Jump to content

Mikrotik WiFi VPN


mickys
 Share

Recommended Posts

Meklēju palīgu, pat nedaudz samaksāt esmu gatavs.

Situācija: Ir VPN serveris pie statiskas IP, viss ok, problēmu nav, datori, telefoni slēdzas klāt. (hAP ac2)
Ir klients, LMT Mikrotik rūteris.

Vajag, lai LMT Mikrotik rūteris dala divus WiFi - vienu kā ierasts, pa defaultu caur mobilo tīklu, bet otru Wifi, kurš iet caur VPN.

Link to comment
Share on other sites

Viens rūteris pie normāla interneta pieslēguma dzīvoklī, otrs laukos ar LMT pieslēgumu

Link to comment
Share on other sites

uldii12345

Dzīvoklī vpn serveris uz mikrotik? Kāds mērķis tam visam? No laukiem jātiek klāt pie kādas ierīces, kas ir dzīvoklī? 

Link to comment
Share on other sites

uldii12345

Ja tā, tag nevajag obligāti atsevišķu wi fi laukos. Izveido vpn klientu uz lauku lmt, kas saņem statisku vpn ip. Pie Ip routes norāda dzīvokļa subnetu un vpn kā gateway. Dzīvokļa routerī tas pats, tikai lauku subnets un gateway vpn lauku routera adrese. 

Link to comment
Share on other sites

uldii12345

Var uztaisīt arī kā tu gribi, tikai tad sarežģītāka konfigurācija. Lauku lmt jāveido mangles, kas izķer 2 wi fi paketes un pie routes, jānorāda, ka tās iet caur vpn vai jāveido eoip tunelis pa virsu vpn savienojumam un tad jau būs L2 komunikācija, takā lauku routeris būtu pa taisno pieslēgts pie dzīvokļa routera, tik tas samazinās ātrumu. 

Link to comment
Share on other sites

Laukos tiek lietoti daži servisi, kas darbojas tikai konkrēta dzīvokļa operatora tīklā.

Vēlme laist visu trafiku caur VPN nav.

 

Šobrīd tas tiek risināts ar vēl vienu rūteri, pie kura slēdzas iekārtas konkrētajam pakalpojumam. 

 

Ja vari palīdzēt ar konkrētu konfiigurāciju, varam privāti sarunāt detaļas.

Link to comment
Share on other sites

Padomāju, ka varu tām iekārtām, kam jāiet caur VPN piešķirt statiskas IP adreses. 

Un tad no tām IP nākošo trafiku rūtēt caur VPN.

 

Vai šis būtu vienkāršāks risinājums?

Link to comment
Share on other sites

jebkurā gadījumā tās iekārtas būs jānošķir. vai nu liekot atsevīšķā subnetā, ar savu wifi, vai kā raksti - iedalot vienkārši statiskās adreses.

un tad ar routes lieta darīta abos variantos 

 

Link to comment
Share on other sites

Statiskās IP noteikti būs vienkāršāk. 

Vari pastāstīt kurā virzienā jārok ar tām routēm?

IP->Routes->Rules -> Add -> Src.Address "192.168.8.200"; Action lookup; Table -"vpn"

Un tad

IP->Routes->Routes -> Add -> Dst.Address "0.0.0.0/0"; Gateway <pptp-client>; Routing Mark "vpn

 

Tā jāstrādā? Kautkā šķiet ka ar to vien būs par maz.

Šodien netieku pie iekārtas, lai notestētu.

Link to comment
Share on other sites

es taisītu tā:

IP/Firewall/Mangle. taisam jaunu Prerouting un filtrs pēc sourceIP, Action: Mark Routing, New Routing Mark: vpn

un tad Tevis minētā otrā route.

Link to comment
Share on other sites

uldii12345

Tās iekārtas, kam būs statiskās ip, izmantosies tikai, lai piekļūtu servisiem dzīvokļa operatora tīklā? 

Tiem servisiem ir zināmas IP? 

 

Es pat laikam pamēģinātu eoip tuneli, ja būtu neapmierinošs ātrums, tikai tad čakarētos ar manglēm. 

Link to comment
Share on other sites

mickys

Šodien notestēju, šķiet ka sanāca. 

Izveidoju Routing tabulu vpn.

Izveidoju Routing ierakstu 0.0.0.0/24 ar Gateway uz pptp-out1, tabulā vpn

ip->Firewall->Mangle pieliku lai pievienot Routing Mark no vajadzīgās IP

Routing->Rules pievienoju, lai trafikam ar Routing Mark "vpn" lookup taisa tikai vpn tabulā.

 

Un pievienoju NAT Masquerade ruli, ja izejošais interfeiss ir pptp-out1 (par šo nesapratu, vai tas bija nepieciešams).

 

Droši var komentēt, ko esmu izdarījis nepareizi (Rezultāts gan ir sasniegts)

Link to comment
Share on other sites

uldii12345

pptp gan neskaitās drošs, logos nav pilns ar ierakstiem, kur kāds robotiņs min paroles? 

Link to comment
Share on other sites

pirms 1 stundas , mickys teica:

Un pievienoju NAT Masquerade ruli, ja izejošais interfeiss ir pptp-out1 (par šo nesapratu, vai tas bija nepieciešams).

Ja ir uzlikts s-nat=masquerade, tad visas konekcijas no 'remote' ofisa, tavs mājas ofiss redzēs kā vienu ip adresi jo tu pats redzēji, ka tiek maskēts ar pptp-out1 tuneļa adresi - (tas ne vienmēr ir labi jo neredz oriģinālo sourci).

Bonuss ir tāds, ka tev centrālajā rūterī nevajag atpakaļ routi rakstīt uz 'remote ofisa' Lan tīklu caur pptp tuneli.

Ja noņemsi snat, tad centra rūterī vajadzēs routing ierakstu uz 'remote ofisa LAN tīklu'uz pptp tuneļa pusi.

 

 

 

 

pirms 1 stundas , mickys teica:

zveidoju Routing ierakstu 0.0.0.0/24 ar Gateway uz pptp-out1, tabulā vpn

kāpēc /24?   default route aprakstās ar 0.0.0.0/0 

 

 

 

Link to comment
Share on other sites

mickys
pirms 8 stundām , hero teica:

kāpēc /24?   default route aprakstās ar 0.0.0.0/0

Taisnība, kļūdījos pierakstot tagad. 

Par Masquerade tad sapratu, ka viss ir ok. Redzēt no kura klienta nāk konekcija nav aktuāli.

 

pirms 8 stundām , uldii12345 teica:

pptp gan neskaitās drošs, logos nav pilns ar ierakstiem, kur kāds robotiņs min paroles? 

Jā, par šo zinu. Plānoju nomainīt, bet nav sanācis pieķerties. 

Kas tagad skaitās īstais variants uz ko pāriet? Jādarbojas ar Android, Windows un Mikrotik klientiem bez speciālu aplikāciju instalācijas.

Link to comment
Share on other sites

uldise
pirms 1 stundas , mickys teica:

Jādarbojas ar Android, Windows un Mikrotik

šī varētu būt šaurā vieta, ka vienam ir jāatbalsta visi

l2tp/ipsec - ir ok, bet nu čakars uzstādīšanā garantēts.

ja tiešām vajag visiem vienu, tad ROS7, kas protams ir beta joprojām, un tur Wireguard.

 

es laikam dalītu - Mikrotiks lai iet ar Ipsec, pārējiem kautko modernāku/vienkāršāk uzliekamu - bet nu tad tas prasa papildus čakaru arī servera galā ar visa salikšanu.

 

man pašam vienu no VPNiem nodrošina pfsense, kas ir tīkla iekšpusē uz virtuālās mašīnas - tas kā variants.

Link to comment
Share on other sites

Anonīms Alkoholiķis
Posted (edited)

Raspberry pi 4 ļoti labi strādā kā ssh, wireguard vai openvpn serveris.

Edited by Anonīms Alkoholiķis
  • Patīk 1
Link to comment
Share on other sites

mickys
Pirms 42 minūtēm , uldise teica:

ja tiešām vajag visiem vienu, tad ROS7, kas protams ir beta joprojām, un tur Wireguard

Kā ir ar ātrumiem šim variantam? Mikrotik laikam IPsec šifrēšanu atbasta dzelžu līmenī?

Link to comment
Share on other sites

uldise
Pirms 6 minūtēm , mickys teica:

Mikrotik laikam IPsec šifrēšanu atbasta dzelžu līmenī?

jā, bet ne visām iekārtām. aprakstā būs rakstīts. citādi viss caur CPU..

Link to comment
Share on other sites

mickys

 

pirms 8 stundām , uldise teica:

l2tp/ipsec - ir ok, bet nu čakars uzstādīšanā garantēts.

Aizdomīgi viegli uzstādījās, pēc Mikrotik instrukcijas.

Izmantu tos pašus pptp servera Secrets un ip_pool.

 

Kur ir āķis, kāpēc uzstādīšanai bija jābūt čakarīgai?

Link to comment
Share on other sites

Posted (edited)
1 stundu atpakaļ, mickys teica:

Kur ir āķis, kāpēc uzstādīšanai bija jābūt čakarīgai?

Nu Ipsec būs mazliet sarežģītāk configojams, nekā PPTP. Te rodas jautājums, vai šī aktīvā konekcija, kas tev tur izveidojās, ir šifrēta vismaz ar AES128bit?

Tu beigās izveidoji tuneli starp šiem objektiem vai L2tp savienojumu?Vai vispār pptp?

Edited by Net
Link to comment
Share on other sites

mickys
pirms 5 stundām , uldise teica:

uz Mikrotik jā, pamēģini, cik viegli ir uz Windows piemēram..

 

Neredzu āķi joprojām. Win10 ar iebūvēto visu tiek galā bez problēmām.

pirms 4 stundām , Net teica:

ir šifrēta vismaz ar AES128bit?

image.png.957d60cfcb61dee5ba2852716b08b281.png

  • Patīk 1
Link to comment
Share on other sites

Posted (edited)

Ja izveidoji l2tp ipsec, tad kas tev uzrādas šeit? Ir encrypt vismaz aes128?

 

image.png.8a35de75bd34db9a44c609d35952a51d.png

Edited by Net
Link to comment
Share on other sites

Guncha
Posted (edited)
2021.07.2. , 07:43, mickys teica:

Kā ir ar ātrumiem šim variantam? Mikrotik laikam IPsec šifrēšanu atbasta dzelžu līmenī?

Jebkuram Mikrotik CCR sērijas dzelzim ir IPsec hardware acceleration, bet tas ir relatīvi dārgais gals un visticamāk, ka Tavā gadījumā būs kā ar lielgabalu pa zvirbuļiem. No budžetniekiem, cik pētīju, šiem diviem ir IPsec hardware acceleration un vajadzētu būt gana spējīgiem. Bija vēl kkādi divi ar wireless, bet modeļus uzreiz precīzi neatceros.

 

Ja vajag pieslēgt optiku ar SFP un/vai PoE out, tad šis:

https://mikrotik.com/product/hex_s


Ja tās lietas nevajag, tad šis:

https://mikrotik.com/product/RB750Gr3

 

Edited by Guncha
Link to comment
Share on other sites

mickys

Dzīvoklī hap ac2

Citēt

and device supports IPsec hardware acceleration

 

Link to comment
Share on other sites

uldii12345

Šim arī ir hardware . Ar konfigu tagad ari nav problēmu, gan mikrotik, gan windows, gan android. Man gan ar ipesec parasti ir jūtami mazāks ātrums ar defaulto config, kas manām vajadzībām nav būtiski

Link to comment
Share on other sites

mickys

Visa ņemšanās vēl nav līdz galam beigusies.

 

Pārgāju uz L2TP/IPSec. Problēma - bezVPN konekcija 30-40Mbits download.

Caur VPN konekcija, pārstartējot klienta rūteri - Apmēram tas pats. Pēc kāda laika, nokrīt uz 3-5Mbits.

Pagaidām nav izdevies izpētīt vairāk, cik ilgs laiks paiet, vai kādi citi nosacījumi.

Link to comment
Share on other sites

  • 1 month later...
Posted (edited)

Sakarā ar pēdējo ierakstu, problēma šķiet bija niecīgajā upload - 0,5Mbit/s. 

Jo speedtest mērījums 40Mbit/s down, 0,5Mbit/s up bija norma, kamēr netika pārregulēta āra antena. 

Pie normāla Uploada, arī downloads caur VPN normāls.

 

Jauna problēmiņa. 

VPN servera pusē 192.168.0.0/24, klienta pusē 192.168.8.0/24.

No klienta, pie adresēm 192.168.0.0/24 tiek (uzlikta route), no servera puses pie 192.168.8.0/24 netiek,

Liku Routi, Dst. address: 192.168.8.0/24, GW: l2tp-in1 (kas statiska, atbilstoša klientam), nepalīdz.

 

edit: Ar routēm viss kārtībā, vaina bija gala iekārtā, kas nepieņēma pieprasījumus no citiem subnetiem.

Edited by mickys
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...