HELP Mikrotik L2TP IPSec Tunelis (road warrior)

[MR_Sample]

Sveiki vai ir kāds Mikrotik guru kas var man palīdzēt ?

Tātad ir RB411AH ar STATISKO IP  ka VPN serveris L2TP IPSec un SXT LTE 6 kā klients kas darbojas ar mobilo tīklu tātad aiz CGNAT . (LMT)

Tunelis savienojas un izveido phas2 savienojumu bet nevaru nopingot kameru kas piesprausta pie SXT LTE vai ari pašu SXT LTE 

RB411AH pusē nav neviena firewall rūla.

 

 

 

 

 

[uldise]

sāc ar to, ka pašam SXT atļauj pingu no ārpuses.

[ruukjis]

Pirms 57 minūtēm , uldise teica:

sāc ar to, ka pašam SXT atļauj pingu no ārpuses.

Kāpēc? Tev ir tunelis - pings ir tunelī. Teorētiski nevienam FW rūlim nevajadzētu ietektmēt trafiku. Ne? Esmu taisījies n-tos site-to-site tuneļus un nekad nav bijuši vajadzīgi speciāli rūļi Mikrotik pusē, lai laistu pingu cauri.

 

@MR_Sample

Vai pings ir vienīgais, kas neiet cauri? Vai vari kameru sapingot no paša rūtera. Vai caur tuneli tiec klāt SXT?

Labots Marts 11, 2021 - ruukjis

[uldise]

es tikai ieteicu veidu, kā pamēģināt. kā mēs varam zināt, kas tur vēl ir salikti par aizliegumiem? kristālā bumba man nav/nemāku..

[MR_Sample]

@ruukjis man nekas neiet cauri,bet kamera ir piesprausta pie SXT uz otra porta (protams no SXT varu sapingot kameru un tikt viņai klāt)

caur tuneli netieku klāt ari SXT

@uldise Ka jau minēju ir RB411AH (VPN SERVERIS) firewalls ir tukš nav neviena aizlieguma.

SXT firewall ir standarta kas ir kopā ar default konfigurāciju

 

[Net]

1) abos galos visamz default rules saliec, lai trafiks stabīli skraida

2) srcNat abos galos....Kas atrodas virs Masquarade

3) routes abos galos ( video gan es to nemanīju, bet to vajag..)

Mikrotik vpn

Ja būs vajadzība izmantot tikai L2tp ''iezvanu'' lai tiktu pie kameras, nevis pastāvīga tunnel opcija, tad uz šī te Sxt uzkonfigurejam L2tp serveri un viss. Atkarīgs no konfgurācijas protams, bet LAN vai Bridge portam ir jānorāda proxy-arp opcija, citadi neredzēsi iekšējās tīkla iekārtas. Ja galīgi nekas neizdodas, uzmet PM, piepalīdzēšu

Labots Marts 11, 2021 - Net

[uldii12345]

Kāds ir vpn servera konfigs? Vpn liec atsevišķu pool, piemēram 192.168.10.2-192.168.100. PPP pie profiliem local liec 192.168.10.1, remote norādi izveidoto pool. Pie secrerts vari izveidot universālo, kur  norādi username un paroli un izveidoto profilu, tad ierīcēm kas pieslēdzas, būs automātiski adreses. Ja izmanto vpn tikai konekcijai ar stx, tad izveido secret ar username un pasword, local norādi 192.168.10.1, remote192.168.10.101. 

Tad, piemēram galvenajā routerī ir adrešu apgabals 192.168.1.0/24, stx 192.168.2.0/24

Izveido routes galvenajā routerī dst adress 192.168.2.0/24, gateway 192.168.10.101

STX routes dst adress 192.168.1.0/24 gateway 192.168.10.1

 

Nekādus maskarade papildus nevajag. Maskarade vajag ja galvenajā routerī un stx būtu vienādas lokālās adreses.

 

 

[uldii12345]

Ātrumā paskatījos Net ielikto video, tas ir ipesec tunelim, l2ipesec, ir vienkāršāks, tur nevajag pa lielam pie ipesec neko mainīt, strādā ar defaulto configu

[Net]

Nu jaa, es tur biš pa daudz info iemetu

Ja ir vajadzība piekļūt tikai šai te kamerai, kas dzīvo aiz SXT. tad uz šī te Sxt vpn serveris un viss. Nav nekādas vajadzības abos galos kaut ko tjūnēt. Uz parasta PC vai telefona izveidojam l2tp setup un viss.

