uldii12345 Aprīlis 24, 2020 Author Share Aprīlis 24, 2020 Atradu kļūdu sertifikātos. Izmantojot DNS vai IP pie SAN, tur kur jāieraksta adrese ir ::. Pirmo reizi veidojot, biju adresi ierakstījis, tos punktus izdzēšot, tāpēc viss strādāja, pēc tam punktus atstāju un adresi ierakstīju blakus Link to comment Share on other sites More sharing options...
CosmosDC Aprīlis 25, 2020 Share Aprīlis 25, 2020 Tad viss aizgāja? pirms 14 stundām , DjUbuntu teica: Uzņēmuma drošībnieki var normāļi nopresēt darbnieku uz atlūgumu nu tur vēl dzīvi pabojāt policijā, ja darbiniekam nervu sistēma pavāja. Tieši tā, visiem jau nav juridiskā izglītība šūpulī ielikta, es personīgi arī negribētu par to pārliecināties, lai nekļūtu par pirmo šajā meklētāja sarakstā. ? Link to comment Share on other sites More sharing options...
uldii12345 Augusts 8, 2020 Author Share Augusts 8, 2020 Nedaudz par citu tēmu, gribu izburties ar vpn tuneli, ļoti nevajag, intereses pēc. Ir man ruteris A ar lokālajām ip 192.168.89.0/24 un statisku publisko ip. Ir otrs B bez publiskas ip, ar lokālajām adresēm 192.168.100.0/24 Uz routera A ir L2TP serveris, VPN pool 192.168.90.0/24 uz B klients, kas saņem 192.168.90.40 Savienojums izveidojās. Abiem routeriem savā starpā ping ir no abām pusēm. Izveidoju routes caur l2tp, veidoju mangles, bet nepakam no datora, kas pieslēgts pie routera A nevaru nopingot routeri B, nekādu ierīci aiz routera B Link to comment Share on other sites More sharing options...
uldise Augusts 8, 2020 Share Augusts 8, 2020 manuprāt tas strādāja tā, ka pašam VPNam A pusē ieliec statiskās adreses. tad mangle attiecīgo trafiku + papildus rūte pēc mangle uz konkrēto VPNa statisko adresi. nu un protams arī maskarāde uz VPNa subnetu ar attiecīgo out interfeisu Link to comment Share on other sites More sharing options...
mafijs Augusts 8, 2020 Share Augusts 8, 2020 pirms 2 stundām , uldii12345 teica: Izveidoju routes caur l2tp Routes jāsaliek abos galos. Un vēl ja pingo win datoru, tad tiem ir tieksme neatbildēt uz pingiem no cita subneta. Link to comment Share on other sites More sharing options...
mafijs Augusts 8, 2020 Share Augusts 8, 2020 (labots) Jā. vēl - VPN pool nav lielas vajadzības taisīt, ja savienoti tiek konkrēti mikrotik rūteri. Servera galā izveidot jaunu "Secrets" , kurā ierakstīt konkrētās Remote un Local IP, kuras atškiras no lokālajām IP adresēm. Un maršrutus ierakstīt abos galos. Labots Augusts 8, 2020 - mafijs Link to comment Share on other sites More sharing options...
mafijs Augusts 8, 2020 Share Augusts 8, 2020 (labots) masquerade pirms 3 stundām , uldii12345 teica: Nedaudz par citu tēmu, gribu izburties ar vpn tuneli, ļoti nevajag, intereses pēc servera pusē uz bridge_vlan_ID_10 - lokālās IP adreses servera pusē, tavā piemērā 192.168.89.0/24 /ppp profile add bridge=bridge_vlan_ID_10 change-tcp-mss=yes comment="konfguracija L2TP tunelim" name=L2TP /ppp secret add comment="Home tunelis" local-address=10.90.0.12 name=nosaukums password=parole profile=L2TP remote-address=10.90.0.13 service=l2tp /ip route add comment="Route uz majas tiklu" distance=1 dst-address=192.168.100.0/24 gateway=10.90.0.13 pref-src=10.90.0.12 mājās - 192.168.100.0/24 , tavā piemērā /interface l2tp-client add comment="L2TP darbs" connect-to=areja.ip.adrese disabled=no name=l2tp-out1 password=parole user=nosaukums /ip route add comment="Uz bridge_vlan_ID_10" distance=1 dst-address=192.168.89.0/24 gateway=10.90.0.12 pref-src=10.90.0.133 Piemirsu - NAT jābūt nevis vispārējam, bet konkrēta, kuras IP adres ir "jā_NAT_O" uz ārpusi un uz kuru interfeisu. Lai pieprasījumu uz tuneļa otru galu neietu caur NAT. (masquerade) Labots Augusts 8, 2020 - mafijs Link to comment Share on other sites More sharing options...
