mickys Ierakstīts Jūnijs 27, 2021 Share Ierakstīts Jūnijs 27, 2021 Meklēju palīgu, pat nedaudz samaksāt esmu gatavs. Situācija: Ir VPN serveris pie statiskas IP, viss ok, problēmu nav, datori, telefoni slēdzas klāt. (hAP ac2) Ir klients, LMT Mikrotik rūteris. Vajag, lai LMT Mikrotik rūteris dala divus WiFi - vienu kā ierasts, pa defaultu caur mobilo tīklu, bet otru Wifi, kurš iet caur VPN. Link to comment Share on other sites More sharing options...
uldise Jūnijs 27, 2021 Share Jūnijs 27, 2021 abi rūteri vienā lokācijā jeb no LMT slēdzies pie tā VPNa? Link to comment Share on other sites More sharing options...
mickys Jūnijs 27, 2021 Author Share Jūnijs 27, 2021 Viens rūteris pie normāla interneta pieslēguma dzīvoklī, otrs laukos ar LMT pieslēgumu Link to comment Share on other sites More sharing options...
uldii12345 Jūnijs 27, 2021 Share Jūnijs 27, 2021 Dzīvoklī vpn serveris uz mikrotik? Kāds mērķis tam visam? No laukiem jātiek klāt pie kādas ierīces, kas ir dzīvoklī? Link to comment Share on other sites More sharing options...
uldii12345 Jūnijs 27, 2021 Share Jūnijs 27, 2021 Ja tā, tag nevajag obligāti atsevišķu wi fi laukos. Izveido vpn klientu uz lauku lmt, kas saņem statisku vpn ip. Pie Ip routes norāda dzīvokļa subnetu un vpn kā gateway. Dzīvokļa routerī tas pats, tikai lauku subnets un gateway vpn lauku routera adrese. Link to comment Share on other sites More sharing options...
uldii12345 Jūnijs 27, 2021 Share Jūnijs 27, 2021 Var uztaisīt arī kā tu gribi, tikai tad sarežģītāka konfigurācija. Lauku lmt jāveido mangles, kas izķer 2 wi fi paketes un pie routes, jānorāda, ka tās iet caur vpn vai jāveido eoip tunelis pa virsu vpn savienojumam un tad jau būs L2 komunikācija, takā lauku routeris būtu pa taisno pieslēgts pie dzīvokļa routera, tik tas samazinās ātrumu. Link to comment Share on other sites More sharing options...
mickys Jūnijs 28, 2021 Author Share Jūnijs 28, 2021 Laukos tiek lietoti daži servisi, kas darbojas tikai konkrēta dzīvokļa operatora tīklā. Vēlme laist visu trafiku caur VPN nav. Šobrīd tas tiek risināts ar vēl vienu rūteri, pie kura slēdzas iekārtas konkrētajam pakalpojumam. Ja vari palīdzēt ar konkrētu konfiigurāciju, varam privāti sarunāt detaļas. Link to comment Share on other sites More sharing options...
AlCohol Jūnijs 28, 2021 Share Jūnijs 28, 2021 otrs bridge Link to comment Share on other sites More sharing options...
mickys Jūnijs 28, 2021 Author Share Jūnijs 28, 2021 Padomāju, ka varu tām iekārtām, kam jāiet caur VPN piešķirt statiskas IP adreses. Un tad no tām IP nākošo trafiku rūtēt caur VPN. Vai šis būtu vienkāršāks risinājums? Link to comment Share on other sites More sharing options...
uldise Jūnijs 28, 2021 Share Jūnijs 28, 2021 jebkurā gadījumā tās iekārtas būs jānošķir. vai nu liekot atsevīšķā subnetā, ar savu wifi, vai kā raksti - iedalot vienkārši statiskās adreses. un tad ar routes lieta darīta abos variantos Link to comment Share on other sites More sharing options...
