Jump to content

Mikrotik PPTP VPN pēc ROS 6.44


uldii12345
 Share

Recommended Posts

uldii12345

Atradu kļūdu sertifikātos. Izmantojot DNS vai IP pie SAN, tur kur jāieraksta adrese ir ::. Pirmo reizi veidojot, biju adresi ierakstījis, tos punktus izdzēšot, tāpēc viss strādāja, pēc tam punktus atstāju un adresi ierakstīju blakus

Link to comment
Share on other sites

Tad viss aizgāja?

pirms 14 stundām , DjUbuntu teica:

Uzņēmuma drošībnieki var normāļi nopresēt darbnieku uz atlūgumu nu tur vēl dzīvi pabojāt policijā, ja darbiniekam nervu sistēma pavāja. 

Tieši tā, visiem jau nav juridiskā izglītība šūpulī ielikta, es personīgi arī negribētu par to pārliecināties, lai nekļūtu par pirmo šajā meklētāja sarakstā. ? 

Link to comment
Share on other sites

  • 3 months later...
uldii12345

Nedaudz par citu tēmu, gribu izburties ar vpn tuneli, ļoti nevajag, intereses pēc. Ir man ruteris A ar lokālajām ip 192.168.89.0/24 un statisku publisko ip. Ir otrs B bez publiskas ip, ar lokālajām adresēm 192.168.100.0/24

Uz routera A ir L2TP serveris, VPN pool 192.168.90.0/24 uz B klients, kas saņem 192.168.90.40 Savienojums izveidojās. Abiem routeriem savā starpā ping ir no abām pusēm. Izveidoju routes caur l2tp, veidoju mangles, bet nepakam no datora, kas pieslēgts pie routera A  nevaru nopingot routeri B, nekādu ierīci aiz routera B

Link to comment
Share on other sites

manuprāt tas strādāja tā, ka pašam VPNam A pusē ieliec statiskās adreses. tad mangle attiecīgo trafiku + papildus rūte pēc mangle uz konkrēto VPNa statisko adresi. nu un protams arī  maskarāde uz VPNa subnetu ar attiecīgo out interfeisu

Link to comment
Share on other sites

pirms 2 stundām , uldii12345 teica:

Izveidoju routes caur l2tp

Routes jāsaliek abos galos. Un vēl ja pingo win datoru, tad tiem ir tieksme neatbildēt uz pingiem no cita subneta.

Link to comment
Share on other sites

Jā. vēl - VPN pool nav lielas vajadzības taisīt, ja savienoti tiek konkrēti mikrotik rūteri.

Servera galā izveidot jaunu "Secrets" , kurā ierakstīt konkrētās Remote un Local IP,  kuras atškiras no lokālajām IP adresēm.

Un maršrutus ierakstīt abos galos.

 

Labots - mafijs
Link to comment
Share on other sites

masquerade

pirms 3 stundām , uldii12345 teica:

Nedaudz par citu tēmu, gribu izburties ar vpn tuneli, ļoti nevajag, intereses pēc

servera pusē  uz bridge_vlan_ID_10 - lokālās IP adreses servera pusē, tavā piemērā 192.168.89.0/24

/ppp profile
add bridge=bridge_vlan_ID_10 change-tcp-mss=yes comment="konfguracija L2TP tunelim" name=L2TP

/ppp secret
add comment="Home tunelis" local-address=10.90.0.12 name=nosaukums password=parole profile=L2TP remote-address=10.90.0.13 service=l2tp
/ip route
add comment="Route uz majas tiklu" distance=1 dst-address=192.168.100.0/24 gateway=10.90.0.13 pref-src=10.90.0.12



mājās  - 192.168.100.0/24 , tavā piemērā

/interface l2tp-client
add comment="L2TP darbs" connect-to=areja.ip.adrese disabled=no name=l2tp-out1 password=parole user=nosaukums
/ip route
add comment="Uz bridge_vlan_ID_10" distance=1 dst-address=192.168.89.0/24 gateway=10.90.0.12 pref-src=10.90.0.133

Piemirsu - NAT jābūt nevis vispārējam, bet konkrēta, kuras IP adres ir "jā_NAT_O" uz ārpusi un uz kuru interfeisu. Lai pieprasījumu uz tuneļa otru galu neietu caur NAT.  (masquerade)

Labots - mafijs
Link to comment
Share on other sites

Anonīms Alkoholiķis

Tagad jabut routeros v7

Link to comment
Share on other sites

uldii12345

Paldies par info, vienīgais uz routera A,  man nav bridges, klasiskā izpildījumā, ir vlani, ko tad norādīt ppp profilā? 

Link to comment
Share on other sites

Tad norādi vienu vlan , pie kura jātiek.  Ja jātiek pie citiem vlan, tad klienta pusē ierkstīt maršrutu līdz katram vlan subnetam.

