VPN usmerjevalnik za oddaljen dostop iz tujine

Valhalla

Guru
17. dec 2007
4.641
1.250
113
Daniel Mikrotik VPN preko cert naj bi bila ena varnejših tunel povezav? OP bi lahko vzpostavil SSTP VPN preko cert domov in bi bil doma priklopljen z enim routerjem doma in z internetom od kjerkoli. Prosim za info, če je varnostno to kakšen problem? Hvala.
 

jekleni

Guru
1. avg 2007
2.523
853
113
Sem probal s tem ProtonVPN, pa SLO IP TV ne dela :-(
Samo kot datapoint: Proton VPN, povezava kamorkoli v EU in Telemach - dela. Morda so drugi ponudniki bolj izbirčni.

Proton VPN ima tudi slovensko končno točko, katere pa storitve, ki so geoblokirane na slovenijo (npr. shrani.si) ne prepoznajo kot slovenske.
 

Daniel

Guru
21. dec 2007
5.803
3.419
113
Daniel Mikrotik VPN preko cert naj bi bila ena varnejših tunel povezav? OP bi lahko vzpostavil SSTP VPN preko cert domov in bi bil doma priklopljen z enim routerjem doma in z internetom od kjerkoli. Prosim za info, če je varnostno to kakšen problem? Hvala.

SSTPja nisem nikoli uporabljal, tako, da ti težko povem. Trenutno za dostop do oddaljenih routerjev uporabljam na Mikrotiku L2TP tunele z IPsec, ki jih bo takrat, ko bo Mikrotik prilezel do stabilne verzije 7 zamenjal Wireguard.

Wireguard pa trenutno uporabljam v navezi z RPI 3, ki mi je slučajno še ležal doma in androidnimi napravami za povezavo domov zaradi enostavnosti namestitve PiVPN na RPI in wireguarda na android in ostale naprave. Kolikor smo testirali je prepustnost Wireguarda na RPI 3, ki ima 100 Mbit porte nekje 70 Mbit, kar zadostuje za večino uporabe.
 
Nazadnje urejeno:

crunchy

Pripravnik
15. feb 2018
41
11
8
Moho: a si rešil zadevo s temi vpnji al se še maltraš.

Dej ne komplicirajte človeku.
Posluši kupi 2 mikrotika routerja, pomožnosti hap Ac2 ali pa ta novejši hap ac3
Med njuma vspostaviš tunel EOIP, kar je samo njihov tunel. Zaščitiš ga z Ipsec in vozi miško...
Zadevo imaš v parih minutah vzpostavljeno..
Nato še vežeš eoip v novi bridge..
Ter novi bridge vežeš kjer hočeš.
Al na LAN porte al na wifije al na virtualne wifije itd..

Preverjeno. Jaz imam tako doma in špila optika 100mbit upload do roba !
Vem da je tematika stara že dve leti, vendar me zanima ali bi bilo možno nekaj podobnega uporabiti tudi v mojem primeru. Imam T-2 in android TV na morju (HR). T-2 mi na android TV deluje samo v primeru, če zazna, da sem v domačem omrežju (ni dovolj, "če sem v SLO", ampak moram biti "doma"). Trenutno imam zadevo rešeno tako, da sem na domačem mikrotik routerju (ki se nahaja takoj za vhodnim T-2 routerjem) vklopil njegov vgrajen VPN (XXXXX..sn.mynetname.net). Na morju imam Huawei router s SIM kartico od H-Telekoma, kjer sem vklopil VPN (ne spomnim se kateri protokol, predvidevam, da PPTP). Zadeva deluje, vendar gre celoten promet skozi domač VPN, zato je zadeva nekoliko počasnejša zaradi visokih ping-ov na ostalih napravah. VPN namreč potrebujem samo na android TV škatlici, ki na žalost podpira samo OpenVPN protokol in ne tega vgrajenega v mikrotiku.

Ena neposredna možnost, brez da bi se poglabljal v mikrotike (imam jih cel kup, celo viška, vendar sem jih nabavil zato, da imam dober in stabilen WiFi signal ne pa zato, ker bi jih znal uporabljati ;) ), je naslednja: Obdržim prvi Huawei ruter s SIM kartico, ki bo zagotavljal internet. Pri njemu izklopim VPN. Le-ta bo zagotavljal internet za vse naprave razen za android TV. Nato kupim še en Huawei ruter, kjer vklopim VPN za android TV in ga vežem zaporedno s prvim Huawei ruterjem. Le-tega priklopim na android TV.

