Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Contractele de inchiriere - de de...

Motorola Edge 30 Pro

Asociație de Proprietari car...
 La multi ani de Sfantul Nicolae&#...

Problema grupe bms

Windows 8.1 Error Code: 0x800

Recomandare router wifi
 Clapeta soc L200 ?

Caut o aplicatie android / windows

Solutie functionare Ridesharing U...

Adobe Acrobat Reader RdrCEF consu...
 chimie ex

Problema soft htc u ultra

Unde pot gasii un pinion rizzato ?

Ori nu stie sa numere, ori nu sti...
 

Mikrotik RouterOS - configuratii diverse, tricks, etc

* * * * * 2 votes
  • Please log in to reply
283 replies to this topic

#253
Ruben56

Ruben56

    Senior Member

  • Grup: Senior Members
  • Posts: 2,779
  • Înscris: 05.12.2013
Da. La mine DNS-ul a fost impins tot prin VPN. Daca vrei override, mergi in dhcp server si fortezi de acolo 1.1.1.3 sau ce doresti.

#254
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 22,659
  • Înscris: 18.04.2008
Deocamdată așa folosesc.

#255
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 22,659
  • Înscris: 18.04.2008

Vizualizare mesajRuben56, pe 20 septembrie 2022 - 20:02, a scris:

merge, merge! A fost o idee excelenta de altfel. Intre timp am gasit si tutorialul asta ([ https://www.youtube-nocookie.com/embed/e-HA9XLbuBo?feature=oembed - Pentru incarcare in pagina (embed) Click aici ]) care e identic in principiu cu link-ul ce l-am pus mai sus.

Singura chestia, la mangle rule pui Src. Address List, nu Dst. Address List. E logic.

Mersi si spor la treburi!

Am făcut și eu setările ca în tutorial și am de completat:
La mark routing o să fie doar main. Pentru alte editări trebuie mers la routing/table și creată o tablă nouă, gen VPN și bifat FIB, altfel va apărea direct în mark routing sub main.
Am pus la DST și nu făcea trafic.
La IP/Routes, gateway-ul trebuie trecut manual. Dacă se face albastru, înseamnă că e corect.

#256
cralin

cralin

    Member

  • Grup: Members
  • Posts: 313
  • Înscris: 18.09.2020
Are cineva un exemplu functional de configuratie cu OSPF prin tunel wireguard ?

#257
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 22,659
  • Înscris: 18.04.2008
De când cu actualizarea la Android 13 s-a dus și suportul pentru L2TP și PPTP.

Acum trebuie să ai server IKEv2.

Am încercat ceva configurații, dar... să zicem că nu au ieșit cum trebuie. Multe erau pentru S-2-S, dae mie îmi trebuie Server - Clientți cu IP-uri dinamice sau chiar aflate în CGN.

Există vreun tutitail mai explicit pentru așa ceva?

#258
danfizesan

danfizesan

    Senior Member

  • Grup: Senior Members
  • Posts: 2,705
  • Înscris: 30.01.2008
Am pus acum câteva pagini un pdf in care era explicat

#259
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 22,659
  • Înscris: 18.04.2008
Am văzut acel PDF, dar ziceai ceva de StrongSwan. Eu voiam să-l folosesc pe clinții nativi de pe Android, iOS și chiar un alt MikroTik (wAP LTE cu internet de la Digi.Mobil).
Oare va merge?

Și nu înțeleg asta:
C:\Windows\system32>nslookup vpn.ike2.xyz
Server:  router.lan
Address:  192.168.88.1


Non-authoritative answer:
Name:	vpn.ike2.xyz
Address:  194.36.174.19


Să înțeleg că exchange-ul se face în altă parte?

#260
danfizesan

danfizesan

    Senior Member

  • Grup: Senior Members
  • Posts: 2,705
  • Înscris: 30.01.2008
Pe android nu exista client nativ de ike v2, de aceea am zis de Strogswan.
Nslookup-ul acela era pentru a afla adresa externa a vpn-ului. Nu mai știu exact la ce ii trebuia.



Pe Windows 10+ este nativ suportul pentru VPN Ike v2. Și merge rezonabil.

#261
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 22,659
  • Înscris: 18.04.2008
Eu am așa:
Attached File  WhatsApp Image 2022-11-11 at 20.38.19.jpeg   58.41K   24 downloads

#262
danfizesan

danfizesan

    Senior Member

  • Grup: Senior Members
  • Posts: 2,705
  • Înscris: 30.01.2008
M-am uitat și eu acum, aveam Android 11 și de 2 săptămâni am pixel,și în A13 este într-adevăr suport.Nu am reușit să fac conexiunea, îmi cere și un ipsec identifier, care nu știu acum ce este. Cu clientul de StrongSwan merge și am și opțiunea să fac split VPN, că doar unele ip-uri să meargă prin VPN și restul nu, și pot sa setez și că doar unele aplicații sa earga prin VPN. In total mi se pare că este mai ok clientul acela.Cand am timp o să mă uit și dacă reușesc cu clientul nativ, pentru satisfacerea curiozității mele.

