VPN na Mikrotik RB951G-2HnD

[nofu]

Potřebuju poradit pls, páč moje znalosti jsou zjevně nedostatečné. Na wiki jsem našel tenhle návod, podle kterého jsem VPN po pár hodinách pátrání, jak co funguje, nastavil (nastavil jsem vše v části 5.1 Connecting Remote Client). Na VPN se připojím, vnější IP mám pak stejnou jako je veřejná IP routeru.

Problém: Pokud jsem na VPN ve stejném rozsahu (192.168.88.0/24) jako je router a počítače ve vnitřní síti, pak nic krom routeru nepingnu. Pokud přenastavím router, aby mi na VPN dával IP z jiného rozsahu (192.168.89.0), pak můžu pingnout vše v rozsahu 192.168.88.0/24, do sdílených složek ale můžu pouze pokud znám IP adresu cílového compu, síť procházet standardně nejde, nejsou vidět okolní počítače. To je řešení pro mě, ale ne pro stardardního uživatele.

Otázkou tedy je, co přenastavit, abych byl na VPN v rozsahu 192.168.88.0/24 a mohl pingnout okolní compy?

Router mám nastaven přes šablonu Quick Set jako Home AP, krom toho vše v defaultu (žádné směrování portů, žádná přidaná pravidla ve firewallu).
V LAN portu 1 je připojen VDSL modem od O2 nastavený do módu Bridge, na routru nastaveno PPPoE připojení.
V LAN portu 2 je přes switch připojena vnitřní siť.

Moje nastavení VPN:

Kód: [Vybrat]

/ppp secret print detail
Flags: X - disabled
 0   name="XXX" service=pptp caller-id="" password="XXXXXXXX"
     profile=default-encryption local-address=10.0.0.1
     remote-address=192.168.88.200 routes="" limit-bytes-in=0 limit-bytes-out=0
     last-logged-out=dec/17/2014 17:04:56Pokud je zde remote-adress z jiného rozsahu (třeba 192.168.89.200), pak ping funguje.

Kód: [Vybrat]

/interface pptp-server server print
            enabled: yes
            max-mtu: 1450
            max-mru: 1450
               mrru: disabled
     authentication: mschap2
  keepalive-timeout: 30
    default-profile: default-encryptionZde jsem oproti návodu použil profil s šifrováním, nefunguje to ani bez něj. K čemu je max-mtu a max-mru netušim, takhle je to v defaultu, zkoušel sem i 1460, beze změny.

Kód: [Vybrat]

/interface ethernet print
Flags: X - disabled, R - running, S - slave
 #    NAME         MTU MAC-ADDRESS       ARP        MASTER-PORT       SWITCH     
 0 R  ether1-...  1500 00:30:4F:06:62:A0 enabled    none              switch1     
 1 RS ether2-...  1500 00:30:4F:06:62:A1 proxy-arp  none              switch1     
 2  S ether3-...  1500 00:30:4F:06:62:A2 enabled    ether2-master-... switch1     
 3  S ether4-...  1500 00:30:4F:06:62:A3 enabled    ether2-master-... switch1     
 4  S ether5-...  1500 00:30:4F:06:62:A4 enabled    ether2-master-... switch1Zde je jediný rozdíl, a to že mám ether2 jako slave, netušim však, jak ho přenastavit jako master, zda je to vůbec možné, případně co vše pro tuto možnost musí být splněno. Může to být právě ten problém, proč to nefunguje?

Když se připojím na klientovi, tak dostanu:
IPv4 adresa: 192.168.88.200
Maska podsítě IPv4: 255.255.255.255 - zde čuju problém, ale nemám představu, jak ho řešit
Výchozí brána IPv4: (nic)
Server DNS IPv4: 192.168.88.1
Server WINS IPv4: (nic)
NetBIOS nad TPC /IP: Ano

Díky za jakýkoliv nápad.

