Mikrotik RouterOS - configuratii diverse, tricks, etc
Last Updated: Feb 22 2024 12:48, Started by
Tyby
, Jul 11 2019 16:43
·
17
#253
Posted 21 September 2022 - 12:55
Da. La mine DNS-ul a fost impins tot prin VPN. Daca vrei override, mergi in dhcp server si fortezi de acolo 1.1.1.3 sau ce doresti.
|
#255
Posted 01 October 2022 - 14:44
Ruben56, on 20 septembrie 2022 - 20:02, said:
merge, merge! A fost o idee excelenta de altfel. Intre timp am gasit si tutorialul asta ([ https://www.youtube-nocookie.com/embed/e-HA9XLbuBo?feature=oembed - Pentru incarcare in pagina (embed) Click aici ]) care e identic in principiu cu link-ul ce l-am pus mai sus. Singura chestia, la mangle rule pui Src. Address List, nu Dst. Address List. E logic. Mersi si spor la treburi! Am făcut și eu setările ca în tutorial și am de completat: La mark routing o să fie doar main. Pentru alte editări trebuie mers la routing/table și creată o tablă nouă, gen VPN și bifat FIB, altfel va apărea direct în mark routing sub main. Am pus la DST și nu făcea trafic. La IP/Routes, gateway-ul trebuie trecut manual. Dacă se face albastru, înseamnă că e corect. |
#256
Posted 01 October 2022 - 14:53
Are cineva un exemplu functional de configuratie cu OSPF prin tunel wireguard ?
|
#257
Posted 12 November 2022 - 02:18
De când cu actualizarea la Android 13 s-a dus și suportul pentru L2TP și PPTP.
Acum trebuie să ai server IKEv2. Am încercat ceva configurații, dar... să zicem că nu au ieșit cum trebuie. Multe erau pentru S-2-S, dae mie îmi trebuie Server - Clientți cu IP-uri dinamice sau chiar aflate în CGN. Există vreun tutitail mai explicit pentru așa ceva? |
#258
Posted 12 November 2022 - 08:28
Am pus acum câteva pagini un pdf in care era explicat
|
#259
Posted 12 November 2022 - 08:48
Am văzut acel PDF, dar ziceai ceva de StrongSwan. Eu voiam să-l folosesc pe clinții nativi de pe Android, iOS și chiar un alt MikroTik (wAP LTE cu internet de la Digi.Mobil).
Oare va merge? Și nu înțeleg asta: C:\Windows\system32>nslookup vpn.ike2.xyz Server: router.lan Address: 192.168.88.1 Non-authoritative answer: Name: vpn.ike2.xyz Address: 194.36.174.19 Să înțeleg că exchange-ul se face în altă parte? |
#260
Posted 12 November 2022 - 21:30
Pe android nu exista client nativ de ike v2, de aceea am zis de Strogswan.
Nslookup-ul acela era pentru a afla adresa externa a vpn-ului. Nu mai știu exact la ce ii trebuia. Pe Windows 10+ este nativ suportul pentru VPN Ike v2. Și merge rezonabil. |
#261
Posted 13 November 2022 - 00:14
#262
Posted 13 November 2022 - 09:48
M-am uitat și eu acum, aveam Android 11 și de 2 săptămâni am pixel,și în A13 este într-adevăr suport.Nu am reușit să fac conexiunea, îmi cere și un ipsec identifier, care nu știu acum ce este. Cu clientul de StrongSwan merge și am și opțiunea să fac split VPN, că doar unele ip-uri să meargă prin VPN și restul nu, și pot sa setez și că doar unele aplicații sa earga prin VPN. In total mi se pare că este mai ok clientul acela.Cand am timp o să mă uit și dacă reușesc cu clientul nativ, pentru satisfacerea curiozității mele.
|
|
#263
Posted 15 November 2022 - 22:01
Ziceam eu ceva despre asta acu' ceva vreme (prin iunie: https://forum.softpe...0#entry29153331).