#263
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,270
  • Înscris: 29.11.2001
Ziceam eu ceva despre asta acu' ceva vreme (prin iunie: https://forum.softpe...0#entry29153331).

M-am chinuit atunci cu un lab ad-hoc cu ike v2, dar nu mi-a iesit, si am renuntat, din lipsa de timp.

Cum ziceam: S10+ si Tab S6 duc in continuare L2TP pe A12, pentru ca au venit cu ele configurabile (A10 si 11 cred).

S22 Ultra si Tab S8, care au venit direct cu A12, nu mai au decat optiuni ike v2. :eek:

#264
Ruben56

Ruben56

    Senior Member

  • Grup: Senior Members
  • Posts: 2,779
  • Înscris: 05.12.2013
Eu am renuntat din start la bataia de cap si am pus WireGuard peste tot.

Duduie treaba!

#265
kretzu77

kretzu77

    Custom title

  • Grup: Senior Members
  • Posts: 16,598
  • Înscris: 06.06.2006
Woreguard-ul merge cand ai ip dinamic (rcs gen)?
Cand am incercat ultima oara trebuia sa pun pe unde un IP si nu ma lasa sa pun interfata (adica pppoe1 de exemplu).

#266
marchand

marchand

    Member

  • Grup: Members
  • Posts: 614
  • Înscris: 26.06.2008
Mai jos un exemplu functional ikev2 mikrotik - android

ip ipsec/policy/print
Flags: T - TEMPLATE; X, A - ACTIVE; * - DEFAULT
Columns: SRC-ADDRESS, DST-ADDRESS, PROTOCOL
#	 SRC-ADDRESS DST-ADDRESS PROTOCOL
0 TX* ::/0		 ::/0		 all
1 T ::/0		 ::/0		 all


ip ipsec/proposal/print
Flags: X - disabled; * - default
0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024
1 name="ikev2-prop" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=none

ip ipsec/mode-config/print
Flags: * - default; R - responder
0 * name="request-only" responder=no use-responder-dns=exclusively
1 R name="ikev2" system-dns=yes address-pool=ikev2-pool address-prefix-length=24 split-dns=""

ip ipsec/peer/print
Flags: X - disabled; D - dynamic; R - responder
0 R name="ikev2-peer" passive=yes profile=ikev2 exchange-mode=ike2 send-initial-contact=yes

ip ipsec/identity/print
Flags: D - dynamic; X - disabled
0 peer=ikev2-peer auth-method=pre-shared-key mode-config=ikev2 remote-id=key-id:android secret="LetMeIn" generate-policy=port-strict policy-template-group=ikev2-group

ip ipsec/profile/print
Flags: * - default
0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
1 name="ikev2" hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5

interface/print
Flags: R - RUNNING
Columns: NAME, TYPE, ACTUAL-MTU, L2MTU, MAC-ADDRESS
# NAME		 TYPE ACTUAL-MTU L2MTU MAC-ADDRESS
0 R ether1	 ether		 1500		 00:0C:29:20:68:D3
1 R ether2	 ether		 1500		 00:0C:29:20:68:DD
2 R ikev2-bridge bridge	 1500 65535 6A:9B:E5:06:08:39

ip address/print
Columns: ADDRESS, NETWORK, INTERFACE
# ADDRESS		 NETWORK	 INTERFACE
0 192.168.0.103/24 192.168.0.0 ether1
1 10.10.10.1/24	 10.10.10.0	 ikev2-bridge
2 81.xxx.xxx.xxx/29 81.xxx.xxx.xxx ether2

ip pool/print
Columns: NAME, RANGES
# NAME	 RANGES
0 ikev2-pool 10.10.10.100-10.10.10.200


Sper ca nu am uitat nimic

#267
marchand

marchand

    Member

  • Grup: Members
  • Posts: 614
  • Înscris: 26.06.2008
Setarile pe android

Attached Files

  • Attached File  mkr.jpg   93.55K   19 downloads


#268
Ruben56

Ruben56

    Senior Member

  • Grup: Senior Members
  • Posts: 2,779
  • Înscris: 05.12.2013

Vizualizare mesajkretzu77, pe 17 noiembrie 2022 - 09:58, a scris:

Woreguard-ul merge cand ai ip dinamic (rcs gen)?
Cand am incercat ultima oara trebuia sa pun pe unde un IP si nu ma lasa sa pun interfata (adica pppoe1 de exemplu).
Merge linistit. In client pui DDNS-ul si ai scapat de probleme.

#269
KyKyKyKy

KyKyKyKy

    Guru Member

  • Grup: Senior Members
  • Posts: 22,659
  • Înscris: 18.04.2008

Vizualizare mesajmarchand, pe 17 noiembrie 2022 - 16:06, a scris:

Mai jos un exemplu functional ikev2 mikrotik - android

Spoiler

Sper ca nu am uitat nimic

Am folosit configurația și merge, dar am editat-o pentru nevoile mele. Am eliminat cel de-al doilea bridge, am adăgat mai mulți altgoritmi și musai trebuie făcută o setare în firewall.

