VPN na TP-Link MR200 nefunguje

[Martin-2]

Snažil jsem se propojit dvě LAN abych mohl přistupovat ke vzdálené síti. Podle návodu jsem si říkal to vypadá relativně jednoduše a nastavil vše tak jak je uvedeno v návodu. Na mikrotiku jsem postupoval podle https://www.youtube.com/watch?v=QOGiMDSv3nE , pak https://www.youtube.com/watch?v=pv10UCgG0yQ a pak jsem spadnul do této králičí nory tak hluboko že jsem to vzdal a musím se zeptat co teď.

1) Lze vůbec takto VPN provozovat?
Na straně A) je tplink MR200 připojený skrze LTE připojení, operátor O2, nemá veřejnou ani statickou IP
na straně B) je mikrotik připojený na terminátor (vlan) skrze PPPoE dsl, operátor 365internet, má statickou a věřejnou IPv4
Je zde třeba nějaké omezení ze strany operátorů které to znemožňuje?

2) Je tplink MR200 vůbec schopen poskytovat VPN?
Jestli není například firmware od O2 nějak upravený a VPN tak nelze správně vytvořit?

3) Je toto řešení vhodné?
Potřebuji se připojit na druhou síť abych mohl restartovat router, přenastavit kamery, resetovat klimatizaci atd. nemusí být propojená tak aby se permanetně viděli ale potřebuji aspoň aby PC nebo mobil se dokázal připojit a udělat výše uvedené tak aby se zařízení myslela že jsou v lokální síti jelikož mobilní aplikace jedou skrze servery výrobce a někdy se rozhodou bezdůvodně nefugovat. Bez restartu zařízení (restart v nastavení zařízení) nebo někdy i sítě (restart routeru) nejsou schopny obnovit svůj normální provoz. Nutné zmínit že VPN musí automaticky navázat komunikaci po restartu/výpadku proudu.

Moje myšlenka byla taková, že na straně B) je veřejná a pevná IP, zde se udělá VPN server, k tomuto serveru je permanentě připojená síť A) která je nastavená podle návodu na začátku. Pomocí PC nebo mobilu se připojím na tento VPN server a udělám potřebné změny v síti A). Nejde mi o sdílený provoz dvou sítí vzhledem k NAT peklu ale připojit zařízení PC/mobil, udělat úpravy, odpojit a pokračuji v síti ke které jsem připojen (práce, kavárna, atd.).

Pokud je zde nějaké řešení které je jednoduší a efektivní rád jej implementuji ale formu Teamviewer nebo obdobu nechci. Děkuji za názory

[Reklama]

[Adolf.Shitler.2]

Mohl by pomoci návod od TP-Linku: https://www.tp-link.com/ae/support/faq/1661/

[ja.]

V prvom rade si treba vyjasnit, aky typ VPN je pozadovany. Site-to-site sa konfiguruje inac, ako Roadwarrior, takze pokial chcete site-to-site A<->B a potom roadwarrior<->B, tak najprv nastavte jedno, potom druhe a nesnazte sa to robit naraz.

K existujucemu stavu, resp. k niektorym poziadavkam:

• ano, VPN (A<->B) sa da takto prevadzkovat. Privatna dynamicka adresa na jednom konci je problem, ktory sa da eliminovat:
  
  • vytvorit spojenie bude vzdy nutne zo strany bez verejnej adresy (A). Naopak, zo strany B sa nebude dat pripojit, vzdy sa musi pripajat A na B.
  • IPSec je standardne on-demand; ked cez neho po nejaky cas netecu pakety, tak sa tunel zhodi, a znova sa vytvori, az ked nejake pakety budu na ceste, ci uz z jednej alebo druhej strany. Vzhladom na predosly bod je jasne, ze zo strany B to v tomto pripade nepojde, tak ho treba nastavit tak, aby bol tunel permamentny a pri preruseni ho vzdy A obnovil.
  • IPSec/IKE overuje bud pomocou id+preshared key (psk), alebo pomocou certifikatu. Bezne sa ako id pouziva bud ip adresa, alebo fqdn. Kedze mate privatnu adresu, tak oboje je nepouzitelne a pokial by ste aj na strane B nastavili privatnu adresu A ako id, tak to bude fungovat len do okamihu, kym sa nezmeni. Da sa to vyriesit tak, ze bud sa nastavi id na nejaku znamu hodnotu (musia podporovat obe strany), alebo sa namiesto overovania id+psk pouzije ale certifikat, kde sa overuje podla common name. Certifikaty su zase dalsia zajacia nora.
• pri site-to-site nie je ziadny problem s NAT, pokial sa adresne rozsahy oboch sieti neprekryvaju.
• moderne VPN su routovane, takze nikdy to nebude "ako v lokalnej sieti". Funkcnost zalozena na broadcaste v lokalnej sieti vam nepojde (su sposoby, ako cast z nich sprevadzkovat pomocou mdns reflectoru, ale zrovna ten mikrotik nepodporuje a pochybujem, ze tplink ano). Pokial fakt potrebujete prepojit siete na L2, skuste Zerotier.