mickys Jūnijs 28, 2021 Author Share Jūnijs 28, 2021 Statiskās IP noteikti būs vienkāršāk. Vari pastāstīt kurā virzienā jārok ar tām routēm? IP->Routes->Rules -> Add -> Src.Address "192.168.8.200"; Action lookup; Table -"vpn" Un tad IP->Routes->Routes -> Add -> Dst.Address "0.0.0.0/0"; Gateway <pptp-client>; Routing Mark "vpn" Tā jāstrādā? Kautkā šķiet ka ar to vien būs par maz. Šodien netieku pie iekārtas, lai notestētu. Link to comment Share on other sites More sharing options...
uldise Jūnijs 28, 2021 Share Jūnijs 28, 2021 es taisītu tā: IP/Firewall/Mangle. taisam jaunu Prerouting un filtrs pēc sourceIP, Action: Mark Routing, New Routing Mark: vpn un tad Tevis minētā otrā route. Link to comment Share on other sites More sharing options...
uldii12345 Jūnijs 28, 2021 Share Jūnijs 28, 2021 Tās iekārtas, kam būs statiskās ip, izmantosies tikai, lai piekļūtu servisiem dzīvokļa operatora tīklā? Tiem servisiem ir zināmas IP? Es pat laikam pamēģinātu eoip tuneli, ja būtu neapmierinošs ātrums, tikai tad čakarētos ar manglēm. Link to comment Share on other sites More sharing options...
mickys Jūlijs 1, 2021 Author Share Jūlijs 1, 2021 Šodien notestēju, šķiet ka sanāca. Izveidoju Routing tabulu vpn. Izveidoju Routing ierakstu 0.0.0.0/24 ar Gateway uz pptp-out1, tabulā vpn ip->Firewall->Mangle pieliku lai pievienot Routing Mark no vajadzīgās IP Routing->Rules pievienoju, lai trafikam ar Routing Mark "vpn" lookup taisa tikai vpn tabulā. Un pievienoju NAT Masquerade ruli, ja izejošais interfeiss ir pptp-out1 (par šo nesapratu, vai tas bija nepieciešams). Droši var komentēt, ko esmu izdarījis nepareizi (Rezultāts gan ir sasniegts) Link to comment Share on other sites More sharing options...
uldii12345 Jūlijs 1, 2021 Share Jūlijs 1, 2021 pptp gan neskaitās drošs, logos nav pilns ar ierakstiem, kur kāds robotiņs min paroles? Link to comment Share on other sites More sharing options...
hero Jūlijs 1, 2021 Share Jūlijs 1, 2021 pirms 1 stundas , mickys teica: Un pievienoju NAT Masquerade ruli, ja izejošais interfeiss ir pptp-out1 (par šo nesapratu, vai tas bija nepieciešams). Ja ir uzlikts s-nat=masquerade, tad visas konekcijas no 'remote' ofisa, tavs mājas ofiss redzēs kā vienu ip adresi jo tu pats redzēji, ka tiek maskēts ar pptp-out1 tuneļa adresi - (tas ne vienmēr ir labi jo neredz oriģinālo sourci). Bonuss ir tāds, ka tev centrālajā rūterī nevajag atpakaļ routi rakstīt uz 'remote ofisa' Lan tīklu caur pptp tuneli. Ja noņemsi snat, tad centra rūterī vajadzēs routing ierakstu uz 'remote ofisa LAN tīklu'uz pptp tuneļa pusi. pirms 1 stundas , mickys teica: zveidoju Routing ierakstu 0.0.0.0/24 ar Gateway uz pptp-out1, tabulā vpn kāpēc /24? default route aprakstās ar 0.0.0.0/0 Link to comment Share on other sites More sharing options...
mickys Jūlijs 2, 2021 Author Share Jūlijs 2, 2021 pirms 8 stundām , hero teica: kāpēc /24? default route aprakstās ar 0.0.0.0/0 Taisnība, kļūdījos pierakstot tagad. Par Masquerade tad sapratu, ka viss ir ok. Redzēt no kura klienta nāk konekcija nav aktuāli. pirms 8 stundām , uldii12345 teica: pptp gan neskaitās drošs, logos nav pilns ar ierakstiem, kur kāds robotiņs min paroles? Jā, par šo zinu. Plānoju nomainīt, bet nav sanācis pieķerties. Kas tagad skaitās īstais variants uz ko pāriet? Jādarbojas ar Android, Windows un Mikrotik klientiem bez speciālu aplikāciju instalācijas. Link to comment Share on other sites More sharing options...
