1. Fórum Root.cz
  2. Profil martinjk
  3. Zobrazit příspěvky
  4. Příspěvky

Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - martinjk

Stran: [1] 2 3 4
1
Vývoj / Re:Mikrotik ikev2 VPN - přístup to internetu
« kdy: 04. 07. 2023, 13:16:26 »
Díky,

telefon routu asi má

na forward pravidle v Filter Rules pro spojení VNP vidím
lokální příchozí provoz od klienta např:
ikev2-forward- forward: in:bridge-local out:bridge-local, src-mac 68:4a:e9:89:21:14, proto TCP (SYN), 100.100.100.199:42206->192.168.1.16:853, len 64

a ten funguje včetně odpovědí klientovi

a také vidím odchozí provoz do Internetu
ikev2-forward- forward: in:bridge-local out:pppoe-out1, src-mac 68:4a:e9:89:21:14, proto TCP (ACK), 100.100.100.199:55700->142.250.27.188:5228, NAT (100.100.100.199:55700->verejnaIP:55700)->142.250.27.188:5228, len 52

a ten nefunguje, zřejmě klient nikdy nedostane odpověď ??  (verejnaIP nahrazuje adresu)

To je asi podstata mého problému.

v Connection jsou pak dvě navázaná spojení
jedno na
142.250.27.188  established ale jen 9/20 paket 
a obě po timeoutu zmizí.

Díky
Martin






2
Vývoj / Re:Mikrotik ikev2 VPN - přístup to internetu
« kdy: 04. 07. 2023, 12:29:46 »
Díky,

cílem je client do internetu přes VPN
Aktuálně připojený klient nemá přístup na internet všechn provoz jede přes VPN, kde se ten do Internetu "někdy ztratí".

Routy vypadají takto:
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          pppoe-out1                1
 1 ADC  10.0.0.0/24        10.0.0.2        ether1-gateway            0
 2 ADC  89.24.145.107/32   46.13.84.248    pppoe-out1                0
 3 ADC  100.100.100.0/24   100.100.100.1   ike2-bridge               0
 4 ADC  192.168.1.0/24     192.168.1.1     bridge-local              0
 5 ADC  192.168.2.0/24     192.168.2.1     bridge-separate           0

Přijde mi to OK,
bridge-local i bridge-separate mají oba přístup do internetu, ale ne mezi sebou. Ten bridge-separate je pro hosty na wifi.

Martin

3
Vývoj / Re:Mikrotik ikev2 VPN - přístup to internetu
« kdy: 04. 07. 2023, 09:08:28 »
Díky za rady,

NAT Traversal je zapnutý

s postrouting pravidly nevím co si počít, zkusil jsem je dat do Mangle , ale tam nelze nastavit MASQUERADE.

Asi to prostě nevyřeším, to mě dost mrzí, když se mi už povedlo se přes tu VPN i přihlásit.

Udělal jsem log pro to NAT pravidlo pro VPN a jsou tam pakety (asi 4 po sestavení VPN) jen pro lokální sít a nic pro internet.
Takže to co patří do internet tu se tam vůbec nedostane.

Mám to na ROS6.49.8 
Je klidně možné, že je to problém v RouterOS.
Alespoň mi funguje přístup na lokální stroje, teda až na služby co se ověřují do internetu na klientu.
To je pro mně použitelné i takto.
Ale pokud ještě někoho něco napadne, tak sem s tím.

Díky
Martin


4
Vývoj / Re:Mikrotik ikev2 VPN - přístup to internetu
« kdy: 03. 07. 2023, 20:21:49 »
Poslední řádek má být DNS běžící v lokální síti. DNS evidentně funguje, překládá adresy pro lokální sít.
Stejnou DNS používají i ostatní počítače v síti a těm funguje vše, lokální sít i internet.

Funguje i L2TP/IPsec VPN, která běží současně pro ty klienty co to ještě umí.

5
Vývoj / Re:Mikrotik ikev2 VPN - přístup to internetu
« kdy: 03. 07. 2023, 20:05:56 »
Ahoj,

klient je Android telefon, nemám představu jak poznat co dělá.
Ale situace je taková:

1. VPN se spojí
2. klient dostane adresu z vpn pool  např. 100.100.100.191
3. klient může přistupovat na stroje v lokální síti např https://192.168.1.16/ kde běží web server
4. klient může přistupovat na stroje v lokální síti i pomocí DNS, např: http://server/  ukazující na stroj v bodu 3 funguje
--------
Klient nemůže vůbec na web:
Klient nemůže na např https://www.root.cz/
Klient nemůže ani na https://91.213.160.188/    což je to opět root

v těchto případech chyba:
This site cant be reached.

To mě vede k názoru, že se pakety někte v routeru zahazují, ale nemůžu přijít na to kde.
VPN běžící na routeru ale funguje.

Každý nápad vítám.

Díky
Martin

6
Vývoj / Re:Mikrotik ikev2 VPN - přístup to internetu
« kdy: 03. 07. 2023, 18:25:49 »
Ahoj,

díky, do wireguard se mi moc nechce, obecně nemám rád nesystémové klienty. A nechci přejít na ROS7, protože se určitě něco rozbije.

V IPsec je Mode configs, který mám a je tam v "Split include:" uedeno 0.0.0.0/0

V IP Firewall Filteres Rules vidím, že pakety od klienta přicházejí na, ale pak už nejdou do  Internetu. Někdy mizí.
A v logu vypadají jako ty spávné s dotazy do Internetu.

Mám i
NAT pro Src. Address 100.100.100.0/24 což je VPN pool na masquerade, ale sem už přijdou max jednotky paketů, to určitě není správně.

Jako by mezi Firewall a NAT pakety mizely. 

Nějaké další nápady?

Díky
Martin

7
Vývoj / Mikrotik ikev2 VPN - přístup to internetu
« kdy: 30. 06. 2023, 12:07:24 »
Ahoj,

potřebuji postrčit správným směrem, s novým telefonem jsem musel nainstalovat ikev2 VPN na přístup domů.
Je to Mikrotik RouterOS6.49.8 aktuální.
Přístup mi funguje, ale pouze jen domů.
Potřebuji zprovoznit také "tunelování" internetu přes VPN.
Protože např. nefunguje Plex server dome přes VPN, klient Plex na telefonu si ověřuje přístupové údaje.
Lokální služby jsou plně dostupné.

VPN jsem nastavil takto jak je ukázáno v návodu na https://www.youtube.com/watch?v=b9_xWM-S4mw&t=130s
Přišlo mi to jako nejsnažší varianta ze všech a kroky jsem snad i trochu pochopil.

Co musím ještě přidat? Routování nebo NAT?
Nejsem moc síťař.

Díky za rady.
Martin

8
Server / Re:Přechod z L2TP/IPsec na Wireguard nebo IKEv2
« kdy: 23. 01. 2023, 18:02:49 »
Díky za poznámky, pokusím se prostě zprovoznit wireguard k již běžícímu VPN.

9
Server / Přechod z L2TP/IPsec na Wireguard nebo IKEv2
« kdy: 21. 01. 2023, 19:44:12 »
Ahoj,

potřebuji poradit. S Androidem 12 u některých telefonů zmizela podpora pro L2TP/IPsec VPN, kterou používám na přístup domů.
Nezjistil jsem jak zprovoznit L2TP/IPsec na těchto nových zařízeních, zřejmě to nejde, Prohledal jsem různá fora.
Takže budu muset přejít na IKEv2 nebo wireguard. 
Domů je na VPN připojená i síť z chalupy ne jen telefony.

1. Co byste si vybrali?

Já si asi půjdu do wireguard. IKEv2 zřejmě zase nepodporují jiná starší zařízení (Android 10) co mám nebo to v nich není vidět na první pohled. Wireguard klienti jsou pro vše co používám.

2. Může běžet wireguard zároveň s původní L2TP/IPsec, z dokumentace se mi zdá, že ano. Alespoň dočasně než vše překonfiguruji. Je to tak? To by možná nakonec bylo nejlepší řešení.

3. Moje domácí adresa je veřejná, ale není statická. To jsem pochopil je trochu problém, protože klienti Wireguard dělají resolve adresy jen při spuštění. To chci řešit u propojení sítí (chalupa) přes watchdog a restart nebo skriptem. Řešil jste to někdo jinak? Na chalupě je také Mikrotik. V telefonu si prostě pustím klient znovu.

Díky za rady
Martin

10
Server / Re:Proxmox a VMs si navzájem ovlivňují CP
« kdy: 05. 01. 2023, 19:38:40 »
Vyzkoušej vypnout HT a přiděl jen počet jader co budeš mít - 2. Třeba to pomůže.

11
Server / Re:Samba nezobrazuje některé soubory
« kdy: 02. 12. 2022, 10:27:45 »
Ahoj,

já jsem dříve bojovat s padáním Samby při vyšším využití, backend pro Owncloud. A zjistil jsem, že některé distribuce mají Sambu vadnou.
Jako plně funkční jsem vyhodnotil verzi v Ubuntu 20.04 a ta mi funguje.
Nainstalovat poslední verzi Samba od autorů je také možnost, ale to není snadné.
Třeba je to podobný problém.  Něco jsem řešil i tady v diskuzi, lze dohledat.


12
Odkladiště / Re:„Vše o datových schránkách“ na jednom místě
« kdy: 08. 10. 2022, 11:58:46 »
Bohužel si myslím, že nemáte pravdu. Zákon to explicitně nevyžaduje a ministerstvo si myslí, že to není třeba, ale zákon vykládá soud. Myslím, že se lze oprávněně domnívat že soud dokument s časově prošlými podpisy v budoucnu neuzná. A tím bude zřejmé, že přerazítkování opravdu třeba bylo/je. Ale to už na prošlé podpisy neuděláte, takže je na to třeba myslet už teď.
Nevěřím, že soudy budou ochotné ve sporech o miliardy uznávat dokumenty s prošlými podpisy, tomu nevěřím.
Pokud se pletu a to je možné, tak přerazítkováním nebo konverzí nic nezkazím. Jen to bude výdaj na víc.
Osobně očekávám max jednotky dokumentů ročně. To přežiju.

13
Odkladiště / Re:„Vše o datových schránkách“ na jednom místě
« kdy: 07. 10. 2022, 15:21:34 »
Datové schránky budou pro mě nepoužitelné dokud se nebudou zprávy archivovat a přerazítkovávat v ní sami a zadarmo, pro fyzické osoby nepodnikatele.
Pokud tu tvrdíte, že fyzické osoby nepodnikatelé bude dostávat zpráv málo, tak jejich archivace a přerazítkování nebude výrazný náklad. Pokud jich tak málo nebude, tak je to vydírání ze strany státu, protože si musím zprávy konvertovat na poště za peníze. Nápady si zprávy jen ukládat a doufat, že za X let budou platné jsou zcela mylné. Bez přerazítkovávání platné nebudou!

14
Hardware / Re:Levná necloudová wifi IP kamera
« kdy: 18. 07. 2022, 09:38:47 »
Nejlevnější alespoň trochu značková wifi kamera co mám vyzkoušenou pro provoz lokálně je TP-LINK Tapo C100. Nicméně cloud je potřeba pro nastavení (připojení k wifi) pak už ne. Komunikace do cloudu, ale probíhá a je potřeba ji zaříznout na routeru, kamera nemá webové rozhraní kde by šel cloud vypnout.  V obraze má trvale datum a čas, ten si bere z toho cloudu. Takže nní to úplně dokonalé.
Video je pak dostupné přes RTSP a možná i přes onvif (to si nejsem jistý).

15
Sítě / Re:Mikrotik - dynamický interface in firewall
« kdy: 18. 07. 2022, 08:23:06 »
Moc díky,  na doma mi stačí nastavení Firewall na "all PPP", mám tam stejně obvykle jen jedno rozhraní.
Vyřešeno.

Stran: [1] 2 3 4