Eu am așa:
Eu am avut și un L2TP funcțional. Urmăriți doar liniile ce sunt cu IKEv2. Excepție face pool-ul denumit VPN din trecut.

Pentru început, la IP/IPsec/Groups trebuie creat un grup. Eu l-am denumit IKEv2

[[email protected] hAP ac2] > ip ipsec/policy/print
Flags: T - TEMPLATE; D, A - ACTIVE; * - DEFAULT
Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUNT
# PEER TUNNEL SRC-ADDRESS DST-ADDRESS PROTOCOL ACTION LEVEL PH2-COUNT
0 T * ::/0 ::/0 all
;;; IKEv2
1 T ::/0 ::/0 all

Aici, la Policy, bifat Template și la grup selectat IKEv2 (sau numele grupului setat mai sus)
[[email protected] hAP ac2] > ip ipsec/proposal/print
Flags: X - disabled; * - default
0 * name="default" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=30m pfs-group=modp1024

1 name="IKEv2" auth-algorithms=sha512,sha256 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=none

[[email protected] hAP ac2] > ip ipsec/profile/print
Flags: * - default
0 * name="default" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128 dh-group=modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5

1 name="IKEv2" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128 dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5

[[email protected] hAP ac2] > ip ipsec/mode-config/print
Flags: * - default; R - responder
0 * name="request-only" responder=no use-responder-dns=exclusively

1 R name="IKEv2" system-dns=yes address-pool=VPN address-prefix-length=24 split-dns=""

[[email protected] hAP ac2] > ip ipsec/peer/print
Flags: X - disabled; D - dynamic; R - responder
0 R name="IKEv2" passive=yes profile=IKEv2 exchange-mode=ike2 send-initial-contact=yes

1 DR name="l2tp-in-server" passive=yes profile=default exchange-mode=main send-initial-contact=yes
[[email protected] hAP ac2] >

[[email protected] hAP ac2] > ip ipsec/identity/print
Flags: D - dynamic; X - disabled
0 D ;;; l2tp-in-server
peer=l2tp-in-server auth-method=pre-shared-key remote-id=ignore secret="L2TP" generate-policy=port-strict

1 ;;; test (Secret: test-IKEv2)
peer=IKEv2 auth-method=pre-shared-key mode-config=IKEv2 my-id=key-id:UserTest secret="test-IKEv2" generate-policy=port-strict policy-template-group=IKEv2

[[email protected] hAP ac2] > ip pool/print
Columns: NAME, RANGES
# NAME RANGES
0 dhcp 192.168.88.2-192.168.88.255
1 VPN 192.168.100.0/24 
[email protected] hAP ac2] > ip firewall filter print
Flags: X - disabled, I - invalid; D - dynamic
;;; L2TPv4
	  chain=input action=accept protocol=ipsec-esp in-interface=Digi.Net log=no log-prefix=""
6	chain=input action=accept protocol=udp in-interface=Digi.Net dst-port=500,1701,4500 log=no log-prefix=""

Aici nu mai știu exact care cum sunt. S-ar putea să meargă și fără cele 3 porturi, dar puteți încerca.
Până aici a mers ca uns pe Android. Problema a apărut că nu puteam accesa nimic din LAN, nici măcar pagina router-ului. Mi-am dat seama că prin IPsec totul vine direct în bridge cu IP privat, deci lipsește un element care să facă legătura cu LAN-ul. Fiind ceva dinspre LAN și probleme cu prerouting am încercat ceva în Raw și am avut succes:
[[email protected] hAP ac2] > ip firewall raw print
Flags: X - disabled, I - invalid; D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=prerouting action=passthrough

1 chain=prerouting action=accept in-interface=Digi.Net log=no log-prefix="" src-address-list=VPN 

Succes!

LE:
Android funcționează destul de bine:
[ https://www.speedtest.net/result/a/8852541158.png - Pentru incarcare in pagina (embed) Click aici ]

Pe Wingăoz nu merge.
Tind să cred că trebuie setat sha1 pentru toată jucăria, lucru cunoscut și de la L2TP.

Attached Files



#270
Tyby

Tyby

    blue balls

  • Grup: Super Moderators
  • Posts: 15,270
  • Înscris: 29.11.2001
KyKy... nu faci, rogu-te, un export cu partile relevante, ca e greu de urmarit in sistem "grafic" :peacefingers:

Anunturi

Neurochirurgie minim invazivă Neurochirurgie minim invazivă

"Primum non nocere" este ideea ce a deschis drumul medicinei spre minim invaziv.

Avansul tehnologic extraordinar din ultimele decenii a permis dezvoltarea tuturor domeniilor medicinei. Microscopul operator, neuronavigația, tehnicile anestezice avansate permit intervenții chirurgicale tot mai precise, tot mai sigure. Neurochirurgia minim invazivă, sau prin "gaura cheii", oferă pacienților posibilitatea de a se opera cu riscuri minime, fie ele neurologice, infecțioase, medicale sau estetice.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate