Příspěvky

1

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 09. 01. 2015, 18:46:48 »

M.: Díky, popral sem se s tím, uspěl jsem ale až s OpenVPN, tož alespoň něco. Jen mám trochu strach, aby když padne OVPN, tak aby se neprovařila moje pravá IP, nejni na to nějakej fígl, jak tomu u windows zabránit? S klasickou VPN stačilo nastavit ve vlastnostech internetu proxy na localhost.

Lol Phirae: pokud znáš nějaké stabilní a rychlé řešení zadarmo, sem s ním pls. Určitě bych ho využil.

2

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 06. 01. 2015, 00:23:11 »

Díky za odpověď a zároveň sorry, sem to blbě popsal, je to takhle: jsem v itálii a potřebuju mít na svém compu českou IP adresu, takže jsem stále připojen přes PPTP tunel na Mikrotik, co mám doma v čechách. V tom samém compu mam ve VMware virtuální systém, u toho potřebuju jinou českou IP, takže mám zakoupenou PPTP VPNku od VPNhosting.cz. VPNhosting provozuju vlastně uvnitř tunelu, kterým jsem připojen na Mikrotik. Dnes jsem telefonoval VPNhostingem, podle toho co jsem pochopil, tak maji defaultně nastaveno max MTU/MRU na 1500. Z toho co jsi zde psal, jsem pochopil, snad správně, že to za této konstelace nemůže fungovat, že MTU/MRU na VPN hostingu musí být minimálně o 20 menší než na mém Mikrotiku. Uvažuju správně?

Ještě mi napadla jedna věc, oni umožňují připojení i přes OpenVPN, mohlo by takhle fungovat? Obešel by se tím problém s max MTU/MRU?

3

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 05. 01. 2015, 09:26:31 »

Ono je to obráceně, primárně jsem na VPN Mikrotiku, vnitřním je tedy ta placená služba. Zkusim jim cinknout, jestli by nezmenšili MTU/MRU.

4

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 04. 01. 2015, 23:35:46 »

Ještě tady řešim jednu lumpárnu okolo VPN. Když jsem na ni připojen a pustím si ve VMware W7, kde se připojuju na placenou PPTP službu od české firmy VPNhosting, tak sem mi ta VPN sice připojí, ale jakmile si něco řekne o data, tak se ihned odpojí.


Může to mít souvislost s Max MTU a Max MRU (na svém routeru jsem zkoušel 1300 - 1500, chová se to stále stejně)?

Může vůbec funguvat PPTP tunel uvnitř jiného?

Pomohlo by je poprosit, zda by oni zmenšili Max MTU a Max MRU?

Bo uvažuju úplně špatně a problém je jinde?

5

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 04. 01. 2015, 11:03:22 »

Dík za rychlou reakci, verzí routerOS to neni. Je to mojí hloupostí, stačilo na firewallu povolit port pro PPTP. Co ale nechápu, tak v kanclu jsem žádný povolení nedělal a tam to funguje. To je rozdíl jestli je router připojenej přes UPC (musel jsem otevřít port na routeru) nebo přes PPPoE (tady port otvírat nemusim)? Kdyby někdo věděl, budu rád za osvětu, páč mi to hlava nebere. Firewally na obou routrech jsou v defaultu.

6

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 04. 01. 2015, 08:27:32 »

Tak jsem pořídil mikrotika i domu a přídu si jak alenka v říši divů. Nejsem schopnej rozchodit PPTP tunel. Přitom v kanclu to běhá jak z praku. Všechno mam nastavené stejně. Vyhodí to chybu 807 (viz přiloženej obrázek).

Rozdíly:
1) v kanclu je připojení přes VDSL, doma jsem na UPC - je možné, že to UPC blokuje?
2) v kanclu je v routru routerOS 6.23, doma 6.24 - podezřívám právě verzi 6.24, tady je changelog:

*) ntp - fixed vulnerabilities;
*) web proxy - fix problem when dscp was not set when ipv6 was enabled;
*) fixed problem where some of ethernet cards do not work on x86;
*) improved CCR ethernet driver (less dropped packets);
*) improved queue tree parent=global performance (especially on SMP systems and CCRs);
*) eoip/eoipv6/gre/gre6/ipip/ipipv6/6to4 tunnels have improved per core balancing on CCRs;
*) fixed tx for 6to4 tunnels with unspecified dst address;
*) fixed vrrp - could sometimes not work properly because of advertising bad set of ip addresses;

Může něco z toho ovlivnivt fci PPTP či L2TP tunelu?

