kur tie bloķēti.

Tev provaiders kaut ko cītīgi bloķē? Sen nekas tāds nav dzirdēts, izņemot 25 portu (piefiksēts ir mits.lv un vēl viens....) ,ko cītigi ierobežo.

Labots Jūlijs 27, 2019 - Net

[uldise]

Pirms 29 minūtēm , Net teica:

Tev provaiders kaut ko cītīgi bloķē?

provaiders tak nē, bet ja Tu ar ar savu datoru apsēdies kādā svešā ofisā, un gribi pieslēgties pie mājas Ipsec/L2TP, var gadīties, ka nesanāk, jo šajā ofisā uz āru atļauts ir piemēram tikai 80 un 443. ne tas vien ir redzēts.

[Net]

Ja ir vajadzība tikt netā, man parasti svešos office tiek piedāvāts public wifi,guest utt., caur kuru konekts uz ārpasauli ir tikai ar ātruma ierobežojumiem. Pa lielam tas ir normāli ,jo nu tāpat šis guest wifi ir pilnīgi cits ar policy nodalīts Vlan no office local Lan, kam ir denied access pie jebkādiem Lan resursiem. Ir bjis pat tā, ka priekš Guest Lan tiek izmantots cits provaidera slēgums , lai būtu 100% drošība  tere..pere..  Interesants tev gadījums, nēesmu saskāries ar tādu

[Anonīms Alkoholiķis]

Lmt (o)karte 4g - 10e/mēnesī.

[ju]

pirms 14 stundām , ieleja teica:

vienmēr izbrīna tie ārpakalpojumu sniedzēji (auditori u.c.)

Parasti jau atdzen kaut kādus praktikantus, kas paņemti pa minimālo algu

[ggg97]

pirms 14 stundām , Anonīms Alkoholiķis teica:

Lmt (o)karte 4g - 10e/mēnesī.

Domā šo?

 

[Anonīms Alkoholiķis]

To pašu

[uldii12345]

2019.07.27. , 11:18, Ronalds teica:

Open VPN ir ok risinājums!  Bet https://www.softether.org/ ir labāks! Es agrāk openVPN lietoju, bet tagad esmu visus klientus uz softether pārvedis. 

Var izveidot softether serveri uz mikrotik?

[Ronalds]

Nevar. Tikai uz win vai linux kastes. 

[Anonīms Alkoholiķis]

Teorētiski var, praktiski labāk nemaz nevajag mēģināt - uz router os izmantot virtuālā rūtera izveidošanas iespēju, kur liec virsū paša sagatavotu custom image ar to softether. Īsumā - izaicinājums mazohistiem.

[uldii12345]

Jautājums par ike2 server  VPN uz mikrotik.

Izskatīju vairākus jaunos MUM, izveidoju visu pēc pamācībām, bet nesanāk pieslēgties. Pēc wiki pamācības izveidojot pa vienkāršo sertifikātus ar fiksētu Ip adresi, izdevās pieslēgties no android. Pieslēdzas zibenīgi, strādā tikpat ātri kā pptp. Problēma, ka nesanāk atkārtot uz citu routeri, visu daru tāpat, bet neslēdzas, arī no windows datora neslēdzas pat uz manu routeri (izmet kļūdu par sertifikātiem), kur ar android var pieslēgties. Pieļauju, ka problēma sertifikātos, jautājums, varbūt ir kāds softs uz kura var izveidot korektus sertifikātus un pēc tam importēt visās ierīcēs?

[uldii12345]

Pirms 23 minūtēm , Macstāstitej teica:

Nu tak lieto PPTP/OpenVPN/EoIP/IPIP un nemocies.

 

Es nemeklēju vieglākos ceļus

[hero]

tev ir prasība obligāta sertifikātiem? psk neder?