Seveda bi bila idealna rešitev, če bi lahko domač mikrotik neposredno povezal na mikrotika na morju, tako, da bi se mikrotik na morju obnašal tako, kot da se nahaja v domačem omrežju. Seveda pa bi bila še boljša rešitev takšna, da bi se samo en od portov (ali morda eno od WiFi omrežij) obnašal kot da se nahaja "doma", ostali porti pa bi samo prenašali podatke iz Huaweia naprej kot navaden bridge.

Ali je sploh možna takšna konfiguracija na mikrotikih?
 

Daniel

Guru
21. dec 2007
5.803
3.419
113
Da, brez težav. Na Mikrotiku, ki bo na morju vzpostavi VPN na domači mikrotik, nato pa uporabi Mangle pravila, da bo preko tega VPNa pošiljal zgolj promet iz Android Boxa (Mangle pravilo na osnovi MAC naslova ali statičnega IPja naprave). Vse ostale naprave bojo imele hrvaški zunanji IP, Android box pa tvojega domačega.

V Mangle dodaš routing mark za to povezavo in pa v IP/routes ruto za 0.0.0.0/0 preko tega VPN z routing mark (moram preveriti če sem prav napisal, ko bom doma).

Mogoče bo potreben tudi masquarade za VPN in pa izklop fasttracka za VPN povezave (ta mi je zmeraj povzročal težave).
 

crunchy

Pripravnik
15. feb 2018
41
11
8
Hvala za expresen odgovor! Torej to je možno? To je odlična novica. Še nisem našel spletne strani ki opisuje kako na oddaljenem mikrotiku vzpostaviti VPN z domačim mikrotikom kjer le-ta uporablja svoj lasten vgrajen VPN strežnik (XXXXX.sn.mynetname.net) in ne OpenVPN ali kakšno drugo rešitev. Glede na to, da sem popolen "dummy" v konfiguracijah routerjev, ali morda veste kje bi lahko našel ustrezna navodila?
 

Daniel

Guru
21. dec 2007
5.803
3.419
113
Naslov, ki ga omenjaš ni VPN strežnik ampak Mikrotikov lasten DNS sistem, da je naprava dosegljiva na zunanjem IPju. Ima Mikrotik, ki ga imaš doma zunanji ip, oz. po domače povedano je v bridge ali je Innbox glavni? Ker če je Innbox glavni bo najprej treba malo prekonfigurirati situacijo doma, predvidevam pa, da imaš zadevo v bridge, drugače ti VPN sploh ne bi delal.

Drugače pa Mikrotik podpira praktično vse znane VPN protokole, od OpenVPN, Wireguard, IPIP, EoIP, L2TP, SSTP,...

Navodila so malo raztresena naokrog, če bom utegnil ti bom napisal kaj vse rabiš, me pa res trenutno malo čas daje, jutri bo že bolje, krenem za dalmacijo.

Najprej preveri, kar sem ti napisal zgoraj, ip na Mikrotiku doma.

Če imaš spodaj Huawei 535 ali kaj podobnega, tisto podpira PPTP in L2TP z IPSEC.

Domači Mikrotik bo moral biti strežnik, tisti na morju pa klient, ker si za operaterjevim NATom in ne moreš klicati od doma Mikrotika na morju.
 
Nazadnje urejeno:

crunchy

Pripravnik
15. feb 2018
41
11
8
Aha. Torej to je DNS in ne VPN? V bistvu je glavni Mikrotik, vsaj znotraj domače hiše. Na Innbox imam priključen Mikrotik v router načinu, torej da Mikrotik dodeljuje vse naslove znotraj hiše in ne Innbox (na tem Mikrotiku je tudi tisti mikrotikov DNS sistem). Tako so IP-ji znotraj hiše 192.168.88.X. Na Innboxu imam odprt ustrezen port ali dva (sem že pozabil kateri(a)), da prepuščam promet skozi. Tudi zanj(u) sem že pozabil zakaj sem ga (ju) odprl (ali samo zaradi Mikrotikovega DNS-ja ali tudi zaradi Nextcloud-a, ki ga imam inštaliranega na RPi nekje znotraj hiše in je od zunaj dostopen prek Mikrotikovega DNS-ja).
 