Případně, je nějaká šance, jak downgradovat router na 6.23, abych vyloučil tuto možnost? Našel jsem, že to jde příkazem /system package downgrade, ale to bych někde musel stahnout "routeros-x86-6.23.1.npk", ale ten zaboha nemůžu nikde najít.

7

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 21. 12. 2014, 23:03:35 »

Aaaa, sem trdlo, ty příkazy se museji zadávat do /ip firewall filter a já je zadáva do "rootu".

Je ještě něco, na co bych se měl u firewallu zaměřit?

8

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 21. 12. 2014, 22:09:50 »

Jasný, 2 hoďky googlim a nic, ono se stačí zeptat a ono se řešení hnedka samo vynoří: wiki.mikrotik

Jen se mi nedaří přidat hned první pravidlo z terminálu, když ho tam zadávám, tak napíšu:

Kód: [Vybrat]

add chain=input protocol=tcp dst-port=21Před tím "21" je to rovnáse zahnědlý (add chain=input protocol=tcp dst-port=21). Se nějak změnily pravidla zápisu? Přes terminál ten příkaz prostě nezadám (zůstane zahnědlé, i když celé pravidlo dopíši).

/nastavil sem si to ve winboxu, ale jen mi to zajímá, čim to

9

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 21. 12. 2014, 21:04:08 »

Funguje - obrovský dík všem zúčastněným!

Nejel PING do vnitřní sítě, bylo potřeba změnit pool na 192.168.88.2-10, což je logické, také bylo třeba změnit v ovpn-profile Local Address na 192.168.88.1 (to je spíše poznámka pro mě, až to budu za rok řešit znovu / hlava děravá)

Mám tu ještě jeden dotaz, asi bude třeba přenastavit firewall, ale vůbec nemám páru co a jak. Dočetl jsem se, že pokud mám veřejnou IP a ve firewallu mám dropnutej input, tak že mi hned najdou boti a začnou mi spamovat brutal force útokama přes ssh/ftp atd. Což se mi samozřejmě děje, útoky jsou ze spousty různých IP adres. Jak se tomu bránit? Bo to prostě neřešit?

10

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 20. 12. 2014, 10:48:49 »

Editoval jsem log, přecijen se nemusí moje veřená IP válet všude na netu. Stejně tak jsem zeditoval jméno firmy, email atd. u certifikátu.

11

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 19. 12. 2014, 22:40:18 »

Současný konfigurák:

Kód: [Vybrat]

proto tcp-client

remote XX.mo.je.IP 1194
dev tap

nobind
persist-key

tls-client
ca ca.crt
cert client.crt
key client.key

auth-user-pass auth.cfg

ping 10
verb 3

cipher AES-256-CBC
auth SHA1
pull

mute-replay-warnings
Log:

Kód: [Vybrat]