[uldii12345]

sertifikātus obligāti nevajag, bet cik saprotu uz mikrotika savādāk nevar, jo savādāk vajag radius serveri uz atsevišķas ierīces

[Ronalds]

pirms 10 stundām , uldii12345 teica:

(izmet kļūdu par sertifikātiem)

 

Vai nebija tā, ka tie sertifikāti nebija obligāti jāpērk, lai gala iekārtas zinātu par viņu parakstītājiem un self signed neder? 

(Moš tagad arī der no letsEncrypt, bet tas tikai uz 3 meneši dod) 

Vai arī root sertifikāts jāpievieno iekārtām.

 

Tāpēc es lietoju L2TP/IPSec un viss notiek. 

[Ronalds]

pirms 10 stundām , uldii12345 teica:

, varbūt ir kāds softs uz kura var izveidot korektus sertifikātus un pēc tam importēt visās ierīcēs?

ssl kas nāk līdzi openVPN neder? 

Tas bija pirmais, kas ienāca prātā. 

[uldii12345]

pirms 9 stundām , Ronalds teica:

Tāpēc es lietoju L2TP/IPSec un viss notiek

Es arī izmantoju, bet ar to ļoti krītas ātrums. Piemēram pievienojos ar l2tp mājām ar telefonu, uztaisu speedtest, ātrums D/Up 1/3Mbit.   Tāpat 25/5Mbit,   Ar Ike2 ap 23/5Mbit,   ar pptp arī ap 23/5Mbit.

ar pptp ātrums ok, bet nav droši, ar Ike2 gan droši, gan ātri. 

[CosmosDC]

pirms 4 stundām , uldii12345 teica:

Piemēram pievienojos ar l2tp mājām ar telefonu, uztaisu speedtest, ātrums D/Up 1/3Mbit.

Izslēdz iekš firewall Fasttrack, pēc apraksta izskatās, ka tas tur varētu būt, un ja ir, tad pēc izslēgšanas ātrums būs +/- tāds pats kā caur PPTP, vismaz tam 20 Mbps savienojumam.

[Anonīms Alkoholiķis]

Vai esi pārliecināts, ka fastforward fasttrack strādā ar caur procesoru dzenamām paketēm? FF nevajadzētu ietekmēt vpn savienojumus, jo tiem nestrādā nekāda switcha hw akselerācija.

 

Butu vismaz uzrakstijis kas pa mikrotiku tiek izmantos. Routeros x86 uz i7, rb4011 vai ccr sērija? Ja tā, tad konfiguretajs ir l0ks. Ja rb111, tad priecājies, ka var dabūt arī tik daudz mbps.

Labots Aprīlis 19, 2020 - Anonīms Alkoholiķis

[CosmosDC]

Nezinu, kas ir fastforward. Ja domāts fasttrack, tad jā, tur jau tā ideja viņam, ka nav tās pakas pa liekam caur CPU jādzen, kas pieder pie viena conntrack'a. Un fasttrack nedraudzējas ar IPSec. Un vispār, ja nepieciešams tas brīnums slēgt iekšā, tad nepieciešams padomāt, varbūt laiks jaunam maršutētājam.

Un vēl autoram: paspēlējies ar MTU/MRU, defaultie 1450 var būt par lielu tunelim.

[uldii12345]

fastrack neizmantoju, jo ir 2 WAN, mangles u. c. 

Nestrādāju IT nozarē, tuneļi principā nav vajadzīgi. VPN tiek izmantots, lai nav jāforvardē porti un varētu droši veikt iekārtu attālinātu konfigurēšanu. Ike2 sāku ņemties, jo Iphone nav pptp un l2tp/ipesec klientu. Ir uzlikts draugam mikrotiks, gribu viņam izveidot VPN, lai var droši tikt klāt savam mājas tīklam, bet viņam Iphons. 

Mans mājas routeris ir rb3011. Cik saprotu, ar Ike2 nav īpaši neviens darbojies. L2pt/ipesec performance nav būtiska, to pieminēju tikai salīdzinājumam. Arī pats Ike2 nav tik būtisks, mērķis būtu, vpn serveris mikrotik, klients iphone. 

