Mikrotik od Zera - Serwer VPN L2TP / IPSec #07
Konfiguracja serwera VPN z wykorzystaniem L2TP i klucza IPSec
Blog: grzegorzkowalik.com/mikrotik-...
Patronite: patronite.pl/profil/31821/grz...
Facebook: / networksystems.wwo
Grupa FB: / 694376074075884
Discord: / discord
Пікірлер: 68
Kupiłem wczoraj MT hapAC3 i też miałem problem po skonfigurowaniu wg. tego poradnika, jak ktoś ma błąd w logach pt. "no suitable proposal found" to już mówię co trzeba zrobić: Regułę w firewallu od VPNa przenosimy na samą górę, następnie wchodzimy Interfaces - zakładka Interface - z listy wybieramy nasz Bridge (ja mam defaultowy config z quickseta) i jak klikniecie LPM to otworzy się okienko i w polu ARP - Wybieramy "proxy-arp" , dajemy apply i powinno wszystko działać :) Mi na Win10 wszystko działa ale na iphone nie chce się połączyć niestety... muszę jeszcze do tego dotrzeć :) ps: dzięki za poradnik! :)
@NetworksystemsPlgk
3 жыл бұрын
To bardziej wyglada jakbys mial regule z dropem wyzej niz ta od vpna. Co do windowsa 10, to w niektorych wersjach trzeba zmienic ustawienia w Windowsie support.microsoft.com/en-us/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows
Udało mi się skonfigurować tego VPN'a jednak, brakuje mi informacji jak skonfigurować do tego DNS'a by można było korzystać z wpisów zdefiniowanych (static) w DNS mikrotik'a dla połączenia VPN, by nie trzeba było pisywać adresów IP. Może jakaś podpowiedź?
Mam pytanie dotyczące certyfikatów ssl. Mam wygenerowany i popisany własnoręcznie cert ssl dla routera i śmiga. Ale chciałbym także dla ap. Wygenerowałem z podpisem CA certyfikat dla drugiego routera (6.46.7) i przeglądarki po imporcie wywalają niezgodnośc protokołów szyfrowania( cos takiego). Na mikroiku rbd53ig (6.46.8) , głównym działa fajnie certyfikat podpisany ale na drugim routerze nie chce ten podpisany z pierwszego routera i zaimportowany na drugi działac. Pierwszy ogarnąlem tak, common name: nazwa ddns i w dodatkowych informacjach adres ip podałem to poszło fajnie.
Bardzo fajny poradnik. Jak zrobić by przydzielony adres z puli pool_vpn zostawał na dłuższy czas? Czy można regulować czas takiego przydziału adresu IP?
Świetne materiały brawo, dla fanów Mikrotik'a - miejsce ulubione. Bawię się konfigurację VPN'a - zastanawiam się gdzie dokładnie, w jakiej kolejności ma być wpis do firewall'a. Jak mam go na samym dole po "defconf: drop all from WAN not DSTNATed" to nie łączy, jak przesuwam wyżej po "defconf: accept established,related,untracked" łączy - w którym miejscu powinien być, aby było idealnie - ma to jakieś większe znaczenie? Mam firewall'a z pudełka ustawionego, raczej - aż tak tego nie ocenie, wygląda jak Twój ze skryptu. Z góry dzięki za odpowiedz! Raz jeszcze dzięki za komplet materiałów.
@NetworksystemsPlgk
2 жыл бұрын
Wpisy w FW działają z góry na dół, dlatego ważna jest aby allow/accept było nad dropami.
Witam a jak ustawić na mikrotiku który stoi za HORIZONEM UPC OpenVPN. Ktoś już coś takiego robił ?
witam. OK zasoby widzę ale jak chciałbym dostać się do serwisu lokalnego po http to już nie działa - pomoże ktoś
Jak zawsze super materiał. Wszystko działa :) pytanko jak udostępnić dostęp do routera po vpn
@NetworksystemsPlgk
4 жыл бұрын
Zobacz najpierw: kzread.info/dash/bejne/eXWuu86YirHNf9I.html
@jekob_pl
4 жыл бұрын
@@NetworksystemsPlgk Znalazłem - wielkie podziękowania !
nie moge się połączyć z vpn wyskakuje komunikat: The l2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer
Maskarady dla połączeń VPN nie musimy ustawiać?