uldii12345 Jūlijs 2, 2021 Share Jūlijs 2, 2021 l2tp ar ipesec Link to comment Share on other sites More sharing options...
uldise Jūlijs 2, 2021 Share Jūlijs 2, 2021 pirms 1 stundas , mickys teica: Jādarbojas ar Android, Windows un Mikrotik šī varētu būt šaurā vieta, ka vienam ir jāatbalsta visi l2tp/ipsec - ir ok, bet nu čakars uzstādīšanā garantēts. ja tiešām vajag visiem vienu, tad ROS7, kas protams ir beta joprojām, un tur Wireguard. es laikam dalītu - Mikrotiks lai iet ar Ipsec, pārējiem kautko modernāku/vienkāršāk uzliekamu - bet nu tad tas prasa papildus čakaru arī servera galā ar visa salikšanu. man pašam vienu no VPNiem nodrošina pfsense, kas ir tīkla iekšpusē uz virtuālās mašīnas - tas kā variants. Link to comment Share on other sites More sharing options...
Anonīms Alkoholiķis Jūlijs 2, 2021 Share Jūlijs 2, 2021 (labots) Raspberry pi 4 ļoti labi strādā kā ssh, wireguard vai openvpn serveris. Labots Jūlijs 2, 2021 - Anonīms Alkoholiķis 1 Link to comment Share on other sites More sharing options...
mickys Jūlijs 2, 2021 Author Share Jūlijs 2, 2021 Pirms 42 minūtēm , uldise teica: ja tiešām vajag visiem vienu, tad ROS7, kas protams ir beta joprojām, un tur Wireguard Kā ir ar ātrumiem šim variantam? Mikrotik laikam IPsec šifrēšanu atbasta dzelžu līmenī? Link to comment Share on other sites More sharing options...
uldise Jūlijs 2, 2021 Share Jūlijs 2, 2021 Pirms 6 minūtēm , mickys teica: Mikrotik laikam IPsec šifrēšanu atbasta dzelžu līmenī? jā, bet ne visām iekārtām. aprakstā būs rakstīts. citādi viss caur CPU.. Link to comment Share on other sites More sharing options...
mickys Jūlijs 2, 2021 Author Share Jūlijs 2, 2021 pirms 8 stundām , uldise teica: l2tp/ipsec - ir ok, bet nu čakars uzstādīšanā garantēts. Aizdomīgi viegli uzstādījās, pēc Mikrotik instrukcijas. Izmantu tos pašus pptp servera Secrets un ip_pool. Kur ir āķis, kāpēc uzstādīšanai bija jābūt čakarīgai? Link to comment Share on other sites More sharing options...
uldise Jūlijs 2, 2021 Share Jūlijs 2, 2021 uz Mikrotik jā, pamēģini, cik viegli ir uz Windows piemēram.. Link to comment Share on other sites More sharing options...
Net Jūlijs 2, 2021 Share Jūlijs 2, 2021 (labots) 1 stundu atpakaļ, mickys teica: Kur ir āķis, kāpēc uzstādīšanai bija jābūt čakarīgai? Nu Ipsec būs mazliet sarežģītāk configojams, nekā PPTP. Te rodas jautājums, vai šī aktīvā konekcija, kas tev tur izveidojās, ir šifrēta vismaz ar AES128bit? Tu beigās izveidoji tuneli starp šiem objektiem vai L2tp savienojumu?Vai vispār pptp? Labots Jūlijs 2, 2021 - Net Link to comment Share on other sites More sharing options...
mickys Jūlijs 2, 2021 Author Share Jūlijs 2, 2021 pirms 5 stundām , uldise teica: uz Mikrotik jā, pamēģini, cik viegli ir uz Windows piemēram.. Neredzu āķi joprojām. Win10 ar iebūvēto visu tiek galā bez problēmām. pirms 4 stundām , Net teica: ir šifrēta vismaz ar AES128bit? 1 Link to comment Share on other sites More sharing options...