Pri roadwarrior pripojeni zase plati:

• je jedno, pokial ste za NAT a mate privatnu IP. Verejnu IP potrebuje mat VPN gateway na opacnom konci (B splna);
• o to, ci je tunel vytvoreny (je naviazane spojenie) sa stara vas klient
• mate tam mikrotik... zabudnite na openvpn, pouzite bud wireguard (od routeros v7), alebo ipsec/l2tp (sanca je, ze ho mikrotik bude hw akcelerovat).
• pokial mobilne aplikacie idu cez servery vyrobcu, tak by malo byt jedno, v akej sieti su spostene a fungovat z celeho internetu, nie? Ved predsa to je pointa, preco idu cez server a nie priamo v LAN.

Na vasom mieste teda:

• bud vyskusajte vyssie zmieneny zerotier (dost mozne, ze do siete A budete musiet pridat nejake zariadenie, minimalne rpi, kde to pobezi), co moze byt najjednoduchsie riesenie,
  
• alebo sa pri pokuse sprevadzkovat VPN o nich naucite viac, ako ste kedy chceli vediet

[_Jenda]

Nečetl jsem to, ale dal bych na TP-Link určitě a na Mikrotik pokud možno taky OpenWRT a použil OpenVPN nebo Wireguard. Jakékoli problémy se budou řešit mnohem líp než IPSec (což je na konfiguraci dadaistické umění) s uzavřeným klientem.

[panpanika]

pamatuju si ze jsem zkousel mr200 a mr6400, jeden ma na krabici velkejma pismenama ze je specialne na vpn a s tim to neslo at jsem delal co jsem delal. koukal jsem na fora a zjistil ze nejsem sam. u toho druhyho to jde.
fun fact u obou je po nejaky dobe provozu potreba vystoupit a nastoupit simku ve slotu, coz je uplne killer feature dela to vice ks (koupili jsme jich vic jeste nez byl mktik LTAP).
ale jedno pozitivum maji - u prvniho loginu ti pisou ze jim zalezi na tvoji bezpecnosti a tak si mas zvolit admin heslo dlouhy max 8 znaku )

kdyz si vzpomenu zkusim mrknout ktery propousti vpn, ale spis bych ti doporucil cemukoliv co konci -link se velkym obloukem vyhnout a konkretne tomuhle jeste vetsim...
ne kecam media konvertory zatim bez potizi a usb wifiny jakz takz..

[Reklama]

[M_D]

Nu, s trochu štěstí a více hraní by to fungovat mohlo. Dle toho O2 manuálu i FAQu odkázaného Adolfem, tak má ten TP-Link LTE router v sobě implementován IPsec tunely, ale na ty straně Mikrotiku jsi dle těch videí zkoušel konfigurovat L2TP/IPsec transport v prvním případě (což je něco trochu jiného) a v druhém OpenVPN (což je totálně něco jiného). Pokud nechceš krabičky měnit/přeflashovávat a používat ot v tom režimu site-to-site propojení, pak nezbývá, než i na straně Mikrotiku to nastavit korektně jako IPsec tunel, a to pasivní s NAT-T a neznámou adresou protistrany (čekám na připojení protistrany a ta bude za NATem a s proměnnou zdrojovou IP adresou). Ta LTE dynamická a NATovaná adresa to zkrátka u IPsec tunelů kapánek komplikuje, ale pokud není ten TP-link úplně vypatlanej, tak by to mohlo jít.
Nicméně nastavení IPsec je na straně Mikrotiku víc parametrů a budeš se muset s nima přizpůsobit tomu, co umí ten TP-link. Rozhodně projít si advanced nastavení v TP-link a dle něj i zvolit to stejné v Mikrotiku a i v něm patřičně nastavit firewall i s NAT, aby to šlo OK.
Tady někdo řešil tuhle konfiguraci TP-link<->Mikrotik, tak tam máš ideu, co vše se v MKčku nastavuje: https://forum.mikrotik.com/viewtopic.php?t=136437