Mam problem z równoczesnym połączeniem wielu użytkowników. Przy jednym działa wszystko szybko i stabilnie. Gdy kolejna osoba się połączy (inny login i hasła, ten sam klucz wstępny) zrywane są dotychczasowe. Sporo jest w Internecie o tym ale brak skutecznego rozwiązania. Z góry dziękuję za pomoc.
Całkiem fajnie. Zastanawia mnie czy jest możliwość zestawienia tunelu VPN L2TP z kluczem IPsec site-to-site? Z innej beczki, dobrze też dorzucać coś o bezpieczeństwie, np. zabezpieczenie przed bruteforce na l2tp (bledny login lub haslo, bledny klucz ipsec itd.). Radzę zerknąć w logi i od razu ciepło się robi. Ostatnio miałem araki slow bruteforce tj. każdy atak z innej adresacji ip co znacznie utrudniało blokady ip np. po 3 nieudanych próbach autoryzacji. Ostatecznie musiałem zawęzić adresacje ip dla vpna :(. Pozdrawiam, takie incjatywy warto wspierać. Ps. jakiś temat z nowinek np. wifiwave2, routerboard v.7 lub api rest?
@NetworksystemsPlgk
2 жыл бұрын
Przy s2s lepszym pomysłem jest zwykły IPSec. Niestety w MT przy Firewallu jest dużo pracy jeżeli chcemy go dobrze zabezpieczyć. Warto skorzystać z skryptów na geolokalizacje i wycięcię "podejrzanych" krajów. Obecnie pracuje nad kursem z ROS 7.0, także niedługo wpadnie coś nowego.
Co jeżeli router nie posiada stałego adresu ip?(np orange czy netia), da radę połączyć to np. z no-ip.org? Może w przyszłości uda się tutorial o konf. no-ip zrobić?
@szymongadyn5158
3 жыл бұрын
Mikrotik ma wbudowany ddns, w ustawieniach cloud to sie ustala :)
brak informacji czy mikrotik jest w trybie routera czy zwykłego bridge, czy dhcp server był konfigurowany, jakie ip na jakich interface są poustawiane
@NetworksystemsPlgk
4 жыл бұрын
it-diagnostyka to jest kontynuacja serii, to o czym mowisz jest we wczesniejszych odcinkach
Czy jest możliwe by z jednej odległej (względem Mikrotika) lokalizacji (ten sam zewn. adres IP) nawiązać więcej niż jedno połączenie L2TP IPsec do tego samego serwera VPN? Mam sytuację taką, że gdy z odległej lokalizacji połączy się jeden klient VPN wszystko jest ok ale gdy z tej samej lokalizacji podłączy się drugi klient VPN wówczas obydwa połączenia gubią pakiety i praca tych klientów jest niestabilna. Niestety w materiale nie ma nic na ten temat.
@NetworksystemsPlgk
2 жыл бұрын
Jeden router może robić jako koncentrator VPN, czyli może przyjąć wiele połączeń. Sprawdź czy masz dobrze ustawiony profil klienta l2tp oraz jak przydzielane są adres IP dla połączeń VPN
W moim przypadku mogę bez problemu nawiązać połączenie z poziomu iPhone, ale na Windzie już się nie udaje, nie wiem gdzie dalej szukać przyczyny :( moim dostawcą internetu jest lokalny wisp
@NetworksystemsPlgk
4 жыл бұрын
Sprawdź czy przy regule firewall'a albo w zakładce connection pokazuje się ruch z Twojego adresu IP. Będziesz wiedział czy dostawca blokuje porty czy nie.
witam, połączenie działa ale nie wychodzą ping do sieci lan jak i do internetu, podajcie prosze rozwiązanie. co trzeba zrobić?
@weareonlynumber
3 жыл бұрын
użyj proxy-arp na bridge
Czy możliwe jest połączenie dwóch (lub więcej) komputerów (z tego samego zdalnego adresu) do tak utworzonej konfiguracji ? Mnie się to nie udaje i nie wiem co może być przyczyną. Mogę zainicjować wiele vpn-ów - ale muszą być z różnych adresów (oczywiście każdy ma swój login i hasło)- wszystko działa jak należy. Przy próbie połączenia dwóch tuneli z jednego adresu (dwa laptopy z tej samej sieci lokalnej - każdy loguje się na innego użytkownika vpn) połączenie zostaje nawiązane (widoczne są dwa połączenia w Active connections), jednak żadne z tych połączeń nie działa prawidłowo (nawet ping).
@NetworksystemsPlgk
2 жыл бұрын
Wygląda jakby coś nie pasowała z bypassem maskarady. Reguła na pewno jest na pierwszej pozycji??
@bogdankulinski9688
2 жыл бұрын
/ip firewall filter add action=accept chain=input dst-port=1701,500,4500 log=yes log-prefix=L2TP protocol=udp jest na pierwszym miejscu
Skąd bierzesz pule adresów dla vpn? Tzn są to adresy lokalne w sieci klienta vpn?
@NetworksystemsPlgk
Жыл бұрын
Pule ustawiasz ręcznie poprzez IP-Pool. Zawsze lepiej jest przygotować inna adresację niż LAN, później tylko routingiem sterujesz.
Nie działa mi polaczenie z mikrotika do kompa: ipsec ikev2 na androidzie smiga, na windowsie z kluczem współdzielonym nie chce. Nawet po wyłączeniu ip sec nie chce. No suitable prospolal found. Dead phase2 coś takiego z logów wychodzi
@NetworksystemsPlgk
3 жыл бұрын
Jaką masz wersje RouterOS? MT dość często miesza za ipsec.
@piotr424
3 жыл бұрын
@@NetworksystemsPlgk w profiles dałem propolsal check na obey zamiast strict. Działa, ale vpn tylko 1 rdzen obciąza a nie 4. Niby w v7 poprawią. Mi vpn przewala 120Mb/s a bez vpn idzie 200 i cpu:20% ruch sie rozkłada na rdzenie a z vpn:25% około i 1 rdzen na 100%. Ros:6.46.7
U mnie jest problem z dostepem do sieci lan przez vpn. Sam VPN się połączył i dostał adres z puli (inna adresacja niż lan). Niestety żaden ping nie dochodzi do żadnego urządzenia w sieci LAN, próbowałem wyłączać w firewall-u regułki dropujące, włączyłem proxy-arp na bridge, niestety nic nie pomaga. Może jakaś podpowiedź?
@vm123
2 жыл бұрын
aktualizacja - okazuje się że winna jest opcja "Use default gateway on remote network" w propertisach połączenia vpn klienta windows. Domyślnie konfigurując vpn, opcja ta jest zaznaczona, powoduje to jednak że cały ruch pchany jest przez VPN, także strony www itp... przy zaznaczonej opcji można się dostać do sieci LAN, można pingować urządzenia w sieci. Po odznaczeniu tej opcji, ping przestaje działać, wygląda na to że cały ruch przestaje być pchany przez VPN, dostęp do urządzeń w LAN też przestaje działać. Z tego co wyszukałem, taka konfiguracja określana jest mianem "Split tunneling". Może coś więcej na ten temat?
@NetworksystemsPlgk
2 жыл бұрын
Dobry pomysł, będę musiał uzupełnić materiał o split tunnel. Dzięki
@vm123
2 жыл бұрын
@@NetworksystemsPlgk bardzo by się przydało, mi jeszcze nie udało się tego skonfigurować, wiec czekam z niecierpliwością
witam, fajnie dziala ale jak zrobic zeby server na mikrotiku byl dostepny z zewnatrz? w lokalnej sieci dziala ale jak zrobic zebym mogl sie wbic np poprzez lte... domene mam zalozona tylko co dalej? jakie porty przekierowac i na jakie ip w mikrotiku samego routera?