Fri Dec 19 22:26:58 2014 OpenVPN 2.3.6 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [PKCS11] [IPv6] built on Dec  1 2014
Fri Dec 19 22:26:58 2014 library versions: OpenSSL 1.0.1j 15 Oct 2014, LZO 2.08
Enter Management Password:
Fri Dec 19 22:26:58 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25340
Fri Dec 19 22:26:58 2014 Need hold release from management interface, waiting...
Fri Dec 19 22:26:58 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25340
Fri Dec 19 22:26:59 2014 MANAGEMENT: CMD 'state on'
Fri Dec 19 22:26:59 2014 MANAGEMENT: CMD 'log all on'
Fri Dec 19 22:26:59 2014 MANAGEMENT: CMD 'hold off'
Fri Dec 19 22:26:59 2014 MANAGEMENT: CMD 'hold release'
Fri Dec 19 22:26:59 2014 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Fri Dec 19 22:26:59 2014 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Fri Dec 19 22:26:59 2014 Socket Buffers: R=[8192->8192] S=[8192->8192]
Fri Dec 19 22:26:59 2014 Attempting to establish TCP connection with [AF_INET]XX.mo.je.IP:1194 [nonblock]
Fri Dec 19 22:26:59 2014 MANAGEMENT: >STATE:1419024419,TCP_CONNECT,,,
Fri Dec 19 22:27:00 2014 TCP connection established with [AF_INET]XX.mo.je.IP:1194
Fri Dec 19 22:27:00 2014 TCPv4_CLIENT link local: [undef]
Fri Dec 19 22:27:00 2014 TCPv4_CLIENT link remote: [AF_INET]XX.mo.je.IP:1194
Fri Dec 19 22:27:00 2014 MANAGEMENT: >STATE:1419024420,WAIT,,,
Fri Dec 19 22:27:00 2014 MANAGEMENT: >STATE:1419024420,AUTH,,,
Fri Dec 19 22:27:00 2014 TLS: Initial packet from [AF_INET]XX.mo.je.IP:1194, sid=5ae32751 99e9af1f
Fri Dec 19 22:27:00 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Fri Dec 19 22:27:00 2014 VERIFY OK: depth=1, C=Cs, ST=Cechy, L=Prague, O=Firma, OU=IT oddeleni, CN=XX.mo.je.IP, emailAddress=jmeno@Firma.cz
Fri Dec 19 22:27:00 2014 VERIFY OK: depth=0, C=Cs, ST=Cechy, O=Firma, OU=IT oddeleni, CN=XX.mo.je.IP, emailAddress=jmeno@Firma.cz
Fri Dec 19 22:27:01 2014 Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Dec 19 22:27:01 2014 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 19 22:27:01 2014 Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key
Fri Dec 19 22:27:01 2014 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Fri Dec 19 22:27:01 2014 Control Channel: TLSv1, cipher TLSv1/SSLv3 AES256-SHA, 1024 bit RSA
Fri Dec 19 22:27:01 2014 [XX.mo.je.IP] Peer Connection Initiated with [AF_INET]XX.mo.je.IP:1194
Fri Dec 19 22:27:02 2014 MANAGEMENT: >STATE:1419024422,GET_CONFIG,,,
Fri Dec 19 22:27:04 2014 SENT CONTROL [XX.mo.je.IP]: 'PUSH_REQUEST' (status=1)
Fri Dec 19 22:27:09 2014 SENT CONTROL [XX.mo.je.IP]: 'PUSH_REQUEST' (status=1)
Fri Dec 19 22:27:14 2014 SENT CONTROL [XX.mo.je.IP]: 'PUSH_REQUEST' (status=1)
Fri Dec 19 22:27:14 2014 PUSH: Received control message: 'PUSH_REPLY,ping 20,ping-restart 60,route-gateway 0.0.0.0,ifconfig 0.0.0.0 255.255.255.0'
Fri Dec 19 22:27:14 2014 OPTIONS IMPORT: timers and/or timeouts modified
Fri Dec 19 22:27:14 2014 OPTIONS IMPORT: --ifconfig/up options modified
Fri Dec 19 22:27:14 2014 OPTIONS IMPORT: route-related options modified
Fri Dec 19 22:27:14 2014 do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Fri Dec 19 22:27:14 2014 MANAGEMENT: >STATE:1419024434,ASSIGN_IP,,,
Fri Dec 19 22:27:14 2014 open_tun, tt->ipv6=0
Fri Dec 19 22:27:14 2014 TAP-WIN32 device [Připojení k místní síti 2] opened: \\.\Global\{E353E580-36C8-48D5-A381-D3264B33D8FA}.tap
Fri Dec 19 22:27:14 2014 TAP-Windows Driver Version 9.21
Fri Dec 19 22:27:14 2014 MANAGEMENT: Client disconnected
Fri Dec 19 22:27:14 2014 ERROR: There is a clash between the --ifconfig local address and the internal DHCP server address -- both are set to 0.0.0.0 -- please use the --ip-win32 dynamic option to choose a different free address from the --ifconfig subnet for the internal DHCP server
Fri Dec 19 22:27:14 2014 Exiting due to fatal error


12

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 19. 12. 2014, 22:29:29 »

Díky za spoustu námětů! Jelikož se to dost lišilo od mé předešlé konfigurace, zese jsem projistotu shodil router do defaultu a opět napíšu, co jsem přesně nastavil. Vycházel jsem ze screenshotu od Marta a upravil jsem to podle dalších postů.

Vnitřní sít je stále v defaultním rozsahu 192.168.88.0/24, firewall také defaultu, žádné směrování portů.
1. naimportoval jsem certifikáty (ca.crt, server.crt+key)
2. přidal pravidlo ve firewallu a posunul ho nad defaultní pravidla (Chain: input, Protocol: 6(tcp), Dst. Adress: XX.mo.je.IP, Dst.Port: 1194, Action: accept), podle ověření přes telnet nejspíš funguje
3. v PPP/Interface/Profile jsem vytvořil profil "ovpn-profile", kde jsem nastavil jediné a to Bridge: bridge-local, Local a Remote Address vyplněné nejsou. Ještě jsem změni TCP MMS na yes (podle M.)
4. zapnul jsem OVPN server, přepnul Mode: ethernet, certifikát jsem dal cert_2 (tj server.crt+key, cert_1 je v mém případě ca.crt) a zaškrt jsem volbu AES 256 (vyskytuje se ve většině konfiguračních souborů pro openVPN klienta)
5. v PPP/Interface jsem přidal OVPN Server Binding, který jsem nazval "ovpn-ether" a vyplnij sem tam User: ten který jsem vytvořil v Secrets

Pocaď správně?

6. v obrázku: zde je vidět iface tvořený OVPN - ano, vidím ho tam, také je tam původní "bridge-local"
7. v obrázku: v bridge přidáš tento iface do bridge s ostatníma portama - tady vůbec nevím co s tím, pokus:
7.a v Bridge/Bridge jsem přidal Bridge, nazval jsem ho "ovpn-bridge", Co mám nastavit do ARP, pokud ho teda mám vůbec tvořit? Enabled nebo Proxy-arp?
7.b Bridge/Ports jsem přidal Bridge port, Interface: ether2 (tj port vnitřní sítě), Bridge: ovpn-bridge, zbytek jsem nechal, jak je defaultně. No a dostanu Error Couldn't add New Bridge Port - device alredy added as bridge port (6).

Takže asi musim vybrat něco jinčího ve volbě Interface, ale co? Bojim se cokoliv zkusit, páč mam taký neblahý tušení, že když tam nastavim nějakou hloupost, tak se na ten router na dálku nepřipojim, mám ho přes celou prahu.
Bo je bod 7 úplně blbě?

M.: Log z openVPN klienta za současného stavu pošlu v zápětí, jelikož se zdá, že došlo k určitému posunu.

Netrpím "samomluvou"  jen jak není člověk přihlášený tak to nelze editovat .

To nejde ani jako přihlášený, nebo teda nevím jak, netřeba si z toho dělat hlavu. Naopak jsem rád, za jakýkoliv podnět, třeba mi něco nakopne a zadaří se.

13

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 19. 12. 2014, 16:02:08 »

Tak telnet se asi spojil, po čase se ale odpojil.

Jelikož ale potřebuju OVPN v režimu ethernet, tak sem to celý shodil do defaultu a začínám znovu, tož prosím o pomoc, páč si s tim absolutně nevim rady.

Vnitřní sít je v defaultním rozsahu 192.168.88.0/24
Co jsem udělal:
1. naimportoval jsem certifikáty
2. vytvořil jsem poole "ovpn-pool" 192.168.89.2-192.168.89.10
3. vytvořil jsem PPP profile "ovpn" - nejsem si jistej, jak má být v tomto případě definovaná Local address, zda tam má bejt 192.168.89.1 nebo tam má bejt ovpn-pool jako je v Remote address? Budu tam posléze, až bude vytvořen, zadávat nějakej bridge?
4. v secrets jsem vytvořil uživatele s profilem ovpn
5. zapnul sem OVPN server, mode změnil na ethernet, default profile na ovpn, vybral certifikát a zaškrtl Requaire Client Certificate, ještě jsem zaškrtl "aes 256"

Dál ale netušim jak  Snažím se postupovat podle tohoto příspěvku:

Vytvoříš OVPN server na jedné straně  jen jeho mód nebude IP ale ETHERNET pak  na druhé straně uděláš profil a spojíš se s touto stranou. Jak si psal výše jsou tam třeba certifikáty v momente kdy to budeš mít spojené  uvidíš v interface  OVPN jako interface. Potom vytvoříš bridge  a do něj dáš interface (eth port ) který potřebuješ  a k němu přidáš do bridge i ten ovpn interface. To uděláš na obou stranách a máš transparentní bridge.

