Mikrotik RouterOS - configuratii diverse, tricks, etc
Ultima postare: feb 22 2024 12:48, Inițiat de
Tyby
, iul 11 2019 16:43
·
18
#255
Publicat: 01 octombrie 2022 - 14:44
Ruben56, on 20 septembrie 2022 - 20:02, said:
merge, merge! A fost o idee excelenta de altfel. Intre timp am gasit si tutorialul asta ([ https://www.youtube-nocookie.com/embed/e-HA9XLbuBo?feature=oembed - Pentru incarcare in pagina (embed) Click aici ]) care e identic in principiu cu link-ul ce l-am pus mai sus. Singura chestia, la mangle rule pui Src. Address List, nu Dst. Address List. E logic. Mersi si spor la treburi! Am făcut și eu setările ca în tutorial și am de completat: La mark routing o să fie doar main. Pentru alte editări trebuie mers la routing/table și creată o tablă nouă, gen VPN și bifat FIB, altfel va apărea direct în mark routing sub main. Am pus la DST și nu făcea trafic. La IP/Routes, gateway-ul trebuie trecut manual. Dacă se face albastru, înseamnă că e corect. |
#257
Publicat: 12 noiembrie 2022 - 02:18
De când cu actualizarea la Android 13 s-a dus și suportul pentru L2TP și PPTP.
Acum trebuie să ai server IKEv2. Am încercat ceva configurații, dar... să zicem că nu au ieșit cum trebuie. Multe erau pentru S-2-S, dae mie îmi trebuie Server - Clientți cu IP-uri dinamice sau chiar aflate în CGN. Există vreun tutitail mai explicit pentru așa ceva? |
#259
Publicat: 12 noiembrie 2022 - 08:48
Am văzut acel PDF, dar ziceai ceva de StrongSwan. Eu voiam să-l folosesc pe clinții nativi de pe Android, iOS și chiar un alt MikroTik (wAP LTE cu internet de la Digi.Mobil).
Oare va merge? Și nu înțeleg asta: C:\Windows\system32>nslookup vpn.ike2.xyz Server: router.lan Address: 192.168.88.1 Non-authoritative answer: Name: vpn.ike2.xyz Address: 194.36.174.19 Să înțeleg că exchange-ul se face în altă parte? |
#261
Publicat: 13 noiembrie 2022 - 00:14
#262
Publicat: 13 noiembrie 2022 - 09:48
M-am uitat și eu acum, aveam Android 11 și de 2 săptămâni am pixel,și în A13 este într-adevăr suport.Nu am reușit să fac conexiunea, îmi cere și un ipsec identifier, care nu știu acum ce este. Cu clientul de StrongSwan merge și am și opțiunea să fac split VPN, că doar unele ip-uri să meargă prin VPN și restul nu, și pot sa setez și că doar unele aplicații sa earga prin VPN. In total mi se pare că este mai ok clientul acela.Cand am timp o să mă uit și dacă reușesc cu clientul nativ, pentru satisfacerea curiozității mele.
|
|
#263
Publicat: 15 noiembrie 2022 - 22:01
Ziceam eu ceva despre asta acu' ceva vreme (prin iunie: https://forum.softpe...0#entry29153331).
M-am chinuit atunci cu un lab ad-hoc cu ike v2, dar nu mi-a iesit, si am renuntat, din lipsa de timp. Cum ziceam: S10+ si Tab S6 duc in continuare L2TP pe A12, pentru ca au venit cu ele configurabile (A10 si 11 cred). S22 Ultra si Tab S8, care au venit direct cu A12, nu mai au decat optiuni ike v2. |
#266
Publicat: 17 noiembrie 2022 - 16:06
Mai jos un exemplu functional ikev2 mikrotik - android
ip ipsec/policy/print Flags: T - TEMPLATE; X, A - ACTIVE; * - DEFAULT Columns: SRC-ADDRESS, DST-ADDRESS, PROTOCOL # SRC-ADDRESS DST-ADDRESS PROTOCOL 0 TX* ::/0 ::/0 all 1 T ::/0 ::/0 all ip ipsec/proposal/print Flags: X - disabled; * - default 0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024 1 name="ikev2-prop" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=none ip ipsec/mode-config/print Flags: * - default; R - responder 0 * name="request-only" responder=no use-responder-dns=exclusively 1 R name="ikev2" system-dns=yes address-pool=ikev2-pool address-prefix-length=24 split-dns="" ip ipsec/peer/print Flags: X - disabled; D - dynamic; R - responder 0 R name="ikev2-peer" passive=yes profile=ikev2 exchange-mode=ike2 send-initial-contact=yes ip ipsec/identity/print Flags: D - dynamic; X - disabled 0 peer=ikev2-peer auth-method=pre-shared-key mode-config=ikev2 remote-id=key-id:android secret="LetMeIn" generate-policy=port-strict policy-template-group=ikev2-group ip ipsec/profile/print Flags: * - default 0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 1 name="ikev2" hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 interface/print Flags: R - RUNNING Columns: NAME, TYPE, ACTUAL-MTU, L2MTU, MAC-ADDRESS # NAME TYPE ACTUAL-MTU L2MTU MAC-ADDRESS 0 R ether1 ether 1500 00:0C:29:20:68:D3 1 R ether2 ether 1500 00:0C:29:20:68:DD 2 R ikev2-bridge bridge 1500 65535 6A:9B:E5:06:08:39 ip address/print Columns: ADDRESS, NETWORK, INTERFACE # ADDRESS NETWORK INTERFACE 0 192.168.0.103/24 192.168.0.0 ether1 1 10.10.10.1/24 10.10.10.0 ikev2-bridge 2 81.xxx.xxx.xxx/29 81.xxx.xxx.xxx ether2 ip pool/print Columns: NAME, RANGES # NAME RANGES 0 ikev2-pool 10.10.10.100-10.10.10.200 Sper ca nu am uitat nimic |