Labots Marts 11, 2021 - Net

[MR_Sample]

Laikam mana kļūda IET RUNA PAR SXT LTE6 

Lai būtu skaidrība runa iet kad uz SXT LTE6   stāv LMT simkarte kurai nav ne dinamiskā ne statiskā ip adrese bet gan viņu pašu iekšēja ip kas ir mainīga (DHCP) ko parasti apzīmē ar terminu Carrier grade nat vai CGNAT 

Labots Marts 11, 2021 - MR_Sample

[uldii12345]

Es sapratu par stx pusi. Jautājums par vpn serveri. Katrā ziņā, lai pasākums strādātu, dažādas lan adreses abās pusēs. Vpn tunelis, pie ip routes norādam, kā iepriekš rakstīju un būs saziņa.

[ruukjis]

Oook, tad es esmu pārsteigts, ka tu vispār tiec līdz Phase2. Man nekad nav izdevies uztaisīt sakarīgu tuneli starp CGNAT adresi, es vienmēr visiem operātoriem esmu prasījis statisku IP. 

[uldii12345]

Tikko notestēju tādu konfigu, tikai izmantojot open vpn. Interesanti, ka vindows dators, kas pieslēgts aiz stx, pingo visas ierīces aiz vpn servera mikrotika, bet pingojot no iekārtām aiz vpn servera, nepingojas. Pieslēdzot aiz stx citu mikrotiku, tas pingojas. no vpn servera routera puses.

Pirms 4 minūtēm , ruukjis teica:

Oook, tad es esmu pārsteigts, ka tu vispār tiec līdz Phase2. Man nekad nav izdevies uztaisīt sakarīgu tuneli starp CGNAT adresi, es vienmēr visiem operātoriem esmu prasījis statisku IP. 

Vpn klients jau var pieslēgties pie servera arī ja pašam nav pubilska ip adrese. Cita lieta, ja operators bloķē konkrētus portus. 

[ruukjis]

Pirms 5 minūtēm , uldii12345 teica:

Vpn klients jau var pieslēgties pie servera arī ja pašam nav pubilska ip adrese. Cita lieta, ja operators bloķē konkrētus portus

Jā, bet LMT CGNAT iet caur Sibīriju un pusi trafika apēd ziemeļbrieži. Tā kā, ja tavs APN ir internet.lmt.lv - tu esi mēslos un stabils tunelis būs retāks par vienradžiem.

[uldii12345]

tas cits stāsts, bet ja upload labs, vai tad nav cik lietojams?

[MR_Sample]

3 hours ago, ruukjis said:

Jā, bet LMT CGNAT iet caur Sibīriju un pusi trafika apēd ziemeļbrieži. Tā kā, ja tavs APN ir internet.lmt.lv - tu esi mēslos un stabils tunelis būs retāks par vienradžiem.

Nu iet diezgan stabili neskaitot to ka sxt iet caur logu un varu nopingot tuņeļa ip ķipa 192.168.89.255  pats tunelis itkā ir 192.168.89.1-192.168.89.255  ķipa 192.168.89.0/24

 

[uldii12345]

Saliki, kā es tev teicu, šis tavs screeens neko neizsaka. Kā ir nokonfigurētas vpn adreses, atšķiras no lokālajām? Ieliec normāli visu konfigu, jābūt konfigurācijai, lai stx saņemtu statisku vpn adresi un vpn subnetam ir jāatšķirās no lan. 

[CosmosDC]

Kā jau @uldii12345 rakstīja (bet tas veiksmīgi pazuda viņa "palagā") - ieliec maršrutēšanas tabulā abos galos attiecīgas routes un viss tev aizies. Un tā kā tiek veidots site-to-site VPN, netaisi nekādu pool, bet tās tuneļa gala adreses pie secrets ievadi (nenāksies jāties ar bindingiem, lai pēc tam konkrēto adresi ieliktu maršrutēšanas tabulā).