Jak mám udělat toto?

...pak  na druhé straně uděláš profil a spojíš se s touto stranou...

Abych dosáhl tohoto:

v momente kdy to budeš mít spojené  uvidíš v interface  OVPN jako interface

14

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 19. 12. 2014, 09:32:34 »

Certifikát jsem nakopíroval, certifikát server je v MikroTiku "KT", což se zdá správně, podle toho co se píše na netu.

Za konfigurák díky, konečně to něco dělá, ale nepřipojí se to. Nejdále jsem se dostal, když jsem změnil "dev tap" na "dev tun" - OVPN server mam totiž v módu IP. Samo sem ho zkoušel přepnout do módu Ethernet, taky se nepřipojim. Můžu sem případně hodit celej log. Log končí:

Kód: [Vybrat]

Fri Dec 19 09:29:43 2014 us=214195 TCPv4_CLIENT READ [22] from [AF_INET]XX.mo.je.IP:1194: P_ACK_V1 kid=0 [ 9 ]
Fri Dec 19 09:30:28 2014 us=942236 [XX.mo.je.IP] Inactivity timeout (--ping-restart), restarting
Fri Dec 19 09:30:28 2014 us=942736 TCP/UDP: Closing socket
Fri Dec 19 09:30:28 2014 us=943236 SIGUSR1[soft,ping-restart] received, process restarting
Fri Dec 19 09:30:28 2014 us=943236 MANAGEMENT: >STATE:1418977828,RECONNECTING,ping-restart,,
Fri Dec 19 09:30:28 2014 us=943236 Restart pause, 5 second(s)
Pravidlo do firewallu jsem přidal:
Chain: input
Protocol: 6(tcp)
Dst. Adress: XX.mo.je.IP
Dst.Port: 1194
Action: accept

Jest tak správně?

Je vůbec nějaké pravidlo potřeba, páč bez něj i s ním se to chová stejně. Podle návodu se nastavovalo:

Kód: [Vybrat]

/ip firewall nat add chain=srcnat action=masquerade out-interface=ovpn-client1

15

Sítě / Re:VPN na Mikrotik RB951G-2HnD

« kdy: 18. 12. 2014, 23:46:47 »

Je to přesně jak si popsal, snažim se připojit VPNkou do práce na veřejnou IP (tu má MikroTik) a rád bych měl přístupé.

Bohužel sem total marnej, celej den se v tom vrtám a nejsem schopnej to rozchodit ani podle toho manuálu na wiki. Bohužel je tam tolik proměných, že nemám šanci zjistit, co kde je špatně. Buď je problém s cetrifikátama, nevím jestli mám správné, případně zda je používám správně, no a největší problém mám s konfiguračním souborem klienta openVPN na windowsech.

Kdybys měl náladu a čas se na to juknout, pokusím se popsat, co a jak sem tropil:
1. Certifikáty jsem vygeneroval podle tohoto návodu. Mám tedy tyto soubory: dh1024.pem, ca.crt, server.crt, server.key, client.crt, client.key
2. Do routru sem nahrál server.crt a server.key a pak jsem je v tomto pořadí naimportoval. Certifikát má pak před sebou "KT".
3. Nastavil jsem router podle manuálu na wiki.
4. V compu jsem nainstaloval OpenVPN GUI a snažím se vytvořit konfigurační file. Ať dělám co dělám, tak se to snad ani nezačne připojovat, píše to jen Curent State: Connecting a pak to vyhodí hlášku Connecting to Client failed. Co mi ale hlava nebere, jak to může fungovat bez uživ jména a hesla, co sem našel na netu, tak ho nemaji v žádnem tom konfiguračním souboru.