Net Jūlijs 3, 2021 Share Jūlijs 3, 2021 (labots) Ja izveidoji l2tp ipsec, tad kas tev uzrādas šeit? Ir encrypt vismaz aes128? Labots Jūlijs 3, 2021 - Net Link to comment Share on other sites More sharing options...
Guncha Jūlijs 3, 2021 Share Jūlijs 3, 2021 (labots) 2021.07.2. , 07:43, mickys teica: Kā ir ar ātrumiem šim variantam? Mikrotik laikam IPsec šifrēšanu atbasta dzelžu līmenī? Jebkuram Mikrotik CCR sērijas dzelzim ir IPsec hardware acceleration, bet tas ir relatīvi dārgais gals un visticamāk, ka Tavā gadījumā būs kā ar lielgabalu pa zvirbuļiem. No budžetniekiem, cik pētīju, šiem diviem ir IPsec hardware acceleration un vajadzētu būt gana spējīgiem. Bija vēl kkādi divi ar wireless, bet modeļus uzreiz precīzi neatceros. Ja vajag pieslēgt optiku ar SFP un/vai PoE out, tad šis: https://mikrotik.com/product/hex_s Ja tās lietas nevajag, tad šis: https://mikrotik.com/product/RB750Gr3 Labots Jūlijs 3, 2021 - Guncha Link to comment Share on other sites More sharing options...
mickys Jūlijs 3, 2021 Author Share Jūlijs 3, 2021 Dzīvoklī hap ac2 Citēt and device supports IPsec hardware acceleration Link to comment Share on other sites More sharing options...
uldii12345 Jūlijs 3, 2021 Share Jūlijs 3, 2021 Šim arī ir hardware . Ar konfigu tagad ari nav problēmu, gan mikrotik, gan windows, gan android. Man gan ar ipesec parasti ir jūtami mazāks ātrums ar defaulto config, kas manām vajadzībām nav būtiski Link to comment Share on other sites More sharing options...
mickys Jūlijs 8, 2021 Author Share Jūlijs 8, 2021 Visa ņemšanās vēl nav līdz galam beigusies. Pārgāju uz L2TP/IPSec. Problēma - bezVPN konekcija 30-40Mbits download. Caur VPN konekcija, pārstartējot klienta rūteri - Apmēram tas pats. Pēc kāda laika, nokrīt uz 3-5Mbits. Pagaidām nav izdevies izpētīt vairāk, cik ilgs laiks paiet, vai kādi citi nosacījumi. Link to comment Share on other sites More sharing options...
mickys Augusts 27, 2021 Author Share Augusts 27, 2021 (labots) Sakarā ar pēdējo ierakstu, problēma šķiet bija niecīgajā upload - 0,5Mbit/s. Jo speedtest mērījums 40Mbit/s down, 0,5Mbit/s up bija norma, kamēr netika pārregulēta āra antena. Pie normāla Uploada, arī downloads caur VPN normāls. Jauna problēmiņa. VPN servera pusē 192.168.0.0/24, klienta pusē 192.168.8.0/24. No klienta, pie adresēm 192.168.0.0/24 tiek (uzlikta route), no servera puses pie 192.168.8.0/24 netiek, Liku Routi, Dst. address: 192.168.8.0/24, GW: l2tp-in1 (kas statiska, atbilstoša klientam), nepalīdz. edit: Ar routēm viss kārtībā, vaina bija gala iekārtā, kas nepieņēma pieprasījumus no citiem subnetiem. Labots Augusts 28, 2021 - mickys Link to comment Share on other sites More sharing options...
Recommended Posts
Izveido kontu, vai pieraksties esošajā, lai komentētu
Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas
Izveidot jaunu kontu
Piereģistrējies un izveido jaunu kontu, tas būs viegli!
Reģistrēt jaunu kontuPierakstīties
Jums jau ir konts? Pierakstieties tajā šeit!
Pierakstīties tagad!