Daniel

Guru
21. dec 2007
5.803
3.419
113
Ne razumeš kar te sprašujem. Kakšen zunanji IP ima Mikrotik doma. Torej ip na ether1 vmesniku. Vidiš ga v Quickset desno zgoraj. Ker tako po opisu se mi zdi, da imaš doma dvojni NAT kar je popolnoma nepotrebno.
 
Nazadnje urejeno:

Daniel

Guru
21. dec 2007
5.803
3.419
113
To ni ok, zakaj imaš tako priklopljeno? Pokliči na T2 in vprašaj če je kateri port na Innboxu v bridge. Ponavadi je to četrti port, ni pa nujno. Tako, boš dobil na mikrotiku doma direktno zunanji IP, namesto, da ti sedaj ves promet gre najprej čez Innbox in nato še čez Mikrotik. Potem pa naprej vse nastavitve urejaš na Mikrotiku, Innbox pa je samo modem. Če si na T2 omrežju direkt, lahko kar poskusiš priklopiti Mikrotika v četrti port na Innboxu, pa potem poglej, če je na Mikrotiku zunanji ip. Torej vse kar se ne začne z 192, 172 in 10.

Ko boš to uredil pa greva dalje v nastavitve VPN.
 

Daniel

Guru
21. dec 2007
5.803
3.419
113
Poskusi si urediti vsaj L2TP VPN z IPsec, PPTP že dolgo več ni varen, je pa res, da boš takrat moral narediti še obvod mimo fasttracka. Ali pa za začetek postavi kar na PPP, pa lahko tudi kasneje menjaš. Mimogrede, katere Mikrotike uporabljaš in na kateri verziji so?

Sedaj moraš torej na tistem Mikrotiku, ki bo na morju vzpostaviti VPN povezavo na domač mikrotik. Dobro je sicer, če jim malo menjaš IPje, ki jih uporabljajo za VPN, bi pa najbrž moralo delati tudi brez tega. Priporočam, da na Mikrotiku, ki kliče kreiraš nov profil za to VPN povezavo (PPP - Profiles) in potem pod nastavitve povezave izbereš ta profil.

V verziji 7 greš pod Routing - Tables in dodaš recimo ime t2tv, označiš kljukico pri FIB, klikneš OK
Nato greš pod IP - Routes in dodaš novi route: Dst.Adress 0.0.0.0/0, Gateway (ime vpn povezave, ki si jo kreiral), Routing table izbereš t2tv, klik na OK
Nato v IP - Firewall - Mangle dodaš novo pravilo: Chain: Prerouting, Src. Adress (IP android BOXa), nato na zavihek Action, izbereš mark routing, new routing mark t2tv, kljukica pri passthrough.

Mogoče bo treba dodati še NAT Rule: Chain srcnat, out interface: all ppp, action: masquarade

To je to za osnovno delovanje, morda sem tudi kaj spregledal, ker tega ne nastavljam pogosto in vmes kak detajl pozabim, pa potem rabim par ur, da ugotovim kje je težava.

Obstaja sicer še ena varianta tega, ampak o tem bova kasneje, če bo treba.

Javi kako bo šlo.
 
Nazadnje urejeno:
  • Všeč mi je
Reactions: Valhalla

crunchy

Pripravnik
15. feb 2018
41
11
8
Najlepša hvala za napotke! Domač mikrotik (glavni, takoj za Innboxom) je tip RB962UiGS-5Hac T2HnT, SW verzija v6.46.1
Na morju imam enak router, ne vem pa za verzijo SW.
Vsi napotki so za router, ki je na morju, če sem prav razumel?
 
Nazadnje urejeno:

Daniel

Guru
21. dec 2007
5.803
3.419
113
Pri verziji 6 se routing mark nastavlja malo drugače, morda celo bolj enostavno kot sem opisal, ker nima dropdown menija za izbiro routing marka ampak jo samo vpišeš. Saj boš najbrž ugotovil.

Glede na to, da ti je že sedaj delal VPN iz morja domov načeloma doma ne rabiš ničesar spreminjati in je treba nastaviti zgolj Mikrotik, ki je na morju. Če bi slučajno bila kaka težava bova pa pogledala.

Kdaj nameravaš nastavljati tistega na morju?
 

crunchy

Pripravnik
15. feb 2018
41
11
8
Hvala!
Na morju bom po vsej verjetnosti proti koncu tedna in bom videl ali mi bo kaj uspelo. Pri vseh navodilih moraš nekje vstaviti IP od VPN-ja, vendar je pri meni dinamičen (tisti naslov XXXXX.sn.mynetname.net). Upam, da mi bo uspelo kaj urediti. Seveda pa bi bila v redu tudi vsakršna rešitev, kjer bi lahko znotraj android TV box-a naložil nek VPN app, ki bi se povezal na domač mikrotik. Na žalost se mi zdi da sem med aplikacijami za android TV našel samo OpenVPN (ne da se mi ukvarjati s certifikati).
Sicer pa sem šele sedaj ugotovil, da imam "morski mikrotik" doma (v avtu), ker ga nisem več nujno potreboval, ko sem v Huawei-ju vklopil VPN na domače omrežje.

Drugače sem našel tudi tole povezavo (ampak očitno strežnika ni potrebno kreirati, če mi VPN deluje?):
https://netpro.lv/en/basic-l2tp-ipsec-server-configuration-on-a-mikrotik-device/
 

Daniel

Guru
21. dec 2007
5.803
3.419
113
Če boš kje v južni dalmaciji lahko pomagam v živo, če ni predaleč, drugače pa samo tako. Ne vstavljaš IPja ampak vstaviš ta naslov, tam ko boš kreiral predvidevam da PPTP povezavo. Ta naslov te bo zmeraj pripeljal do tvojega Mikrotika (dejansko gre za serijsko številko naprave).

Kar se tiče aplikacije dela recimo Wireguard kot aplikacija na Android boxu ampak konfiguriranje strežnika na Mikrotiku ti bo vzelo kar nekaj časa, obenem pa boš moral Mikrotik posodobiti na verzijo 7, ker je šele tam možen Wireguard in pa tudi Zerotier (ki v tem primeru ne pride v poštev).

Obstaja sicer stran za konfiguriranje Wireguarda ampak potem moraš pravilne podatke prekopirati v Mikrotik:

Če imaš Mikrotik doma ga lahko poskusiš priklopiti v kako drugo omrežje (drug zunanji IP) in konfigurirati.

Ta navodila so OK, morda tudi tu najdeš kaj uporabnega: https://www.youtube.com/mikrotik/videos
 

crunchy

Pripravnik
15. feb 2018
41
11
8
Najlepša hvala za napotke. Bom preveril navodila in se še oglasim. Ne bom v Dalmaciji, ampak na Cresu. :)
 

damirj

Guru
9. maj 2012
5.321
2.423
113
Na mikrotiku nastavi OpenVPN, na t2 modemu spusti skozi udp port 1194 (privzeti, ali pa kateregkoli bos ze nastavil). Za sam VPN ne moti niti dvojni NAT, niti za L2TP to ni problem. Ampak OpenVPN ima fino funkcijo, ki na nivoju posameznega klienta pove, da spelje ves promet skozi server, to je pa to kar ti potrebujes. Openvpn klient obstaja tudi za android naprave in ga tako najprej pozenes, vzpostavis povezavo in odpres t2 tv app. Povezavo lahko pa pustis tudi non stop aktivno-povezano, tudi sama povezava se ponovno poveze avtomatsko takoj, ko ima povezavo v internet. L2TP bi ti za taksne namene odsvetoval, ker je kot prvo zelo tezko celoten promet tunelirat skozi taksno povezavo (ce se ne motim, se na mikrotiku tega niti ne da, pa se zdaj ne spomnim vec v cem je tocno problem), pa se sam reconnect traja vec casa, niti nimas nekih moznosti razlicnih nastavitev na posamezen klient in se dodaten router rabis na klient strani. Za OpenVPN sicer res rabis certifikate, ampak to niso trusted certifikati in jih lahko sam kreiras z opessl ali pa xca aplikacijo.
 

Daniel

Guru
21. dec 2007
5.803
3.419
113
Tuneliranje prometa skozi L2TP ni noben problem. Gor lahko obesiš tudi EoIP in dobiš na drugi strani LAN, kot, da bi bil na isti lokaciji. Še Multicast dela gor.