Mikrotik RouterOS - configuratii diverse, tricks, etc

De ce nu ?

Fiecare tehnologie are avantaje si dezavantaje, important este sa ai optiuni disponibile din care poti sa alegi ce se potriveste mai bine pentru cazul tau particular.

Personal nu vad sa fie mai usor de configurat un tunel cu wireguard decit un tunel cu OpenVPN.

Cu OpenVPN poti sa trimiti automat rute specifice clientilor care se conecteaza fara ca sa trebuiasca sa ai access direct la device-ul client si fara ca sa trebuiasca sa faca acest lucru clientul de mina.
Cu OpenVPN poti sa rulezi pe server script customizat atit dupa ce un client s-a conectat cit si dupa ce s-a deconectat in asa fel incit sa poti sa initializezi counteri, reguli de firewall specifice pentru fiecare client care se conecteaza/deconecteaza sau cite si mai cite pe partea de server.

Cu wireguard, unde trebuie configurate de mina ambele capete ale tunelului, ai sa-ti rogi moartea cind ai citeva sute (daca nu mii sau sute de mii) de clienti la care trebuie sa le adaugi de mina rute specifice din reteaua ta sau vrei sa-i configurezi ca sa redirectioneze tot traficul prin tunel.

Edited by cralin, 31 July 2022 - 13:33.

Bune argumente, dar nimic din ce-ai scris nu se poate face pe RouterOS, despre care vorbim pe acest topic

Edited by Znevna, 31 July 2022 - 13:31.

Pai....

• routerOS poate sa ruleze ca si client VPN ?
  
• poti sa configurezi clientul VPN (oricare ar fi el) sa se conecteze automat in momentul in care RouterOS are access la internet ?
  
• poti sa ai un hAP sau un mAP configurat pe post de "road-warrior" device care face VPN si firewall in asa fel incit sa nu trebuiasca sa te complici cu asa ceva in fiecare device conectat la hAP sau mAP ?

Edited by cralin, 31 July 2022 - 14:17.

Poate, dar nu suporta push routes si alte chestii mentionate de tine mai sus in legatura cu OpenVPN, avand o implementare proprie pentru OpenVPN.
Daca foloseai RouterOS, stiai

Znevna, on 31 iulie 2022 - 14:10, said:

Scuza-ma, insa daca este asa cum zici tu atunci cum explici ruta aia inspre 192.168.250.0/24 ?

 openvpn.png   31.9K   27 downloads


Asta am pe server in fisierul de configurare specifica a clientului OpenVPN:

ifconfig-push 172.16.252.109 172.16.252.110
iroute 192.168.22.0 255.255.255.0
push "route 192.168.250.0 255.255.255.0"

Edited by cralin, 31 July 2022 - 15:08.

Uite, fix treaba aia nu poti s-o faci pe MikroTik, ca server.
Ca si client suporta pushed routes, aparent.

Au reușit să faca openvpn-ul să meargă cu udp, sau e tot tcp only?!

L2TP mi se pare cel mai bun compromis inca (ma rog, mi se parea, ca acum stau fara nici un fel de VPN pe S22U sau Tab S8U, car un Tab S6 dupa mine, ca ala are inca L2TP, si are si conexiunile setate). Merge repede, e suficient de safe pentru nevoile mele, are (avea, ma rog) client nativ pe mai toate OS-urile etc...

Daca stia Androidu' sa "arunce" si hotspot-ul prin tunel, chiar eram multumit. Insa asa ... nu foarte.

Wireguard este disponibil abia pe ROS 7 (inca "in beta" in acceptiunea proprie), si necesita ceva munca pe ambele parti.

Me & OpenVPN nu am fost niciodata "tovarasi". De pe vremea pe cand faceam OpenVPN-uri pe niste WRT-uri vechi, vechi, si fiecare sistem de operare voia clientul propriu, cu propriile certificate si propria configurare! Si nu s-a schimbat prea mult de atunci.

Mai mult, implementarea pe Mikrotik este mai ciufuta decat ikev2.

Astept cu drag si interes sa inceapa clientii si prietenii interesati sa-si care telefoane, tablete si laptopuri noi (in special MacOS, ca in windoz nu vad sa zboare prea repede L2TP).

Deocamdata sper sa nu se intample in perioada urmatoare, de concedii & shit, ca nu-i vad cu ochi buni.