[Martin-2]

Děkuji všem za návrhy, začal jsem zkoumat možnosti a vrátil se na začátek a to k ISP a schopnostem hardware.
Možná to bude pro někoho přínosem kdo by narazil na stejný problem:

1)ISP O2 má na mobilní sítí dynamickou IPv6 (což by věci ulehčilo tím že by se šlo napřímo připojit skrze DDNS (no-IP)
 
2)ISP 365internet připravuje IPv6 (provoz od 6/2022)

3)tplink archer MR200 verze 1.x neumí IPv6 I když se nastaví dualstack/pouze IPv6. Žádná verze firmware to neumí (podobnou zkušenost má více lidí).

Otázka se změnila na to jaký LTE router vybrat aby podporoval IPv6, nějaký rozumný (cena/výkon) abych zbytečně nezakládá nové téma.

[M_D]

Ad 1) O2 na LTE v základu (při použití APN internet) blokuje příchozí spojení po IPv6, takže pozor na nadšení s DDNS a přímé spojení na LTE router z venku. Pro funkční příchozí spojení je potřeba mít vyřízeno APN internet.open, u něj je dynamická veřejná IPv4 adresa a otevřené příchozí spojení. Jen nevím, zda na tom internet.open je funkční i IPv6, to se chce přeptat. Stávalo to jednorázově 600 Kč: https://www.o2.cz/podnikatel/191861-doplnkove_sluzby/166751-varianty_sluzby.html

[Martin-2]

Tak jsem zkoušel řešení Dynamické Veřejné (internet.open) a bohužel po aktivaci nefungovalo nic. Vytvořený profil dle nastavení operátora nefungoval, dle návodu TP-Link jsem zkusil vytvořit nový profil, který také nefungoval. Tak jsem hledal příčinu na internetu kde jsem narazil na fórum s téže nefunkčním internet.open a O2 guru mu napsal že tarif Air Fix umí pouze Internet.open.s (statická pevná) za krásný poplatek 250 měsíčně. Nechápu že jsem na to nebyl upozorněn hned když jsem se na zřízení ptal O2 guru. Aspoň že již zde není aktivační poplatek, takže jsem za zkoušku nic nedal. Osobně již na to rezignuji dokud tu nebude k dispozici jiný operátor s více možnostmi.

[Hornik]

Doporucuji Tailscale

[Grizzly]

Zdravím všechny,

tak po několika letech se mi záhadně podařilo na tomto routeru VPN rozchodit.
Nedokážu říct, jaký krok zabral, ale popíšu ty kroky alespoň:
1. Vrátil jsem router do systémového nastavení dlouhým držením tlačítka Reset vzadu. (Možná tento krok nebudete potřebovat, zkuste klidně nejdřív ty další kroky bez tohoto).
2. Připojil jsem se přes síťový kabel a zjistil jsem, že VPNka přes kabel funguje.
3. Nastavil jsem si jméno a heslo wifi (protože jsem udělal ten reset), a zkusil se připojit na wifi. Přes wifi ale VPN nefungovala.
4. Pohrál jsem si v Pokročilém nastavení -> Bezdrátová síť -> Nastavení: Zabezpečení jsem změnil z WPA/WPA2 osobní na WPA/WPA2 Enterprise, Uložit (hlásilo chybu), pak na WEP, Uložit (hlásilo chybu), pak zpátky na WPA/WPA2 osobní.
5. Bezdrátová síť -> WPS: Zrušil jsem zaškrtnutí PIN routeru i Povolit WPS.
6. Bezdrátová síť -> Pokročilé nastavení: Zaškrtnul jsem Izolace AP.
7. Po těchto krocích jsem vyzkoušel přes wifi VPN, a sláva, zafungovalo to.
8. Když jsem vrátil všechna zaškrtání do původní podoby, VPNka fungovala stále .

Tak třeba tento postup někomu pomůže, dejte případně vědět, pokud přijdete na to, čím přesně to bylo .

Martin

PS: Verzi firmware mám "0.9.1 0.0 v004a.0 Build 180816 Rel.31879n".