/je klidné možné, že jsem nenastavil něco, co vám zkušeným příde jako samozřejmé, tož do mě

//pokud není moje otázka jasná, či jsem zapomněl uvést něco podstatného, ptejte pls

[Reklama]

[smoofy]

Problem cujes spravne. Ty totiz mas IP sice stejne, ale v jinem rozsahu, coz sam vidis na te masce. Pokud to zmenis na jiny rozsah, tak to pinguje, protoze router dela presne to co od nej ocekavas, routuje. Duvodem, proc nevidis zarizeni bez jejich IP je to, ze ty rozpoznavaci mechanismy funguji na principu broadcastu, kterej ale routerem standartne neprojdou. Resenim je vytvorit L2 vpn misto L3 tunelu ktery pouzivas.

Zkus treba tohle:
http://wiki.mikrotik.com/wiki/Manual:Interface/L2TP

[M.]

1) PPTP se již 20 let nepočítá mezi VPN technologie.
2) Když dáš klientovi na "VPN" IP z LAN segmentu, tak musíš na LAN portu v routeru povolit režim proxy-arp. Předpokládám, že tam máš interface jménem bridge-local, tak na něm.
3) Stejně ti nebude fungovat prohlížení síťového okolí, protože Mikrotik nemá funkci broadcast pass thru. Takže v síťovém okolí nic nalezené neuvidíš. Pokud na síťovém okolí trváš, tak musíš použít OpenVPN v L2 režimu. Co jedině můžeš, tak jména počítačů si namlátit do toho routeru pod dns static a pak se dá na ně funkčně odkazovat pomocí jména, když VPN klient použije rotuer jako DNS server (což dle nastavneí aktuálně máš).

[M.]

Jinak to, že ether2 vidíš jako slave je dáno tím, že je včleněn jako port do virtuálního switche jménem bridge-local, stejně jako wifi karta. Takž to je v pořádku. Z pohledu vnitřní logiky tak nastavuješ jako LAN vnitřní port na routeru ten bridge-local a ne etherX interfejsy (ether3 až ether5 jsou připojeny přes hardwarový switch na ether2, takže v softwarovém switchi bridge-local je jen ten ether2 a wifina).
Délka MTU a MRU ti říká, jak dlouhé pakety se mají tunelovat uvnitř toho VPN tunelu. 1460 je celkem OK s ohledme na to, že jsi na ADSL. Záleží, jaké MTU/MTU je vyjendáno na té PPPoE lince. Maximálně bude 1492. To MTU/MRU pro VPNko musí být minimálně o 20 menší, jinak to nebude s Windows klietem fungovat, takže 1450 nebo 1460 ceclkem OK hodnota pro případ, že někde by tne tvůj tunek byl ještě uvnitř nějakého jiného tunelu.
Pokud použijrš to proxy-arp a klient na VPN bude mít IP z 192.168.88.X, tak v tom ppp secrets místo 10.0.0.1 jako local-address dej 192.168.88.1 (IP routeru na LAN).

[nofu]

Aaaa, vloudila se chybka při kopírování ze staršího nastavení, v ppp secrets je samozřejmě 192.168.88.1 a ne 10.0.0.1
Thx to M.

smoofy: Na ping pomohlo povolit režim proxy-arp na bridge-local, tak jak psal M.. Já měl proxy-arp povolenej na ether2, což je mi teď, po vyčerpávající odpovědi od M., jasný, že nemohlo fungovat.

M.: díky za perfektní vysvětlení! Právě tady koumám OVPN, až na certifikáty je mi všechno jasný, tož se s tim zkusim zejtra poprat.

[Reklama]

[Mart]

Udělej OVPN jako iface  a při bridguj to ke stávajícím ifacům. Pak máš transparentní bridge na obě strany a nemusíš řešit ptákoviny.

Nejsnadnější řešení

[nofu]

Díky za odpověď.