@NetworksystemsPlgk
4 жыл бұрын
Porty 1701,4500,500 UDP
@jacek1983polska
4 жыл бұрын
@@NetworksystemsPlgk tak zrobilem jak masz na filmie ale nie dziala to u mnie....
@NetworksystemsPlgk
4 жыл бұрын
@@jacek1983polska Czy pakiety pokazują się przy regule??
@jacek1983polska
4 жыл бұрын
@@NetworksystemsPlgk ok dziala juz:) musialem zaznaczyc proxy-arp na bridgu i odpalilo dzieki za informacje i za pomoc
Niestety nie działa w logach respond new phase,isakmp_sa established , purgin iskamp_sa ,isakmp_deleted ma ktoś jakiś pomysł?
@NetworksystemsPlgk
2 жыл бұрын
Włącz opcje debug w logach
Co dodać do firewalla, aby cała sieć vpn-a mogła też łączyć się przez WinBoxa ?
@sarq1
9 ай бұрын
przez Winbox do czego się podłączać?
@NetworksystemsPlgk
8 ай бұрын
sprawdź ip-services i allowed addresses.
Ktoś wie dlaczego to zestawienie działa bardzo powoli? Mam server L2TP/IPsec RB4011 na świetle 1Gbps/300Mbps i zero obciążenia - jeden klient VPN. Połączenie klienta Windows i prędkości po 20Mbps przy kopiowaniu plików itd. Oczywiście od strony klienta mam łącze 300/100.
@piesmax4115
3 жыл бұрын
Bo od tego są łącza dzierżawione. Pewnie dostawcy ograniczają, żeby korzystać z łączy biznesowych a nie domowych do rozwiązań w firmach itd.
@weareonlynumber
3 жыл бұрын
@@piesmax4115 Jesteś w błędzie, to jest kwestia ustawien firewalla. Doszedłem do tego i działa bardzo dobrze.
@arturnadolski9810
3 жыл бұрын
@@weareonlynumber Co zmieniłeś na firewallu?
@czaras_
6 ай бұрын
@@weareonlynumber Też jestem ciekaw. Dasz info co ustawiłeś?
niestety u mnie nie, nie łączy się a zrobiłem wszystko wg. tutka :(
@jacek1983polska
4 жыл бұрын
wlacz proxy-arp na bridgu i ci sie polaczy. U mnie z max os dziala po lanie i po lte nie moge tylko z komorki sie polaczyc ale to pewnie problem androida bo nie tylko ja mam z tym klopot.
@NetworksystemsPlgk
4 жыл бұрын
Co mikrotik pokazuje w logach? Czy pojawia sie ruch na portach w fierwallu??
@DawidKacprzyk
4 жыл бұрын
@@jacek1983polska Gdzie to włączyć? mam mikrotika i ogólnie jestem bardzo zadowolony, zaraz sprawdzę logi. Ale to sprzęt dla power user a ja informatykę skończyłem w 2002 r :)
@jacek1983polska
4 жыл бұрын
@@DawidKacprzyk siema sorry ze teraz odpowiadam ale dopiero mam wolne i moge ogarnac temat. sproboj przesunac w firewall regule z przekierowaniami na sama gore jako pierwsza regula i w tedy sproboj sie polaczyc. co do arp proxy to: po lewej INTERFACES-zakladka Interface-Zaznacz BRIDGE-zakladka GENERAL i pole ARP wybierz:proxy-arp. U mnie w tym configu dziala jak lacze sie np na drugim kompie z polaczeniem lte.
Za wysokie MTU. Prawidłowe to max 1420
@weareonlynumber
3 жыл бұрын
Hej, czy ustawienie tego MTU wpłynie na prędkość połączenia? Bo strasznie wolno to idzie u mnie na RB4011 L2TP/IPsec
@sp5wit
3 жыл бұрын
@@weareonlynumber Jak masz MTU większe dla tunelu VPN niż MTU łącza, to musi fragmentować pakiety. Tu masz opis jak obliczyc MTU: www.tp-link.com/pl/support/faq/190/
masquarada potrzebna koniecznie bo nie wychodzi na świat !!!