PS: ma gandesc, culmea, serios sa car dupa mine un map-2nd, sa-l configurez ca wifi-only-ap-cpe-bridge (sau asa ceva, cred ca se intelege ce vreau) si sa il las sa-si faca el tunelul acolo unde am nevoie. Macar vara asta!

PS: da, cred ca in ROS 7 stie ... insa nu as spera la prea multe de la el ...

Tyby, on 01 august 2022 - 22:26, said:

Eu aveam configurat serverul OpenVPN pe mtik si folosesc ovpn pe S22U.
Numai ca nu folosesc app de la openvpn, ca nu stie legacy, ci OpenVPN foe Android de la Arne Schwabe.
Nu e ce vreau, dar alta solutie nu am momentat pentru Android12.

NikoroB, on 01 august 2022 - 21:52, said:

Merge si pe UDP in ROS 7.x

Edited by cralin, 02 August 2022 - 17:22.

Tyby, on 01 august 2022 - 22:26, said:

Eu daca plec undeva in vacanta unde nu am mai fost niciodata, de obicei duc cum mine 2 mAP-uri au doua hAP-uri.
Unul din ele il folosesc pe post de CPE la reteaua wireless de la hotel sau din locatia unde m-am cazat si al doilea (legat pe fir la primul) il folosesc pe post de AP + firewall + VPN endpoint/router pentru restul device-urilor care le duc cu mine in mod normal in concedii.

Macar am control la firewall si indiferent unde sint device-urile se conecteaza la acelasi AP care este controlat de mine si au access la aceleasi servicii ca si cum as fi acasa indiferent unde sint cind ma conectez la internet..

Edited by cralin, 04 August 2022 - 23:28.

Nu e cumva mai simplu sa te conectezi cu device-urile prin vpn la router-ul de acasa si obtii fix acelasi lucru ? Si nu mai nici cari tot harnasamentul ala dupa tine !

Edited by Ravy, 05 August 2022 - 07:36.

Pai vrea si wifi de pe geam pana la piscina )

Daca wifi-urile pe unde se duce sunt open, nu e solutie rea. Doar ca e complicat al naibii. Eu iau dupa mine doar un AP ubiquiti cam cat o cutie de energizant si rezolv mai simplu.
Nu am gasit hotel pana acum care sa aiba restrictii TTL astfel incat sa nu poti poti pune propriul AP/router legat la rj-45-ul din camera.
Dar in viitor toti vor fi exclusiv wifi si nu te va mai ajuta cu nimic echipamentul de genul asta.

Edited by kretzu77, 05 August 2022 - 10:44.

cralin, on 04 august 2022 - 23:25, said:

Mai da-le draq, ca si-asa car dupa mine doua genti de echipamente si cacaturi electronice "useless".

Am nevoie de security, fac un VPN, si aia e. Nu ma duc acolo sa imi rup gatul catarat prin copaci.

Kreatzo, din ce in ce mai putine hoteluri (mari!) ofera conexiune pe fir. Dar e buna ideea cu Flex-ul ala ...

kretzu77, on 05 august 2022 - 10:43, said:

TTL-ul 1 e o solutie de anii 2000, insa nu-i o problema reală fiindca e trivial de modificat la orice alta valoare, însă faza cu wifi-urile nesecurizate tot apare periodic ca fiind o cine stie ce mare problema.

Inca aștept pe cineva sa zica cu subiect si predicat care-i marea problema cu hotspoturile astea "nesucurizate" in condițiile in care cam tot internetul este https si marea majoritate a cestiilor care conteaza au si hsts.

Deci daca nu ai vreun CA instalat de catre reteaua la care te conectezi ar trebui sa fi safe.

Ai fi uimit sa vezi cata lume inca se conecteaza nesecurizat la diverse servicii (internet, webapps, email, databases etc ). Cred ca asta ramane, in final, cea mai mare problema de securitate. Ca se intampla la fel si in cazul wifi-urilor publice securizate prin parola, este alta discutie!

99.9% din internet e https. Mailurile profesionale iar sunt aproape toate cu exchange sau google apps (asta daca nu lucrezi la vreo firma de apartament), baze de date nu prea poti scoate in internet cu un hosting de 2 bani.

Poate traiesc eu in vreo bula aiurea, dar poti da un exemplu concret de care te-ai lovit?