Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Cost abonament clinica privata

Tremura toata, dar nu de la ro...

Renault Android

Recomandare bicicleta e-bike 20&#...
 Bing-Content removal tool

Nu pot accesa monitorulsv.ro de l...

Cum sa elimini urmele de acnee?

Wc Geberit
 Routere detinute in trecut si in ...

Teii din fața casei

E-Mail in serie prin Excel si Out...

Modul alimentare rulou/jaluzea ex...
 Recuperare fișiere dupa form...

Aplicatii stress test RAM

Asigurare auto hibrid

Asus B550M - PC-ul nu porneste di...
 

Mikrotik RouterOS - configuratii diverse, tricks, etc

* * * * * 3 votes
  • Please log in to reply
430 replies to this topic

#1
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,385
  • Înscris: 29.11.2001
GO!

Eu voi incerca sa tin un index aici!

#2
JohnnyUSA

JohnnyUSA

    Active Member

  • Grup: Members
  • Posts: 1,021
  • Înscris: 27.01.2006
Ok, imi fac eu curaj si postez prima chestie utila:


Server VPN L2TP/IPsec

Inainte de a continua, trebuie sa tinem ca in exemplul meu:
1. Routerul este configurat cu DHCP Range: 192.168.1.10-192.168.1.70 si gateway: 192.168.1.1
2. pppoe-out1 reprezinta WAN-ul
3. Configurarea se face prin intermediul WinBox -> Terminal
4. Versiunea de ROS pe care s-a testat este: 6.45.1

Iata ce trebuie sa facem:

A. Trebuie sa setam proxy-arp pe interfata BRIDGE
[toor@ITWorld] > /interface bridge print			
Flags: X - disabled, R - running
0 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1592 arp=enabled
	 arp-timeout=auto mac-address=xxxxxxxxxxx protocol-mode=rstp
	 fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m
	 priority=0x8000 max-message-age=20s forward-delay=15s
	 transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no

/interface bridge set 0 arp=proxy-arp


B. Setam serverul VPN
/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-128-cbc,3des lifetime=8h name=\
"L2TP/IPsec Proposal" pfs-group=none

/ip pool
add name=IPsec-L2TP-Pool ranges=192.168.1.100-192.168.1.105

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8,8.8.4.4 local-address=192.168.1.1 \
name=L2TP/IPsec remote-address=IPsec-L2TP-Pool use-compression=yes \
use-encryption=yes

/ppp secret
add name=nume password=XXXXXXXX profile=L2TP/IPsec service=l2tp

/interface l2tp-server server
set default-profile=L2TP/IPsec enabled=yes ipsec-secret=YYYYYYYY use-ipsec=\
yes


Acum, avem serverul VPN configurat dar nu-i de ajuns, va trebui sa adaugam si niste reguli de firewall pentru a avea o conexiune VPN functionala:

C. Reguli Firewall pentru serverul VPN
/ip firewall filter
add action=accept chain=input comment="L2TP/IPsec VPN" dst-port=500 \
	 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input dst-port=1701 in-interface=pppoe-out1 protocol=\
	 udp
add action=accept chain=input dst-port=4500 in-interface=pppoe-out1 protocol=\
	 udp
add action=accept chain=input in-interface=pppoe-out1 protocol=ipsec-esp
add action=accept chain=input in-interface=pppoe-out1 protocol=ipsec-ah


De retinut:
1. inlocuiti NUME cu un nume de utilizator, de exemplu: gigel
2. XXXXXXXX cu o parola pe care o preferati
3. YYYYYYYY cu o parola complexa folosind https://passwordsgenerator.net/ pentru o mai buna securitate

Acum, aceasta configuratie ruleaza ok dar.. am o singura problema, daca ma conectez de pe un dispozitiv cu iOS, internetul nu functioneaza desi pot accesa toate masinile din spatele VPN-ului. Poate ma lumineaza careva. Totodata, daca aveti sugestii si putem imbunatati configuratia de mai sus, go for it Posted Image

Edited by JohnnyUSA, 11 July 2019 - 20:54.


#3
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,524
  • Înscris: 07.03.2006
IOS-ul e in spate la un double-NAT? Gen provider GMS?
IOS-ul conectat la o retea wifi (alta decat a ta) se conecteaza la internet folosind vpn-ul?
ce output ai la
ip ipsec peer print
(vezi ca afiseaza pre-shared-key pune si tu XXX Posted Image

Daca ai setat
generate-policy=port-strict
ar trebui sa il modifici in generate-policy=port-override la fel si cu passive mode sa fie activ "yes" (nu stiu exact care e sintaxa) si nat-traversal "yes" <== trebuie modificat manual setarile ipsec din l2pt.

#4
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,524
  • Înscris: 07.03.2006
PS
Ca best practice, printre altele, subnet-ul vpn-ului ar trebui sa fie altul decat cel default cu main lan-ul, si sa routezi intre cele 2 vlan-uri :P

#5
JohnnyUSA

JohnnyUSA

    Active Member

  • Grup: Members
  • Posts: 1,021
  • Înscris: 27.01.2006
@ogo,

[toor@ITWorld] > /ip ipsec peer print
Flags: X - disabled, D - dynamic, R - responder
0 DR name="l2tp-in-server" passive=yes profile=default exchange-mode=main
	 send-initial-contact=yes


Edited by JohnnyUSA, 12 July 2019 - 10:45.


#6
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,524
  • Înscris: 07.03.2006
1. salveaza configuratia actuala!


2.
revin ca da eroare, nu merge modificat peer 0 ci trebuie recreata de la inceput manual configuratia ipsec. :D

[ogo@gw-002-test] /ip ipsec identity> set generate-policy=port-override
numbers: 0
failure: can not change dynamic peer
[ogo@gw-002-test] /ip ipsec identity>


[ogo@gw-002-test] /ip ipsec identity> print
Flags: D - dynamic, X - disabled
0 D  ;;; l2tp-in-server



#7
eujeleu

eujeleu

    Junior Member

  • Grup: Members
  • Posts: 24
  • Înscris: 05.04.2007
Salut, intreb si eu aici poate are cineva vreo  idee. Sunt incepator in RouterOS, am cumparat de curand un HAP AC2, am net de la rds. Cutia de la rds are si dhcp pornit iar mikrotik-ul l=am setat ca bridge sa il folosesc pentru wireless. Problema apare la telefoane in momentul cand se conecteaza la el am cateva secunde fara internet. Daca ii dau un speedtest dupa cateva secunde incepe si merge si nu mai am probleme. Las mai jos config-ul poate are cineva vreo idee. Multumesc.

jul/10/2019 20:54:45 by RouterOS 6.44.3
# software id = G6SR-7D1N
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00AAF0B5E
/interface bridge
add name=bridge1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=dorin supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2447 mode=ap-bridge security-profile=dorin ssid=MikroTik wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no mode=ap-bridge security-profile=dorin ssid=MikroTik wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2200
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Bucharest

Edited by Tyby, 22 January 2021 - 19:48.


#8
JohnnyUSA

JohnnyUSA

    Active Member

  • Grup: Members
  • Posts: 1,021
  • Înscris: 27.01.2006
De ce nu aplici metoda clasica sa scapi de toate bataile astea de cap? Treci cutia de la RDS in mod bridge si dintr-o data, viata devine mai frumoasa Posted Image

Mie mi se pare ca te faultezi singur bazandu-te pe petarda aia de la RDS sa se ocupe de routare pe cand ai un dispozitiv cu adevarat bun pe partea de routare in persoana AC2-ului.

Edited by JohnnyUSA, 14 July 2019 - 13:06.


#9
JohnnyUSA

JohnnyUSA

    Active Member

  • Grup: Members
  • Posts: 1,021
  • Înscris: 27.01.2006
@ogo,
am avut ceva timp liber weekendul asta, am dat un NETINSTALL si am refacut totul "pe curat".

Configurare VPN:
/ip ipsec proposal
add enc-algorithms=3des name=L2TP/IPsec

/ip pool
add name=L2TP/IPsec ranges=172.16.0.2,172.16.0.10

/ppp secret
add name=user password=AAAAAAAAAAAA profile=L2TP/IPsec service=l2tp

/ppp profile
add dns-server=1.1.1.1 local-address=172.16.0.1 name=L2TP/IPsec \
remote-address=L2TP/IPsec

/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=L2TP/IPsec enabled=yes \
ipsec-secret="BBBBBBBBBBBB" use-ipsec=yes

/ip ipsec policy
add dst-address=0.0.0.0/0 peer=l2tp-in-server proposal=L2TP/IPsec \
src-address=0.0.0.0/0

Configurare Firewall pentru VPN:
/ip firewall filter
add action=accept chain=input comment="L2TP/IPsec VPN" port=1701,500,4500 \
protocol=udp
add action=accept chain=input protocol=ipsec-esp


Bun, am testat pe laptop prin Personal Hotspot de pe telefon + conectare la VPN prin laptop si internetul functioneaza pe laptop. In schimb, daca incerc direct pe telefon.. cioaca. Aceeasi problema.
Am implementat si ceea ce ai zis tu mai sus renuntant la generarea dinamica si am setat port-override, nicio schimbare asa ca am revenit la configul din acest post. Am observat totusi o chestie interesanta, am instalat pe telefon iNetTools si am incercat sa dau ping intr-un ip extern (gmail, de ex). Am primit reply, ceea ce inseamna ca net am pe telefon si ar fi o problema de DNS.

Acum, de ce problema asta nu se manifesta pe laptop? Totodata, am deja un dns setat in configuratia vpn-ului (1.1.1.1 - CloudFlare).

Edited by JohnnyUSA, 15 July 2019 - 13:50.


#10
Fane

Fane

    cipat

  • Grup: Senior Members
  • Posts: 28,104
  • Înscris: 05.06.2002
ma manca si pe mine sa iau un asemenea router dar citind topicul asta incep sa am indoieli... toate setarile se fac din command line? trebuie sa fi un jedi al networking-ului pt a seta un asemenea router? un user fletz are ce se uita la un asemenea router?

#11
JohnnyUSA

JohnnyUSA

    Active Member

  • Grup: Members
  • Posts: 1,021
  • Înscris: 27.01.2006
Nu, nu se fac din command line, dar mie, imi este mai usor sa dau configuri prin intermediul liniilor de comanda.

#12
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,524
  • Înscris: 07.03.2006
@pune ca ip, ala public.
Ia vezi asa.

#13
JohnnyUSA

JohnnyUSA

    Active Member

  • Grup: Members
  • Posts: 1,021
  • Înscris: 27.01.2006

View Postogo, on 15 iulie 2019 - 15:14, said:

@pune ca ip, ala public.
Ia vezi asa.

Nu inteleg.

#14
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,524
  • Înscris: 07.03.2006
/ppp profile
add dns-server=1.1.1.1 local-address=IP-UL-TAU-PUBLIC name=L2TP/IPsec \
remote-address=L2TP/IPsec


#15
JohnnyUSA

JohnnyUSA

    Active Member

  • Grup: Members
  • Posts: 1,021
  • Înscris: 27.01.2006
Acelasi rezultat.

#16
ogo

ogo

    Senior Member

  • Grup: Senior Members
  • Posts: 4,524
  • Înscris: 07.03.2006
Daca mai adaugi un server de dns? pare prostesc dar na.
/ppp profile set L2TP/IPsec dns-server=1.0.0.1
urmatorul step e wireshark sau sa tii logurile de la vpn sa vezi ce erori apar.

#17
JohnnyUSA

JohnnyUSA

    Active Member

  • Grup: Members
  • Posts: 1,021
  • Înscris: 27.01.2006
Am incercat, degeaba. Am verificat si logurile de erori & stuff, nu vad nimic pe acolo.

/system logging
add topics=ipsec,debug

/system logging
add topics=l2tp,debug


Din pacate, nu am un dispozitiv cu Android sa vad daca la fel se intampla.
In fond si la urma urmei, nu-i bai. Ceea ce conteaza, functioneaza si pe iOS -> accesul la LAN.

Edited by JohnnyUSA, 15 July 2019 - 19:16.


#18
MembruAnonim

MembruAnonim

    MembruAnonim

  • Grup: Banned
  • Posts: 398,226
  • Înscris: 08.10.2015
Pentru cine vrea sa scape de "spam-ul" facut de clientii pe windows care cer informatii despre Web Proxy Auto-Discovery Protocol (WPAD) cu nesimtire.
Adaugam optiunea 252 in dhcp server cu valoarea '\n' si declaram acea optiune in reteaua locala.
/ip dhcp-server option
add code=252 name=wpad-null value="'\\n'"
/ip dhcp-server network
add address=192.168.69.0/24 dhcp-option=wpad-null dns-server=192.168.69.3 domain=lan gateway=192.168.69.1 netmask=24

Inlocuiti evident ip-urile din exemplu si alte optiuni cu cele folosite de voi.

Attached Files



Anunturi

Bun venit pe Forumul Softpedia!

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate