uldii12345 Ierakstīts Jūlijs 26, 2019 Share Ierakstīts Jūlijs 26, 2019 Sveiki. Kā jau nosaukums saka. Atjauninot programmatūru uz no 6.43 uz 6.44 vai 6.45 nevar pieslēgties PPTP vpn serverim uz mikrotika. Interesantākais, ka no datora, kas pieslēgts pie mikrotik arī nevar pieslēgties citiem VPN serveriem ar PPTP. Uzliekot atpakaļ 6.43 versiju viss iet. Kāds ir saskāries? Link to comment Share on other sites More sharing options...
uldise Jūlijs 27, 2019 Share Jūlijs 27, 2019 domāju, ka tas saistīts ar Mikrotik pēdējiem CVE labojumiem, pamēģini šādu pielikt(protams pareizā secībā) /ip firewall filter add chain=forward action=accept protocol=gre src-address=ip.address.of.the.PPTP.server un otrs, apskatīties vai IP Firewall Service ports gadījumā pptp nav disabled. Link to comment Share on other sites More sharing options...
Ronalds Jūlijs 27, 2019 Share Jūlijs 27, 2019 Bet nu mūsdienās pptp lietot.... Kas traucē uz tā paša MT palaist L2TP + IPSEC? https://wiki.mikrotik.com/wiki/L2TP_%2B_IPSEC_between_Mikrotik_router_and_a_PC Link to comment Share on other sites More sharing options...
Racer Jūlijs 27, 2019 Share Jūlijs 27, 2019 Man ir HapLite RouterOS v6.44.1, PPTP vpn strādā bez bēdu. Bij problēmas uzlikt atjauninājumu, jo vnk nebij rūtera atmiņā vietas, tad nu iedevu spečukam, tas tur kaut ko iztīrīja un uzlika. Pirms 20 minūtēm , Ronalds teica: Bet nu mūsdienās pptp lietot.... Piekrītu, bet man vajag no iekārtām, kas ar IPSEC negrib draudzēties lāga. Link to comment Share on other sites More sharing options...
Ronalds Jūlijs 27, 2019 Share Jūlijs 27, 2019 Kura mūsdienu iekārta neatbalsta L2TP + IPSEC? Vismaz es tādu neesmu sastapis..... Link to comment Share on other sites More sharing options...
CosmosDC Jūlijs 27, 2019 Share Jūlijs 27, 2019 6.44v bija problēma ar L2TP, bet to jau izlaboja. Par PPTP nav nekas dzirdēts/lasīts (droši vien tāpēc, ka to nemaz nevajadzētu lietot pēc būtības). Link to comment Share on other sites More sharing options...
Ronalds Jūlijs 27, 2019 Share Jūlijs 27, 2019 Pirms 4 minūtēm , CosmosDC teica: Par PPTP nav nekas dzirdēts/lasīts Nu tad palasi! Jau vismaz kādus gadus 10 neviena lielā kompānija (CISCO, MT, MS) neiesaka izmantot pptp. Jo ir kaudze ar labākām alternatīvām. PPTP ir bariņš ar problēmām pašā protokolā. Un uz MT nosetupot L2TP + IPSEC nav ne pa gramu sarežģītāk, kā pptp. Un uz win/android/ios klienta arī. Link to comment Share on other sites More sharing options...
uldii12345 Jūlijs 27, 2019 Author Share Jūlijs 27, 2019 Pirms 8 minūtēm , Ronalds teica: Nu tad palasi! Jau vismaz kādus gadus 10 neviena lielā kompānija (CISCO, MT, MS) neiesaka izmantot pptp. Jo ir kaudze ar labākām alternatīvām. PPTP ir bariņš ar problēmām pašā protokolā. Un uz MT nosetupot L2TP + IPSEC nav ne pa gramu sarežģītāk, kā pptp. Un uz win/android/ios klienta arī. Ne par to stāsts. Ir arī l2tp ipsec nokonfigurēts, bet diemžēl nevisur tas strādā. Piemēram, objektā ir melnais lmt 4g routeris, aiz viņa dmz mikrotik. No android ipsec strādā, no vindows nepakam. Identiska ipsec konfigurācija citur, kur uz MT ir publiska IP, ipsec iet rūkdams. Turklāt ipsec vairāk noslogo tīklu, ir bijis, ka ar ipsec zūd savienojums, ar ptpp viss ok. Manā gadījumā vpn tiek izmantots, lai attālināti konfigurētu iekārtas, nekur savienojums nav ilglaicīgs, kur tādā gadījumā, tas pptp lielais nedrošums? Ir bijis, ka logos, kāds mēģina pieslēgties, nobloķēju IP un viss. Man protams nav pieslēgšanās admin admin. Link to comment Share on other sites More sharing options...
Ronalds Jūlijs 27, 2019 Share Jūlijs 27, 2019 Nevis tīri ipsec, bet ipsec + l2tp! Ir drusku atšķirība! Vismaz es neesmu novērojis ka kādā konfigurācijā ipsec + l2tp nestrādātu! Tīrais ipsec, jeb šifrētas ip paketes - jā tur ir problēmas... Link to comment Share on other sites More sharing options...
CosmosDC Jūlijs 27, 2019 Share Jūlijs 27, 2019 Pirms 27 minūtēm , Ronalds teica: Nu tad palasi! Es biju domājis par PPTP bugu ROS 6.44v.? Link to comment Share on other sites More sharing options...
uldise Jūlijs 27, 2019 Share Jūlijs 27, 2019 Pirms 8 minūtēm , Ronalds teica: Vismaz es neesmu novērojis ka kādā konfigurācijā ipsec + l2tp nestrādātu! Tad Tev ir paveicies, man pašam ir mājās Ipsec+L2TP, no viena ofisa varu pieslēgties, no cita nevaru. problēma ir dēļ lietotajiem portiem, kuri daudz kur tie bloķēti. tāpēc priekš manis minētais Ipsec+L2TP vairāk tiek lietots kā PtP risinājums, kad ir jāsavieno divi konkrēti saiti. "Road warrior" gadījumam izmantoju OpenVPN, kas strādā uz 443 UDP, te vēl neesu pieredzējis vietu, kad nevarētu pieslēgties. Link to comment Share on other sites More sharing options...
Ronalds Jūlijs 27, 2019 Share Jūlijs 27, 2019 Open VPN ir ok risinājums! Bet https://www.softether.org/ ir labāks! Es agrāk openVPN lietoju, bet tagad esmu visus klientus uz softether pārvedis. Link to comment Share on other sites More sharing options...
uldii12345 Jūlijs 27, 2019 Author Share Jūlijs 27, 2019 Es biju domājis L2TP IPSEC. Paldies Uldise, vaina bija pie firewall/ service ports, PPTP bija atslēgts, jo standartā tur visu atslēdzu. Iepriekš tas neko nemainīja. 1 Link to comment Share on other sites More sharing options...
Net Jūlijs 27, 2019 Share Jūlijs 27, 2019 (labots) Pagaidām uz pēdējo ''Stable'' 6.45.2 versiju updatot nav ieteicams, jo tur džeki biš nolaiduši ūdeni. Arī ar Sfp portu ir zapte. Daudziem tas pēc update parubijās. Gaidam labojumus 6.46.Ja kāds dzīvo un vecākām versijām zem 6.45.2, nekas baigi kritisks nav un updaties tikai kā saka ''lai būtu'' ,nevajag iespringt. pirms 5 stundām , uldise teica: no viena ofisa varu pieslēgties, no cita nevaru. problēma ir dēļ lietotajiem portiem, kuri daudz kur tie bloķēti. Tev provaiders kaut ko cītīgi bloķē? Sen nekas tāds nav dzirdēts, izņemot 25 portu (piefiksēts ir mits.lv un vēl viens....) ,ko cītigi ierobežo. Labots Jūlijs 27, 2019 - Net Link to comment Share on other sites More sharing options...
uldise Jūlijs 27, 2019 Share Jūlijs 27, 2019 Pirms 29 minūtēm , Net teica: Tev provaiders kaut ko cītīgi bloķē? provaiders tak nē, bet ja Tu ar ar savu datoru apsēdies kādā svešā ofisā, un gribi pieslēgties pie mājas Ipsec/L2TP, var gadīties, ka nesanāk, jo šajā ofisā uz āru atļauts ir piemēram tikai 80 un 443. ne tas vien ir redzēts. Link to comment Share on other sites More sharing options...
Net Jūlijs 27, 2019 Share Jūlijs 27, 2019 Ja ir vajadzība tikt netā, man parasti svešos office tiek piedāvāts public wifi,guest utt., caur kuru konekts uz ārpasauli ir tikai ar ātruma ierobežojumiem. Pa lielam tas ir normāli ,jo nu tāpat šis guest wifi ir pilnīgi cits ar policy nodalīts Vlan no office local Lan, kam ir denied access pie jebkādiem Lan resursiem. Ir bjis pat tā, ka priekš Guest Lan tiek izmantots cits provaidera slēgums , lai būtu 100% drošība tere..pere.. Interesants tev gadījums, nēesmu saskāries ar tādu Link to comment Share on other sites More sharing options...
Anonīms Alkoholiķis Jūlijs 27, 2019 Share Jūlijs 27, 2019 Lmt (o)karte 4g - 10e/mēnesī. Link to comment Share on other sites More sharing options...
ju Jūlijs 28, 2019 Share Jūlijs 28, 2019 pirms 14 stundām , ieleja teica: vienmēr izbrīna tie ārpakalpojumu sniedzēji (auditori u.c.) Parasti jau atdzen kaut kādus praktikantus, kas paņemti pa minimālo algu Link to comment Share on other sites More sharing options...
ggg97 Jūlijs 28, 2019 Share Jūlijs 28, 2019 pirms 14 stundām , Anonīms Alkoholiķis teica: Lmt (o)karte 4g - 10e/mēnesī. Domā šo? Link to comment Share on other sites More sharing options...
Anonīms Alkoholiķis Jūlijs 28, 2019 Share Jūlijs 28, 2019 To pašu Link to comment Share on other sites More sharing options...
uldii12345 Jūlijs 29, 2019 Author Share Jūlijs 29, 2019 2019.07.27. , 11:18, Ronalds teica: Open VPN ir ok risinājums! Bet https://www.softether.org/ ir labāks! Es agrāk openVPN lietoju, bet tagad esmu visus klientus uz softether pārvedis. Var izveidot softether serveri uz mikrotik? Link to comment Share on other sites More sharing options...
Ronalds Jūlijs 29, 2019 Share Jūlijs 29, 2019 Nevar. Tikai uz win vai linux kastes. Link to comment Share on other sites More sharing options...
Anonīms Alkoholiķis Jūlijs 29, 2019 Share Jūlijs 29, 2019 Teorētiski var, praktiski labāk nemaz nevajag mēģināt - uz router os izmantot virtuālā rūtera izveidošanas iespēju, kur liec virsū paša sagatavotu custom image ar to softether. Īsumā - izaicinājums mazohistiem. Link to comment Share on other sites More sharing options...
uldii12345 Aprīlis 18, 2020 Author Share Aprīlis 18, 2020 Jautājums par ike2 server VPN uz mikrotik. Izskatīju vairākus jaunos MUM, izveidoju visu pēc pamācībām, bet nesanāk pieslēgties. Pēc wiki pamācības izveidojot pa vienkāršo sertifikātus ar fiksētu Ip adresi, izdevās pieslēgties no android. Pieslēdzas zibenīgi, strādā tikpat ātri kā pptp. Problēma, ka nesanāk atkārtot uz citu routeri, visu daru tāpat, bet neslēdzas, arī no windows datora neslēdzas pat uz manu routeri (izmet kļūdu par sertifikātiem), kur ar android var pieslēgties. Pieļauju, ka problēma sertifikātos, jautājums, varbūt ir kāds softs uz kura var izveidot korektus sertifikātus un pēc tam importēt visās ierīcēs? Link to comment Share on other sites More sharing options...
uldii12345 Aprīlis 18, 2020 Author Share Aprīlis 18, 2020 Pirms 23 minūtēm , Macstāstitej teica: Nu tak lieto PPTP/OpenVPN/EoIP/IPIP un nemocies. Es nemeklēju vieglākos ceļus Link to comment Share on other sites More sharing options...
hero Aprīlis 18, 2020 Share Aprīlis 18, 2020 tev ir prasība obligāta sertifikātiem? psk neder? Link to comment Share on other sites More sharing options...
uldii12345 Aprīlis 18, 2020 Author Share Aprīlis 18, 2020 sertifikātus obligāti nevajag, bet cik saprotu uz mikrotika savādāk nevar, jo savādāk vajag radius serveri uz atsevišķas ierīces 1 Link to comment Share on other sites More sharing options...
Ronalds Aprīlis 19, 2020 Share Aprīlis 19, 2020 pirms 10 stundām , uldii12345 teica: (izmet kļūdu par sertifikātiem) Vai nebija tā, ka tie sertifikāti nebija obligāti jāpērk, lai gala iekārtas zinātu par viņu parakstītājiem un self signed neder? (Moš tagad arī der no letsEncrypt, bet tas tikai uz 3 meneši dod) Vai arī root sertifikāts jāpievieno iekārtām. Tāpēc es lietoju L2TP/IPSec un viss notiek. Link to comment Share on other sites More sharing options...
Ronalds Aprīlis 19, 2020 Share Aprīlis 19, 2020 pirms 10 stundām , uldii12345 teica: , varbūt ir kāds softs uz kura var izveidot korektus sertifikātus un pēc tam importēt visās ierīcēs? ssl kas nāk līdzi openVPN neder? Tas bija pirmais, kas ienāca prātā. Link to comment Share on other sites More sharing options...
uldii12345 Aprīlis 19, 2020 Author Share Aprīlis 19, 2020 pirms 9 stundām , Ronalds teica: Tāpēc es lietoju L2TP/IPSec un viss notiek Es arī izmantoju, bet ar to ļoti krītas ātrums. Piemēram pievienojos ar l2tp mājām ar telefonu, uztaisu speedtest, ātrums D/Up 1/3Mbit. Tāpat 25/5Mbit, Ar Ike2 ap 23/5Mbit, ar pptp arī ap 23/5Mbit. ar pptp ātrums ok, bet nav droši, ar Ike2 gan droši, gan ātri. 1 Link to comment Share on other sites More sharing options...
CosmosDC Aprīlis 19, 2020 Share Aprīlis 19, 2020 pirms 4 stundām , uldii12345 teica: Piemēram pievienojos ar l2tp mājām ar telefonu, uztaisu speedtest, ātrums D/Up 1/3Mbit. Izslēdz iekš firewall Fasttrack, pēc apraksta izskatās, ka tas tur varētu būt, un ja ir, tad pēc izslēgšanas ātrums būs +/- tāds pats kā caur PPTP, vismaz tam 20 Mbps savienojumam. Link to comment Share on other sites More sharing options...
Anonīms Alkoholiķis Aprīlis 19, 2020 Share Aprīlis 19, 2020 (labots) Vai esi pārliecināts, ka fastforward fasttrack strādā ar caur procesoru dzenamām paketēm? FF nevajadzētu ietekmēt vpn savienojumus, jo tiem nestrādā nekāda switcha hw akselerācija. Butu vismaz uzrakstijis kas pa mikrotiku tiek izmantos. Routeros x86 uz i7, rb4011 vai ccr sērija? Ja tā, tad konfiguretajs ir l0ks. Ja rb111, tad priecājies, ka var dabūt arī tik daudz mbps. Labots Aprīlis 19, 2020 - Anonīms Alkoholiķis Link to comment Share on other sites More sharing options...
CosmosDC Aprīlis 19, 2020 Share Aprīlis 19, 2020 Nezinu, kas ir fastforward. Ja domāts fasttrack, tad jā, tur jau tā ideja viņam, ka nav tās pakas pa liekam caur CPU jādzen, kas pieder pie viena conntrack'a. Un fasttrack nedraudzējas ar IPSec. Un vispār, ja nepieciešams tas brīnums slēgt iekšā, tad nepieciešams padomāt, varbūt laiks jaunam maršutētājam. Un vēl autoram: paspēlējies ar MTU/MRU, defaultie 1450 var būt par lielu tunelim. Link to comment Share on other sites More sharing options...
uldii12345 Aprīlis 19, 2020 Author Share Aprīlis 19, 2020 fastrack neizmantoju, jo ir 2 WAN, mangles u. c. Nestrādāju IT nozarē, tuneļi principā nav vajadzīgi. VPN tiek izmantots, lai nav jāforvardē porti un varētu droši veikt iekārtu attālinātu konfigurēšanu. Ike2 sāku ņemties, jo Iphone nav pptp un l2tp/ipesec klientu. Ir uzlikts draugam mikrotiks, gribu viņam izveidot VPN, lai var droši tikt klāt savam mājas tīklam, bet viņam Iphons. Mans mājas routeris ir rb3011. Cik saprotu, ar Ike2 nav īpaši neviens darbojies. L2pt/ipesec performance nav būtiska, to pieminēju tikai salīdzinājumam. Arī pats Ike2 nav tik būtisks, mērķis būtu, vpn serveris mikrotik, klients iphone. Man izdevās veikt Ike2 savienojumu ar savu routeri, nesanāk atkārtot uz citiem, aizdomas par sertifikātiem, tāpēc gribu iemācīties tos veidot. 1 stundu atpakaļ, CosmosDC teica: Un vēl autoram: paspēlējies ar MTU/MRU, defaultie 1450 var būt par lielu tunelim Ir izveidots viens tunelis priekš video, veidojot spēlējos ar mtu, tāpat uz l2tp/ipesec nevarēja dabūt ātrumus tuvu pptp Link to comment Share on other sites More sharing options...