Anonīms Alkoholiķis Augusts 8, 2020 Share Augusts 8, 2020 Tagad jabut routeros v7 Link to comment Share on other sites More sharing options...
uldii12345 Augusts 9, 2020 Author Share Augusts 9, 2020 Paldies par info, vienīgais uz routera A, man nav bridges, klasiskā izpildījumā, ir vlani, ko tad norādīt ppp profilā? Link to comment Share on other sites More sharing options...
mafijs Augusts 9, 2020 Share Augusts 9, 2020 (labots) Tad norādi vienu vlan , pie kura jātiek. Ja jātiek pie citiem vlan, tad klienta pusē ierkstīt maršrutu līdz katram vlan subnetam. Labojums - naksies uztaisīt bridžu un tajā ielikt vajadzīgo vlan, profilā nesanāks tieši vlan norādīt. Tikai bridžu. Kaut gan - vajadzētu strādāt arī ar defaulto profilu, vismaz man strādā, tikko pārbaudīju. atkarīgs jau no pārējās konfigurācijas. Labots Augusts 9, 2020 - mafijs Link to comment Share on other sites More sharing options...
Guncha Jūlijs 1, 2022 Share Jūlijs 1, 2022 2020.04.20. , 20:51, CosmosDC teica: CA sertifikātam CN (common name) un SAN (subject alternative name) vienalga, jo tas ir domāts tikai citu sertifikātu apstiprināšanai lokāli. Klienta sertifikātam arī, tikai priekš katra klienta jābūt unikālam tam tekstam, es izmantoju e-mail. Servera sertifikātam es izmantoju DNS priekš SAN, attiecīgi no IP/Cloud tas nāk. Tas pats arī priekš CN, jo man statiskā publiskā adrese nemaz nebija pieejama. Iekopē konfigu (hide-sensitive), savādāk te tā var rakstīt līdz nejēga. Sāc ar L2TP/IPSec konfigu serverim, tur ar defaulto template ir ļoti grūti kaut ko nepareizi izdarīt. Atvainojos topika autoram par miroņa tramdīšanu, bet man radās jautājums... Es pareizi saprotu, ka ārējo publisko adresi pie domēna ir jāsien tikai tad, ja autorizācijai izmanto sertifikātus? Ja autorizācijai lieto PSK tad tas nav nepieciešams? Link to comment Share on other sites More sharing options...
Anonīms Alkoholiķis Jūlijs 1, 2022 Share Jūlijs 1, 2022 Bez lielas vajadzības nepistu jebli ar pptp/ipsec/openvpn. Es liktu wireguard, jo openvpn ir LĒNS, ipsec konfigurēšana kā nagla pēcpusē, pptp ir caurs kā siets. Vienīgā problēma - wg griežas tikai uz udp un vajag svaigu ROS versiju. Idejiski šitā ir ar ātrumiem.. https://rickfreyconsulting.com/mikrotik-vpns/ 1 Link to comment Share on other sites More sharing options...
Guncha Jūlijs 2, 2022 Share Jūlijs 2, 2022 Wireguard protams ir štelle, bet man ir padomā IKEv2/IPSec, jo šim ir natīvs atbalsts Android un Windows. Līdz šim tīri labi strādāju ar L2TP/IPSec, bet RouterOS gadījumā ir senā problēma, kad diviem pieslēdzoties pie VPN servera ar vienādu publisko adresi, otru izmet ārā. Tāpēc es domāju par minēto un pacēlās jautājums par publiskās IP siešanu pie domēna. Link to comment Share on other sites More sharing options...
AlCohol Jūlijs 2, 2022 Share Jūlijs 2, 2022 dhcp pool pietiek vairākiem lietotājiem? Link to comment Share on other sites More sharing options...
CosmosDC Jūlijs 2, 2022 Share Jūlijs 2, 2022 (labots) 1.07.2022. , 13:13, Guncha teica: Es pareizi saprotu, ka ārējo publisko adresi pie domēna ir jāsien tikai tad, ja autorizācijai izmanto sertifikātus? Divus gadus par šo biju veiksmīgi nedomājis, bet ja pareizi atceros, tad nē, tas tika darīts tāpēc, ka izmantoju Tele2 SIM karti ar standarta dinamisko publisko adresi, attiecīgi caur Mikrotik DDNS (ip/coud) uzģenerēju to stringu. Tak pamēģini abus variantus, daudz laika jau tas neaizņem, ja būtu pie rokas kāda Mikrotik LTE iekārta, apskatītos, bet, diemžēl, nav. Tagad sāku atcerēties kaut ko - tur bija saistība ar sertifikātiem tam DNS, jā. pirms 3 stundām , Guncha teica: IKEv2/IPSec, jo šim ir natīvs atbalsts Android Xiaomi ar 10 Android tāda nav, jaunākiem Androidiem ir? Kad savā laikā tas bija aktuāli, izmantoju strongSwan app. Labots Jūlijs 2, 2022 - CosmosDC Link to comment Share on other sites More sharing options...
Anonīms Alkoholiķis Jūlijs 2, 2022 Share Jūlijs 2, 2022 (labots) Samsungs s20 ar 12andri - ir ike Samsungs s9 ar 10andri - arī ir ike Wireguard ir pluss, ka tunelis nav fonā jātur vaļā (bez vajadzības jāsūta keepalive) - tunelis pats paceļas kad caur turieni kko mēģina sūtīt. Labots Jūlijs 2, 2022 - Anonīms Alkoholiķis Link to comment Share on other sites More sharing options...
Recommended Posts
Izveido kontu, vai pieraksties esošajā, lai komentētu
Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas
Izveidot jaunu kontu
Piereģistrējies un izveido jaunu kontu, tas būs viegli!
Reģistrēt jaunu kontuPierakstīties
Jums jau ir konts? Pierakstieties tajā šeit!
Pierakstīties tagad!