Jump to content

Mikrotik WiFi VPN


mickys
 Share

Recommended Posts

Meklēju palīgu, pat nedaudz samaksāt esmu gatavs.

Situācija: Ir VPN serveris pie statiskas IP, viss ok, problēmu nav, datori, telefoni slēdzas klāt. (hAP ac2)
Ir klients, LMT Mikrotik rūteris.

Vajag, lai LMT Mikrotik rūteris dala divus WiFi - vienu kā ierasts, pa defaultu caur mobilo tīklu, bet otru Wifi, kurš iet caur VPN.

Link to comment
Share on other sites

Viens rūteris pie normāla interneta pieslēguma dzīvoklī, otrs laukos ar LMT pieslēgumu

Link to comment
Share on other sites

uldii12345

Dzīvoklī vpn serveris uz mikrotik? Kāds mērķis tam visam? No laukiem jātiek klāt pie kādas ierīces, kas ir dzīvoklī? 

Link to comment
Share on other sites

uldii12345

Ja tā, tag nevajag obligāti atsevišķu wi fi laukos. Izveido vpn klientu uz lauku lmt, kas saņem statisku vpn ip. Pie Ip routes norāda dzīvokļa subnetu un vpn kā gateway. Dzīvokļa routerī tas pats, tikai lauku subnets un gateway vpn lauku routera adrese. 

Link to comment
Share on other sites

uldii12345

Var uztaisīt arī kā tu gribi, tikai tad sarežģītāka konfigurācija. Lauku lmt jāveido mangles, kas izķer 2 wi fi paketes un pie routes, jānorāda, ka tās iet caur vpn vai jāveido eoip tunelis pa virsu vpn savienojumam un tad jau būs L2 komunikācija, takā lauku routeris būtu pa taisno pieslēgts pie dzīvokļa routera, tik tas samazinās ātrumu. 

Link to comment
Share on other sites

Laukos tiek lietoti daži servisi, kas darbojas tikai konkrēta dzīvokļa operatora tīklā.

Vēlme laist visu trafiku caur VPN nav.

 

Šobrīd tas tiek risināts ar vēl vienu rūteri, pie kura slēdzas iekārtas konkrētajam pakalpojumam. 

 

Ja vari palīdzēt ar konkrētu konfiigurāciju, varam privāti sarunāt detaļas.

Link to comment
Share on other sites

Padomāju, ka varu tām iekārtām, kam jāiet caur VPN piešķirt statiskas IP adreses. 

Un tad no tām IP nākošo trafiku rūtēt caur VPN.

 

Vai šis būtu vienkāršāks risinājums?

Link to comment
Share on other sites

jebkurā gadījumā tās iekārtas būs jānošķir. vai nu liekot atsevīšķā subnetā, ar savu wifi, vai kā raksti - iedalot vienkārši statiskās adreses.

un tad ar routes lieta darīta abos variantos 

 

Link to comment
Share on other sites

Statiskās IP noteikti būs vienkāršāk. 

Vari pastāstīt kurā virzienā jārok ar tām routēm?

IP->Routes->Rules -> Add -> Src.Address "192.168.8.200"; Action lookup; Table -"vpn"

Un tad

IP->Routes->Routes -> Add -> Dst.Address "0.0.0.0/0"; Gateway <pptp-client>; Routing Mark "vpn

 

Tā jāstrādā? Kautkā šķiet ka ar to vien būs par maz.

Šodien netieku pie iekārtas, lai notestētu.

Link to comment
Share on other sites

es taisītu tā:

IP/Firewall/Mangle. taisam jaunu Prerouting un filtrs pēc sourceIP, Action: Mark Routing, New Routing Mark: vpn

un tad Tevis minētā otrā route.

Link to comment
Share on other sites

uldii12345

Tās iekārtas, kam būs statiskās ip, izmantosies tikai, lai piekļūtu servisiem dzīvokļa operatora tīklā? 

Tiem servisiem ir zināmas IP? 

 

Es pat laikam pamēģinātu eoip tuneli, ja būtu neapmierinošs ātrums, tikai tad čakarētos ar manglēm. 

Link to comment
Share on other sites

Šodien notestēju, šķiet ka sanāca. 

Izveidoju Routing tabulu vpn.

Izveidoju Routing ierakstu 0.0.0.0/24 ar Gateway uz pptp-out1, tabulā vpn

ip->Firewall->Mangle pieliku lai pievienot Routing Mark no vajadzīgās IP

Routing->Rules pievienoju, lai trafikam ar Routing Mark "vpn" lookup taisa tikai vpn tabulā.