Ronalds Aprīlis 19, 2020 Share Aprīlis 19, 2020 Pirms 3 minūtēm , uldii12345 teica: Iphone nav pptp un l2tp/ipesec klientu. Kā ta nav? l2tp ir! Pats esmu licis! Pirms 4 minūtēm , uldii12345 teica: aizdomas par sertifikātiem, tāpēc gribu iemācīties tos veidot. Cik es esmu sapratis, tad priekš Ike2 neder pašparakstītie, jeb paštaisītie sertifikāti. Lai tas normāli strādātu sertifikāts ir jāpērk, kas nav lēts prieks un mājas vajadzībām pilnīgi nav vajadzīgs. Tāpēc es lieku l2tp kur šādu problēmu nav. Link to comment Share on other sites More sharing options...
CosmosDC Aprīlis 19, 2020 Share Aprīlis 19, 2020 Pirms 22 minūtēm , uldii12345 teica: veidojot spēlējos ar mtu, tāpat uz l2tp/ipesec nevarēja dabūt ātrumus tuvu pptp Nu tad tur kaut kas nav kārtībā ar konfigu, jo tā nevajadzētu būt. Iekārta atbalsta IPsec hardware acceleration? Un H flags pie Installed SAs patiešām bija? Un ar MTU spēlēšanos es domāju tā samazināšanu līdz ~ 1350, jo defaultā tiek piedāvāts 1450, kas sevī neietver IPSec daļu (ar AES (128,256) un hmac (SHA-x) ), tur klāt var nākt kaut kādi 70+ baiti. Tiešām iPhone nav L2TP/IPSec klients? Link to comment Share on other sites More sharing options...
Ronalds Aprīlis 19, 2020 Share Aprīlis 19, 2020 Pirms 11 minūtēm , CosmosDC teica: Tiešām iPhone nav L2TP/IPSec klients? Taks ir! https://www.watchguard.com/help/docs/help-center/en-US/Content/en-US/Fireware/mvpn/l2tp/l2tp_vpn_client_ios_manual_c.html Un ar ātrumiem arī problēmu nav bijis. Pamēģini šifrēšanas algoritmu pamainīt. Link to comment Share on other sites More sharing options...
uldii12345 Aprīlis 20, 2020 Author Share Aprīlis 20, 2020 pirms 7 stundām , Ronalds teica: pirms 8 stundām , CosmosDC teica: Tiešām iPhone nav L2TP/IPSec Pašu iphone nespaidīju, jo nav sanācis satikt. Bildēs bija izvēle tikai l2tp, par ipesec nekas nav norādīts, arī googlējot pārsvarā lec info par ike2. Paldies par info, tad mēģināšu nokonfigurēt iphone lt2p klientu. Link to comment Share on other sites More sharing options...
CosmosDC Aprīlis 20, 2020 Share Aprīlis 20, 2020 2020.04.18. , 21:37, uldii12345 teica: Jautājums par ike2 server VPN uz mikrotik. Šodien aiz gara laika uztaisīju IKEv2 serveri uz MikroTik wAP LTE kit, ar Windows 10 klientu (1909, 18363.778) un Android 10 klientiem viss slēdzas klāt un strādā kā nākas arī caur pašā MikroTik ģenerētiem sertifikātiem. Ja uznāks luste, tad rīt pamēģināšu site-to-site variantu, bet domāju, ka nekādām problēmām arī tur nevajadzētu būt, jo tā konfigurācija jau tur ir triviāla. Tev tā konekcija tiek cauri 1. un 2. fāzei? Link to comment Share on other sites More sharing options...
uldii12345 Aprīlis 20, 2020 Author Share Aprīlis 20, 2020 pirms 6 stundām , CosmosDC teica: Tev tā konekcija tiek cauri 1. un 2. fāzei? Netiek Kā ģenerē sertifikātus? Link to comment Share on other sites More sharing options...
Recommended Posts
Izveido kontu, vai pieraksties esošajā, lai komentētu
Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas
Izveidot jaunu kontu
Piereģistrējies un izveido jaunu kontu, tas būs viegli!
Reģistrēt jaunu kontuPierakstīties
Jums jau ir konts? Pierakstieties tajā šeit!
Pierakstīties tagad!