#268
Publicat: 19 noiembrie 2022 - 16:15
#269
Publicat: 22 noiembrie 2022 - 03:27
marchand, on 17 noiembrie 2022 - 16:06, said:
Mai jos un exemplu functional ikev2 mikrotik - android
Spoiler
Sper ca nu am uitat nimic Am folosit configurația și merge, dar am editat-o pentru nevoile mele. Am eliminat cel de-al doilea bridge, am adăgat mai mulți altgoritmi și musai trebuie făcută o setare în firewall. Eu am așa: Eu am avut și un L2TP funcțional. Urmăriți doar liniile ce sunt cu IKEv2. Excepție face pool-ul denumit VPN din trecut. Pentru început, la IP/IPsec/Groups trebuie creat un grup. Eu l-am denumit IKEv2 [admin@MikroTik hAP ac2] > ip ipsec/policy/print Flags: T - TEMPLATE; D, A - ACTIVE; * - DEFAULT Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUNT # PEER TUNNEL SRC-ADDRESS DST-ADDRESS PROTOCOL ACTION LEVEL PH2-COUNT 0 T * ::/0 ::/0 all ;;; IKEv2 1 T ::/0 ::/0 allAici, la Policy, bifat Template și la grup selectat IKEv2 (sau numele grupului setat mai sus) [admin@MikroTik hAP ac2] > ip ipsec/proposal/print Flags: X - disabled; * - default 0 * name="default" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=30m pfs-group=modp1024 1 name="IKEv2" auth-algorithms=sha512,sha256 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=none [admin@MikroTik hAP ac2] > ip ipsec/profile/print Flags: * - default 0 * name="default" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128 dh-group=modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 1 name="IKEv2" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128 dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 [admin@MikroTik hAP ac2] > ip ipsec/mode-config/print Flags: * - default; R - responder 0 * name="request-only" responder=no use-responder-dns=exclusively 1 R name="IKEv2" system-dns=yes address-pool=VPN address-prefix-length=24 split-dns="" [admin@MikroTik hAP ac2] > ip ipsec/peer/print Flags: X - disabled; D - dynamic; R - responder 0 R name="IKEv2" passive=yes profile=IKEv2 exchange-mode=ike2 send-initial-contact=yes 1 DR name="l2tp-in-server" passive=yes profile=default exchange-mode=main send-initial-contact=yes [admin@MikroTik hAP ac2] > [admin@MikroTik hAP ac2] > ip ipsec/identity/print Flags: D - dynamic; X - disabled 0 D ;;; l2tp-in-server peer=l2tp-in-server auth-method=pre-shared-key remote-id=ignore secret="L2TP" generate-policy=port-strict 1 ;;; test (Secret: test-IKEv2) peer=IKEv2 auth-method=pre-shared-key mode-config=IKEv2 my-id=key-id:UserTest secret="test-IKEv2" generate-policy=port-strict policy-template-group=IKEv2 [admin@MikroTik hAP ac2] > ip pool/print Columns: NAME, RANGES # NAME RANGES 0 dhcp 192.168.88.2-192.168.88.255 1 VPN 192.168.100.0/24 admin@MikroTik hAP ac2] > ip firewall filter print Flags: X - disabled, I - invalid; D - dynamic ;;; L2TPv4 chain=input action=accept protocol=ipsec-esp in-interface=Digi.Net log=no log-prefix="" 6 chain=input action=accept protocol=udp in-interface=Digi.Net dst-port=500,1701,4500 log=no log-prefix=""Aici nu mai știu exact care cum sunt. S-ar putea să meargă și fără cele 3 porturi, dar puteți încerca. Până aici a mers ca uns pe Android. Problema a apărut că nu puteam accesa nimic din LAN, nici măcar pagina router-ului. Mi-am dat seama că prin IPsec totul vine direct în bridge cu IP privat, deci lipsește un element care să facă legătura cu LAN-ul. Fiind ceva dinspre LAN și probleme cu prerouting am încercat ceva în Raw și am avut succes: [admin@MikroTik hAP ac2] > ip firewall raw print Flags: X - disabled, I - invalid; D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=prerouting action=passthrough 1 chain=prerouting action=accept in-interface=Digi.Net log=no log-prefix="" src-address-list=VPN Succes! LE: Android funcționează destul de bine: [ https://www.speedtest.net/result/a/8852541158.png - Pentru incarcare in pagina (embed) Click aici ] Pe Wingăoz nu merge. Tind să cred că trebuie setat sha1 pentru toată jucăria, lucru cunoscut și de la L2TP. Fișiere atașate |
Anunturi
Bun venit pe Forumul Softpedia!
▶ Utilizatori activi: 2
0 membri, 2 vizitatori, 0 utilizatori anonimi