 

Un pievienoju NAT Masquerade ruli, ja izejošais interfeiss ir pptp-out1 (par šo nesapratu, vai tas bija nepieciešams).

 

Droši var komentēt, ko esmu izdarījis nepareizi (Rezultāts gan ir sasniegts)

Link to comment
Share on other sites

uldii12345

pptp gan neskaitās drošs, logos nav pilns ar ierakstiem, kur kāds robotiņs min paroles? 

Link to comment
Share on other sites

pirms 1 stundas , mickys teica:

Un pievienoju NAT Masquerade ruli, ja izejošais interfeiss ir pptp-out1 (par šo nesapratu, vai tas bija nepieciešams).

Ja ir uzlikts s-nat=masquerade, tad visas konekcijas no 'remote' ofisa, tavs mājas ofiss redzēs kā vienu ip adresi jo tu pats redzēji, ka tiek maskēts ar pptp-out1 tuneļa adresi - (tas ne vienmēr ir labi jo neredz oriģinālo sourci).

Bonuss ir tāds, ka tev centrālajā rūterī nevajag atpakaļ routi rakstīt uz 'remote ofisa' Lan tīklu caur pptp tuneli.

Ja noņemsi snat, tad centra rūterī vajadzēs routing ierakstu uz 'remote ofisa LAN tīklu'uz pptp tuneļa pusi.

 

 

 

 

pirms 1 stundas , mickys teica:

zveidoju Routing ierakstu 0.0.0.0/24 ar Gateway uz pptp-out1, tabulā vpn

kāpēc /24?   default route aprakstās ar 0.0.0.0/0 

 

 

 

Link to comment
Share on other sites

pirms 8 stundām , hero teica:

kāpēc /24?   default route aprakstās ar 0.0.0.0/0

Taisnība, kļūdījos pierakstot tagad. 

Par Masquerade tad sapratu, ka viss ir ok. Redzēt no kura klienta nāk konekcija nav aktuāli.

 

pirms 8 stundām , uldii12345 teica:

pptp gan neskaitās drošs, logos nav pilns ar ierakstiem, kur kāds robotiņs min paroles? 

Jā, par šo zinu. Plānoju nomainīt, bet nav sanācis pieķerties. 

Kas tagad skaitās īstais variants uz ko pāriet? Jādarbojas ar Android, Windows un Mikrotik klientiem bez speciālu aplikāciju instalācijas.

Link to comment
Share on other sites

pirms 1 stundas , mickys teica:

Jādarbojas ar Android, Windows un Mikrotik

šī varētu būt šaurā vieta, ka vienam ir jāatbalsta visi

l2tp/ipsec - ir ok, bet nu čakars uzstādīšanā garantēts.

ja tiešām vajag visiem vienu, tad ROS7, kas protams ir beta joprojām, un tur Wireguard.

 

es laikam dalītu - Mikrotiks lai iet ar Ipsec, pārējiem kautko modernāku/vienkāršāk uzliekamu - bet nu tad tas prasa papildus čakaru arī servera galā ar visa salikšanu.

 

man pašam vienu no VPNiem nodrošina pfsense, kas ir tīkla iekšpusē uz virtuālās mašīnas - tas kā variants.

Link to comment
Share on other sites

Anonīms Alkoholiķis

Raspberry pi 4 ļoti labi strādā kā ssh, wireguard vai openvpn serveris.

Labots - Anonīms Alkoholiķis
  • Patīk 1
Link to comment
Share on other sites

Pirms 42 minūtēm , uldise teica:

ja tiešām vajag visiem vienu, tad ROS7, kas protams ir beta joprojām, un tur Wireguard

Kā ir ar ātrumiem šim variantam? Mikrotik laikam IPsec šifrēšanu atbasta dzelžu līmenī?

Link to comment
Share on other sites

Pirms 6 minūtēm , mickys teica:

Mikrotik laikam IPsec šifrēšanu atbasta dzelžu līmenī?

jā, bet ne visām iekārtām. aprakstā būs rakstīts. citādi viss caur CPU..

Link to comment
Share on other sites

 

pirms 8 stundām , uldise teica:

l2tp/ipsec - ir ok, bet nu čakars uzstādīšanā garantēts.

Aizdomīgi viegli uzstādījās, pēc Mikrotik instrukcijas.

Izmantu tos pašus pptp servera Secrets un ip_pool.

 

Kur ir āķis, kāpēc uzstādīšanai bija jābūt čakarīgai?

Link to comment
Share on other sites

1 stundu atpakaļ, mickys teica:

Kur ir āķis, kāpēc uzstādīšanai bija jābūt čakarīgai?

Nu Ipsec būs mazliet sarežģītāk configojams, nekā PPTP. Te rodas jautājums, vai šī aktīvā konekcija, kas tev tur izveidojās, ir šifrēta vismaz ar AES128bit?

Tu beigās izveidoji tuneli starp šiem objektiem vai L2tp savienojumu?Vai vispār pptp?

Labots - Net
Link to comment
Share on other sites

pirms 5 stundām , uldise teica:

uz Mikrotik jā, pamēģini, cik viegli ir uz Windows piemēram..

 

Neredzu āķi joprojām. Win10 ar iebūvēto visu tiek galā bez problēmām.

pirms 4 stundām , Net teica:

ir šifrēta vismaz ar AES128bit?

image.png.957d60cfcb61dee5ba2852716b08b281.png

  • Patīk 1
Link to comment
Share on other sites

Ja izveidoji l2tp ipsec, tad kas tev uzrādas šeit? Ir encrypt vismaz aes128?

 

image.png.8a35de75bd34db9a44c609d35952a51d.png

Labots - Net
Link to comment
Share on other sites

2021.07.2. , 07:43, mickys teica:

Kā ir ar ātrumiem šim variantam? Mikrotik laikam IPsec šifrēšanu atbasta dzelžu līmenī?

Jebkuram Mikrotik CCR sērijas dzelzim ir IPsec hardware acceleration, bet tas ir relatīvi dārgais gals un visticamāk, ka Tavā gadījumā būs kā ar lielgabalu pa zvirbuļiem. No budžetniekiem, cik pētīju, šiem diviem ir IPsec hardware acceleration un vajadzētu būt gana spējīgiem. Bija vēl kkādi divi ar wireless, bet modeļus uzreiz precīzi neatceros.

 

Ja vajag pieslēgt optiku ar SFP un/vai PoE out, tad šis:

https://mikrotik.com/product/hex_s


Ja tās lietas nevajag, tad šis:

https://mikrotik.com/product/RB750Gr3

 

Labots - Guncha
Link to comment
Share on other sites

Dzīvoklī hap ac2

Citēt

and device supports IPsec hardware acceleration

 

Link to comment
Share on other sites

uldii12345

Šim arī ir hardware . Ar konfigu tagad ari nav problēmu, gan mikrotik, gan windows, gan android. Man gan ar ipesec parasti ir jūtami mazāks ātrums ar defaulto config, kas manām vajadzībām nav būtiski

Link to comment
Share on other sites

Visa ņemšanās vēl nav līdz galam beigusies.

 

Pārgāju uz L2TP/IPSec. Problēma - bezVPN konekcija 30-40Mbits download.

Caur VPN konekcija, pārstartējot klienta rūteri - Apmēram tas pats. Pēc kāda laika, nokrīt uz 3-5Mbits.

Pagaidām nav izdevies izpētīt vairāk, cik ilgs laiks paiet, vai kādi citi nosacījumi.

Link to comment
Share on other sites

  • 1 month later...
(labots)

Sakarā ar pēdējo ierakstu, problēma šķiet bija niecīgajā upload - 0,5Mbit/s. 

Jo speedtest mērījums 40Mbit/s down, 0,5Mbit/s up bija norma, kamēr netika pārregulēta āra antena. 

Pie normāla Uploada, arī downloads caur VPN normāls.

 

Jauna problēmiņa. 

VPN servera pusē 192.168.0.0/24, klienta pusē 192.168.8.0/24.

No klienta, pie adresēm 192.168.0.0/24 tiek (uzlikta route), no servera puses pie 192.168.8.0/24 netiek,

Liku Routi, Dst. address: 192.168.8.0/24, GW: l2tp-in1 (kas statiska, atbilstoša klientam), nepalīdz.

 

edit: Ar routēm viss kārtībā, vaina bija gala iekārtā, kas nepieņēma pieprasījumus no citiem subnetiem.

Labots - mickys
Link to comment
Share on other sites

Izveido kontu, vai pieraksties esošajā, lai komentētu

Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas

Izveidot jaunu kontu

Piereģistrējies un izveido jaunu kontu, tas būs viegli!

Reģistrēt jaunu kontu

Pierakstīties

Jums jau ir konts? Pierakstieties tajā šeit!

Pierakstīties tagad!
 Share

×
×
  • Izveidot jaunu...