Nemohl bys to pls trochu rozvést? Ideálně tak, aby to bylo pochopitelné pro normálního smrtelníka 

[Mart]

Vytvoříš OVPN server na jedné straně  jen jeho mód nebude IP ale ETHERNET pak  na druhé straně uděláš profil a spojíš se s touto stranou. Jak si psal výše jsou tam třeba certifikáty v momente kdy to budeš mít spojené  uvidíš v interface  OVPN jako interface. Potom vytvoříš bridge  a do něj dáš interface (eth port ) který potřebuješ  a k němu přidáš do bridge i ten ovpn interface. To uděláš na obou stranách a máš transparentní bridge.

[nofu]

To uděláš na obou stranách a máš transparentní bridge.

Zbytku asi rozumim, ikdyž absolutně nevim, jak to nastavit >> budou pokusy a omyly Ale tomuhle teda nerozumim vůbec, co je myšleno pod "na obou stranách"? Mi napadá akorát na klientské stanici, ale tam to pude těžko, nebo se mýlim?

btw. nejni na tohle někde nějakej sluště zpracovanej tutorial?

Já sem na wiki našel tohle, tam mi neni jasný, jestli tohle musim dělat pro každýho klienta nebo ne:

Kód: [Vybrat]

/interface ovpn-client
  add name=ovpn-client1 connect-to=2.2.2.2 user=client1 password=123 disabled=no
/ip route
  add dst-address=10.5.8.20 gateway=ovpn-client1
  add dst-address=192.168.55.0/24 gateway=ovpn-client1
/ip firewall nat add chain=srcnat action=masquerade out-interface=ovpn-client1
No a s cetifikátem si už vůbec nevim rady, našel jsemtenhle propracovanej návod, jenže zakufruju hnedle u prvního příkazu:

Kód: [Vybrat]

certificate create-certificate-requestMi to vypíše "template:" místo aby se to zeptalo na název souboru jako v návodu. Když vytvořim templete, tak to nepomůže, se pak jen zeptá na heslo a konec. Navíc, dále v postupu je potřeba linux, nejsem si jistej, že to pude udělat na nějakym liveCD.

Není nějakej jednodušší postup, jak získat ty certifikáty?

[Mart]

Tak začneme znovu o co se přesně snažíš ?  Potřebuješ se spojit VPN kou třeba do práce na veřejnou IP ?  nebo potřebuješ v nějaké vnitřní síti schovat trafik ?

Pokud třeba verze VPN do práce tak  první otázka co je v práci ?  Rsp je tam veřejná IP  která leží na mikrotiku ?  případně popiš jiné možnosti .

Pokud je tam mikrotik   a na něm leží veřejka tak nemáš ještě  vyhráno pokud do toho "serveru" nemáš přístup .

  tady je obrázek serveru .

Co se týká OVPN  vše je popsáno zde . http://wiki.mikrotik.com/wiki/OpenVPN

Jinak koukám že dole  pořád snažíš routovat. Tohle řešení co sem "popsal" je prakticky jen "Switch" mezi různýma místama. Čili pokud to takhle uděláš budeš mít dostupné vše co bude přidáno v  na ten bridge .

[Mart]

A jelikož jsem lempl tak neumím vložit obrázek  tak alespoň odkaz


http://hn-moon.happytechnik.cz/et/ovpn-server.jpeg

[nofu]

Je to přesně jak si popsal, snažim se připojit VPNkou do práce na veřejnou IP (tu má MikroTik) a rád bych měl přístupé.

Bohužel sem total marnej, celej den se v tom vrtám a nejsem schopnej to rozchodit ani podle toho manuálu na wiki. Bohužel je tam tolik proměných, že nemám šanci zjistit, co kde je špatně. Buď je problém s cetrifikátama, nevím jestli mám správné, případně zda je používám správně, no a největší problém mám s konfiguračním souborem klienta openVPN na windowsech.