Man izdevās veikt Ike2 savienojumu ar savu routeri, nesanāk atkārtot uz citiem, aizdomas par sertifikātiem, tāpēc gribu iemācīties tos veidot. 

1 stundu atpakaļ, CosmosDC teica:

Un vēl autoram: paspēlējies ar MTU/MRU, defaultie 1450 var būt par lielu tunelim

Ir izveidots viens tunelis priekš video, veidojot spēlējos ar mtu, tāpat uz l2tp/ipesec nevarēja dabūt ātrumus tuvu pptp

[Ronalds]

Pirms 3 minūtēm , uldii12345 teica:

Iphone nav pptp un l2tp/ipesec klientu.

Kā ta nav? l2tp ir! Pats esmu licis! 

 

Pirms 4 minūtēm , uldii12345 teica:

aizdomas par sertifikātiem, tāpēc gribu iemācīties tos veidot.

Cik es esmu sapratis, tad priekš Ike2 neder pašparakstītie, jeb paštaisītie sertifikāti. Lai tas normāli strādātu sertifikāts ir jāpērk, kas nav lēts prieks un mājas vajadzībām pilnīgi nav vajadzīgs. Tāpēc es lieku l2tp kur šādu problēmu nav. 

[CosmosDC]

Pirms 22 minūtēm , uldii12345 teica:

veidojot spēlējos ar mtu, tāpat uz l2tp/ipesec nevarēja dabūt ātrumus tuvu pptp

Nu tad tur kaut kas nav kārtībā ar konfigu, jo tā nevajadzētu būt.

Iekārta atbalsta IPsec hardware acceleration? Un H flags pie Installed SAs patiešām bija?

Un ar MTU spēlēšanos es domāju tā samazināšanu līdz ~ 1350, jo defaultā tiek piedāvāts 1450, kas sevī neietver IPSec daļu (ar AES (128,256) un hmac (SHA-x) ), tur klāt var nākt kaut kādi 70+ baiti.

Tiešām iPhone nav L2TP/IPSec klients?

[Ronalds]

Pirms 11 minūtēm , CosmosDC teica:

Tiešām iPhone nav L2TP/IPSec klients?

Taks ir!

https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/mvpn/l2tp/l2tp_vpn_client_ios_manual_c.html

 

Un ar ātrumiem arī problēmu nav bijis. Pamēģini šifrēšanas algoritmu pamainīt.

[uldii12345]

pirms 7 stundām , Ronalds teica:

pirms 8 stundām , CosmosDC teica:

Tiešām iPhone nav L2TP/IPSec 

Pašu iphone nespaidīju, jo nav sanācis satikt. Bildēs bija izvēle tikai l2tp, par ipesec nekas nav norādīts, arī googlējot pārsvarā lec info par ike2. Paldies par info, tad mēģināšu nokonfigurēt iphone lt2p klientu. 

[CosmosDC]

2020.04.18. , 21:37, uldii12345 teica:

Jautājums par ike2 server  VPN uz mikrotik.

Šodien aiz gara laika uztaisīju IKEv2 serveri uz MikroTik wAP LTE kit, ar Windows 10 klientu (1909, 18363.778) un Android 10 klientiem viss slēdzas klāt un strādā kā nākas arī caur pašā MikroTik ģenerētiem sertifikātiem. Ja uznāks luste, tad rīt pamēģināšu site-to-site variantu, bet domāju, ka nekādām problēmām arī tur nevajadzētu būt, jo tā konfigurācija jau tur ir triviāla.

Tev tā konekcija tiek cauri 1. un 2. fāzei?

[uldii12345]

pirms 6 stundām , CosmosDC teica:

Tev tā konekcija tiek cauri 1. un 2. fāzei?

Netiek

Kā ģenerē sertifikātus?