 

Labojums - naksies uztaisīt bridžu un tajā ielikt vajadzīgo vlan, profilā nesanāks tieši vlan norādīt. Tikai bridžu.

Kaut gan - vajadzētu strādāt arī ar defaulto profilu, vismaz man strādā, tikko pārbaudīju. atkarīgs jau no pārējās konfigurācijas.

 

Labots - mafijs
Link to comment
Share on other sites

  • 1 year later...
2020.04.20. , 20:51, CosmosDC teica:

CA sertifikātam CN (common name) un SAN (subject alternative name) vienalga, jo tas ir domāts tikai citu sertifikātu apstiprināšanai lokāli.

Klienta sertifikātam arī, tikai priekš katra klienta jābūt unikālam tam tekstam, es izmantoju e-mail.

Servera sertifikātam es izmantoju DNS priekš SAN, attiecīgi no IP/Cloud tas nāk. Tas pats arī priekš CN, jo man statiskā publiskā adrese nemaz nebija pieejama.

Iekopē konfigu (hide-sensitive), savādāk te tā var rakstīt līdz nejēga. Sāc ar L2TP/IPSec konfigu serverim, tur ar defaulto template ir ļoti grūti kaut ko nepareizi izdarīt.

Atvainojos topika autoram par miroņa tramdīšanu, bet man radās jautājums... Es pareizi saprotu, ka ārējo publisko adresi pie domēna ir jāsien tikai tad, ja autorizācijai izmanto sertifikātus? Ja autorizācijai lieto PSK tad tas nav nepieciešams?

Link to comment
Share on other sites

Anonīms Alkoholiķis

Bez lielas vajadzības nepistu jebli ar pptp/ipsec/openvpn. Es liktu wireguard, jo openvpn ir LĒNS, ipsec konfigurēšana kā nagla pēcpusē, pptp ir caurs kā siets. Vienīgā problēma - wg griežas tikai uz udp un vajag svaigu ROS versiju.

 

Idejiski šitā ir ar ātrumiem.. 

https://rickfreyconsulting.com/mikrotik-vpns/

  • Patīk 1
Link to comment
Share on other sites

Wireguard protams ir štelle, bet man ir padomā IKEv2/IPSec, jo šim ir natīvs atbalsts Android un Windows. Līdz šim tīri labi strādāju ar L2TP/IPSec, bet RouterOS gadījumā ir senā problēma, kad diviem pieslēdzoties pie VPN servera ar vienādu publisko adresi, otru izmet ārā. Tāpēc es domāju par minēto un pacēlās jautājums par publiskās IP siešanu pie domēna.

Link to comment
Share on other sites

AlCohol

dhcp pool pietiek vairākiem lietotājiem?

Link to comment
Share on other sites

CosmosDC
1.07.2022. , 13:13, Guncha teica:

Es pareizi saprotu, ka ārējo publisko adresi pie domēna ir jāsien tikai tad, ja autorizācijai izmanto sertifikātus?

Divus gadus par šo biju veiksmīgi nedomājis, bet ja pareizi atceros, tad nē, tas tika darīts tāpēc, ka izmantoju Tele2 SIM karti ar standarta dinamisko publisko adresi, attiecīgi caur Mikrotik DDNS (ip/coud) uzģenerēju to stringu. Tak pamēģini abus variantus, daudz laika jau tas neaizņem, ja būtu pie rokas kāda Mikrotik LTE iekārta, apskatītos, bet, diemžēl, nav.

Tagad sāku atcerēties kaut ko - tur bija saistība ar sertifikātiem tam DNS, jā.

pirms 3 stundām , Guncha teica:

IKEv2/IPSec, jo šim ir natīvs atbalsts Android

Xiaomi ar 10 Android tāda nav, jaunākiem Androidiem ir? Kad savā laikā tas bija aktuāli, izmantoju strongSwan app. 

Labots - CosmosDC
Link to comment
Share on other sites

Anonīms Alkoholiķis

Samsungs s20 ar 12andri - ir ike

Samsungs s9 ar 10andri - arī ir ike

 

 

Wireguard ir pluss, ka tunelis nav fonā jātur vaļā (bez vajadzības jāsūta keepalive) - tunelis pats paceļas kad caur turieni kko mēģina sūtīt.

Labots - Anonīms Alkoholiķis
Link to comment
Share on other sites

Izveido kontu, vai pieraksties esošajā, lai komentētu

Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas

Izveidot jaunu kontu

Piereģistrējies un izveido jaunu kontu, tas būs viegli!

Reģistrēt jaunu kontu

Pierakstīties

Jums jau ir konts? Pierakstieties tajā šeit!

Pierakstīties tagad!
 Share

×
×
  • Izveidot jaunu...