Mikrotik RouterOS - configuratii diverse, tricks, etc

GO!

Eu voi incerca sa tin un index aici!

Ok, imi fac eu curaj si postez prima chestie utila:


Server VPN L2TP/IPsec

Inainte de a continua, trebuie sa tinem ca in exemplul meu:
1. Routerul este configurat cu DHCP Range: 192.168.1.10-192.168.1.70 si gateway: 192.168.1.1
2. pppoe-out1 reprezinta WAN-ul
3. Configurarea se face prin intermediul WinBox -> Terminal
4. Versiunea de ROS pe care s-a testat este: 6.45.1

Iata ce trebuie sa facem:

A. Trebuie sa setam proxy-arp pe interfata BRIDGE

[[email protected]] > /interface bridge print			
Flags: X - disabled, R - running
0 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1592 arp=enabled
	 arp-timeout=auto mac-address=xxxxxxxxxxx protocol-mode=rstp
	 fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m
	 priority=0x8000 max-message-age=20s forward-delay=15s
	 transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no

/interface bridge set 0 arp=proxy-arp

B. Setam serverul VPN

/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-128-cbc,3des lifetime=8h name=\
"L2TP/IPsec Proposal" pfs-group=none

/ip pool
add name=IPsec-L2TP-Pool ranges=192.168.1.100-192.168.1.105

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8,8.8.4.4 local-address=192.168.1.1 \
name=L2TP/IPsec remote-address=IPsec-L2TP-Pool use-compression=yes \
use-encryption=yes

/ppp secret
add name=nume password=XXXXXXXX profile=L2TP/IPsec service=l2tp

/interface l2tp-server server
set default-profile=L2TP/IPsec enabled=yes ipsec-secret=YYYYYYYY use-ipsec=\
yes

Acum, avem serverul VPN configurat dar nu-i de ajuns, va trebui sa adaugam si niste reguli de firewall pentru a avea o conexiune VPN functionala:

C. Reguli Firewall pentru serverul VPN

/ip firewall filter
add action=accept chain=input comment="L2TP/IPsec VPN" dst-port=500 \
	 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input dst-port=1701 in-interface=pppoe-out1 protocol=\
	 udp
add action=accept chain=input dst-port=4500 in-interface=pppoe-out1 protocol=\
	 udp
add action=accept chain=input in-interface=pppoe-out1 protocol=ipsec-esp
add action=accept chain=input in-interface=pppoe-out1 protocol=ipsec-ah

De retinut:
1. inlocuiti NUME cu un nume de utilizator, de exemplu: gigel
2. XXXXXXXX cu o parola pe care o preferati
3. YYYYYYYY cu o parola complexa folosind https://passwordsgenerator.net/ pentru o mai buna securitate

Acum, aceasta configuratie ruleaza ok dar.. am o singura problema, daca ma conectez de pe un dispozitiv cu iOS, internetul nu functioneaza desi pot accesa toate masinile din spatele VPN-ului. Poate ma lumineaza careva. Totodata, daca aveti sugestii si putem imbunatati configuratia de mai sus, go for it

Edited by JohnnyUSA, 11 July 2019 - 20:54.

IOS-ul e in spate la un double-NAT? Gen provider GMS?
IOS-ul conectat la o retea wifi (alta decat a ta) se conecteaza la internet folosind vpn-ul?
ce output ai la

ip ipsec peer print

(vezi ca afiseaza pre-shared-key pune si tu XXX

Daca ai setat

generate-policy=port-strict

ar trebui sa il modifici in generate-policy=port-override la fel si cu passive mode sa fie activ "yes" (nu stiu exact care e sintaxa) si nat-traversal "yes" <== trebuie modificat manual setarile ipsec din l2pt.

PS
Ca best practice, printre altele, subnet-ul vpn-ului ar trebui sa fie altul decat cel default cu main lan-ul, si sa routezi intre cele 2 vlan-uri

@ogo,

[[email protected]] > /ip ipsec peer print
Flags: X - disabled, D - dynamic, R - responder
0 DR name="l2tp-in-server" passive=yes profile=default exchange-mode=main
	 send-initial-contact=yes

Edited by JohnnyUSA, 12 July 2019 - 10:45.

1. salveaza configuratia actuala!


2.
revin ca da eroare, nu merge modificat peer 0 ci trebuie recreata de la inceput manual configuratia ipsec.

[[email protected]] /ip ipsec identity> set generate-policy=port-override
numbers: 0
failure: can not change dynamic peer
[[email protected]] /ip ipsec identity>

[[email protected]] /ip ipsec identity> print
Flags: D - dynamic, X - disabled
0 D  ;;; l2tp-in-server

Salut, intreb si eu aici poate are cineva vreo  idee. Sunt incepator in RouterOS, am cumparat de curand un HAP AC2, am net de la rds. Cutia de la rds are si dhcp pornit iar mikrotik-ul l=am setat ca bridge sa il folosesc pentru wireless. Problema apare la telefoane in momentul cand se conecteaza la el am cateva secunde fara internet. Daca ii dau un speedtest dupa cateva secunde incepe si merge si nu mai am probleme. Las mai jos config-ul poate are cineva vreo idee. Multumesc.

jul/10/2019 20:54:45 by RouterOS 6.44.3
# software id = G6SR-7D1N
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00AAF0B5E
/interface bridge
add name=bridge1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=dorin supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2447 mode=ap-bridge security-profile=dorin ssid=MikroTik wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no mode=ap-bridge security-profile=dorin ssid=MikroTik wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2200
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Bucharest

Edited by Tyby, 22 January 2021 - 19:48.

De ce nu aplici metoda clasica sa scapi de toate bataile astea de cap? Treci cutia de la RDS in mod bridge si dintr-o data, viata devine mai frumoasa

Mie mi se pare ca te faultezi singur bazandu-te pe petarda aia de la RDS sa se ocupe de routare pe cand ai un dispozitiv cu adevarat bun pe partea de routare in persoana AC2-ului.

Edited by JohnnyUSA, 14 July 2019 - 13:06.

@ogo,
am avut ceva timp liber weekendul asta, am dat un NETINSTALL si am refacut totul "pe curat".

Configurare VPN:

/ip ipsec proposal
add enc-algorithms=3des name=L2TP/IPsec

/ip pool
add name=L2TP/IPsec ranges=172.16.0.2,172.16.0.10

/ppp secret
add name=user password=AAAAAAAAAAAA profile=L2TP/IPsec service=l2tp

/ppp profile
add dns-server=1.1.1.1 local-address=172.16.0.1 name=L2TP/IPsec \
remote-address=L2TP/IPsec

/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=L2TP/IPsec enabled=yes \
ipsec-secret="BBBBBBBBBBBB" use-ipsec=yes

/ip ipsec policy
add dst-address=0.0.0.0/0 peer=l2tp-in-server proposal=L2TP/IPsec \
src-address=0.0.0.0/0

Configurare Firewall pentru VPN:

/ip firewall filter
add action=accept chain=input comment="L2TP/IPsec VPN" port=1701,500,4500 \
protocol=udp
add action=accept chain=input protocol=ipsec-esp

Bun, am testat pe laptop prin Personal Hotspot de pe telefon + conectare la VPN prin laptop si internetul functioneaza pe laptop. In schimb, daca incerc direct pe telefon.. cioaca. Aceeasi problema.
Am implementat si ceea ce ai zis tu mai sus renuntant la generarea dinamica si am setat port-override, nicio schimbare asa ca am revenit la configul din acest post. Am observat totusi o chestie interesanta, am instalat pe telefon iNetTools si am incercat sa dau ping intr-un ip extern (gmail, de ex). Am primit reply, ceea ce inseamna ca net am pe telefon si ar fi o problema de DNS.

Acum, de ce problema asta nu se manifesta pe laptop? Totodata, am deja un dns setat in configuratia vpn-ului (1.1.1.1 - CloudFlare).

Edited by JohnnyUSA, 15 July 2019 - 13:50.

ma manca si pe mine sa iau un asemenea router dar citind topicul asta incep sa am indoieli... toate setarile se fac din command line? trebuie sa fi un jedi al networking-ului pt a seta un asemenea router? un user fletz are ce se uita la un asemenea router?

Nu, nu se fac din command line, dar mie, imi este mai usor sa dau configuri prin intermediul liniilor de comanda.

@pune ca ip, ala public.
Ia vezi asa.

ogo, on 15 iulie 2019 - 15:14, said:

Nu inteleg.

/ppp profile
add dns-server=1.1.1.1 local-address=IP-UL-TAU-PUBLIC name=L2TP/IPsec \
remote-address=L2TP/IPsec

Acelasi rezultat.

Daca mai adaugi un server de dns? pare prostesc dar na.

/ppp profile set L2TP/IPsec dns-server=1.0.0.1

urmatorul step e wireshark sau sa tii logurile de la vpn sa vezi ce erori apar.

Am incercat, degeaba. Am verificat si logurile de erori & stuff, nu vad nimic pe acolo.

/system logging
add topics=ipsec,debug

/system logging
add topics=l2tp,debug

Din pacate, nu am un dispozitiv cu Android sa vad daca la fel se intampla.
In fond si la urma urmei, nu-i bai. Ceea ce conteaza, functioneaza si pe iOS -> accesul la LAN.

Edited by JohnnyUSA, 15 July 2019 - 19:16.

Pentru cine vrea sa scape de "spam-ul" facut de clientii pe windows care cer informatii despre Web Proxy Auto-Discovery Protocol (WPAD) cu nesimtire.
Adaugam optiunea 252 in dhcp server cu valoarea '\n' si declaram acea optiune in reteaua locala.

/ip dhcp-server option
add code=252 name=wpad-null value="'\\n'"
/ip dhcp-server network
add address=192.168.69.0/24 dhcp-option=wpad-null dns-server=192.168.69.3 domain=lan gateway=192.168.69.1 netmask=24

Inlocuiti evident ip-urile din exemplu si alte optiuni cu cele folosite de voi.