Kdybys měl náladu a čas se na to juknout, pokusím se popsat, co a jak sem tropil:
1. Certifikáty jsem vygeneroval podle tohoto návodu. Mám tedy tyto soubory: dh1024.pem, ca.crt, server.crt, server.key, client.crt, client.key
2. Do routru sem nahrál server.crt a server.key a pak jsem je v tomto pořadí naimportoval. Certifikát má pak před sebou "KT".
3. Nastavil jsem router podle manuálu na wiki.
4. V compu jsem nainstaloval OpenVPN GUI a snažím se vytvořit konfigurační file. Ať dělám co dělám, tak se to snad ani nezačne připojovat, píše to jen Curent State: Connecting a pak to vyhodí hlášku Connecting to Client failed. Co mi ale hlava nebere, jak to může fungovat bez uživ jména a hesla, co sem našel na netu, tak ho nemaji v žádnem tom konfiguračním souboru.

[M.]

Musíš naimportovat i ca.crt do RBčka.
Konfigurace klienta pro Windows proti RBčku:

Kód: [Vybrat]

dev tap
proto tcp-client
remote 1.2.3.4 1194
tls-client
port 1194
ca ca.crt
cert client.crt
key client.key
script-security 2 system
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
mute-replay-warnings
verb 6
cipher AES-256-CBC
auth SHA1
pull
Patřičně si oprav IPčko 1.2.3.4. dále, pokud máš firewall na tom Mikrotiku, tak musíš mít povolen port 1194/TCP.

[nofu]

Certifikát jsem nakopíroval, certifikát server je v MikroTiku "KT", což se zdá správně, podle toho co se píše na netu.

Za konfigurák díky, konečně to něco dělá, ale nepřipojí se to. Nejdále jsem se dostal, když jsem změnil "dev tap" na "dev tun" - OVPN server mam totiž v módu IP. Samo sem ho zkoušel přepnout do módu Ethernet, taky se nepřipojim. Můžu sem případně hodit celej log. Log končí:

Kód: [Vybrat]

Fri Dec 19 09:29:43 2014 us=214195 TCPv4_CLIENT READ [22] from [AF_INET]XX.mo.je.IP:1194: P_ACK_V1 kid=0 [ 9 ]
Fri Dec 19 09:30:28 2014 us=942236 [XX.mo.je.IP] Inactivity timeout (--ping-restart), restarting
Fri Dec 19 09:30:28 2014 us=942736 TCP/UDP: Closing socket
Fri Dec 19 09:30:28 2014 us=943236 SIGUSR1[soft,ping-restart] received, process restarting
Fri Dec 19 09:30:28 2014 us=943236 MANAGEMENT: >STATE:1418977828,RECONNECTING,ping-restart,,
Fri Dec 19 09:30:28 2014 us=943236 Restart pause, 5 second(s)
Pravidlo do firewallu jsem přidal:
Chain: input
Protocol: 6(tcp)
Dst. Adress: XX.mo.je.IP
Dst.Port: 1194
Action: accept

Jest tak správně?

Je vůbec nějaké pravidlo potřeba, páč bez něj i s ním se to chová stejně. Podle návodu se nastavovalo:

Kód: [Vybrat]

/ip firewall nat add chain=srcnat action=masquerade out-interface=ovpn-client1

[M.]

Pokud chceš používat OVPN v režimu IP (dev tun), tak jsi na tom úplně stejně, jako s tím PPTP. Je to L3 routovaný, síťové okolí nic neuvidí, to funguje jen v pokud je tunel L2, takže ethernet mód (dev tap).
PRavidlo vypadá OK, jd eo to, jde je umístěno, jeslti vůbec něco ve firewallu v input blokuješ.
Nejjednodušší zkouška je z klientskho počítače pustit
telnet XX.mo.je.IP 1194
zda se tne telnet spojí (nic nebude vidět), pokud ne a končí na timeout, tak něco cstu někde blokuje.