M-am chinuit atunci cu un lab ad-hoc cu ike v2, dar nu mi-a iesit, si am renuntat, din lipsa de timp. Cum ziceam: S10+ si Tab S6 duc in continuare L2TP pe A12, pentru ca au venit cu ele configurabile (A10 si 11 cred). S22 Ultra si Tab S8, care au venit direct cu A12, nu mai au decat optiuni ike v2. |
#264
Posted 16 November 2022 - 17:58
Eu am renuntat din start la bataia de cap si am pus WireGuard peste tot.
Duduie treaba! |
#265
Posted 17 November 2022 - 09:58
Woreguard-ul merge cand ai ip dinamic (rcs gen)?
Cand am incercat ultima oara trebuia sa pun pe unde un IP si nu ma lasa sa pun interfata (adica pppoe1 de exemplu). |
#266
Posted 17 November 2022 - 16:06
Mai jos un exemplu functional ikev2 mikrotik - android
ip ipsec/policy/print Flags: T - TEMPLATE; X, A - ACTIVE; * - DEFAULT Columns: SRC-ADDRESS, DST-ADDRESS, PROTOCOL # SRC-ADDRESS DST-ADDRESS PROTOCOL 0 TX* ::/0 ::/0 all 1 T ::/0 ::/0 all ip ipsec/proposal/print Flags: X - disabled; * - default 0 * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024 1 name="ikev2-prop" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=none ip ipsec/mode-config/print Flags: * - default; R - responder 0 * name="request-only" responder=no use-responder-dns=exclusively 1 R name="ikev2" system-dns=yes address-pool=ikev2-pool address-prefix-length=24 split-dns="" ip ipsec/peer/print Flags: X - disabled; D - dynamic; R - responder 0 R name="ikev2-peer" passive=yes profile=ikev2 exchange-mode=ike2 send-initial-contact=yes ip ipsec/identity/print Flags: D - dynamic; X - disabled 0 peer=ikev2-peer auth-method=pre-shared-key mode-config=ikev2 remote-id=key-id:android secret="LetMeIn" generate-policy=port-strict policy-template-group=ikev2-group ip ipsec/profile/print Flags: * - default 0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 1 name="ikev2" hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 interface/print Flags: R - RUNNING Columns: NAME, TYPE, ACTUAL-MTU, L2MTU, MAC-ADDRESS # NAME TYPE ACTUAL-MTU L2MTU MAC-ADDRESS 0 R ether1 ether 1500 00:0C:29:20:68:D3 1 R ether2 ether 1500 00:0C:29:20:68:DD 2 R ikev2-bridge bridge 1500 65535 6A:9B:E5:06:08:39 ip address/print Columns: ADDRESS, NETWORK, INTERFACE # ADDRESS NETWORK INTERFACE 0 192.168.0.103/24 192.168.0.0 ether1 1 10.10.10.1/24 10.10.10.0 ikev2-bridge 2 81.xxx.xxx.xxx/29 81.xxx.xxx.xxx ether2 ip pool/print Columns: NAME, RANGES # NAME RANGES 0 ikev2-pool 10.10.10.100-10.10.10.200 Sper ca nu am uitat nimic |
#268
Posted 19 November 2022 - 16:15
#269
Posted 22 November 2022 - 03:27
marchand, on 17 noiembrie 2022 - 16:06, said:
Mai jos un exemplu functional ikev2 mikrotik - android
Spoiler
Sper ca nu am uitat nimic Am folosit configurația și merge, dar am editat-o pentru nevoile mele. Am eliminat cel de-al doilea bridge, am adăgat mai mulți altgoritmi și musai trebuie făcută o setare în firewall. Eu am așa: Eu am avut și un L2TP funcțional. Urmăriți doar liniile ce sunt cu IKEv2. Excepție face pool-ul denumit VPN din trecut. Pentru început, la IP/IPsec/Groups trebuie creat un grup. Eu l-am denumit IKEv2 [admin@MikroTik hAP ac2] > ip ipsec/policy/print Flags: T - TEMPLATE; D, A - ACTIVE; * - DEFAULT Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUNT # PEER TUNNEL SRC-ADDRESS DST-ADDRESS PROTOCOL ACTION LEVEL PH2-COUNT 0 T * ::/0 ::/0 all ;;; IKEv2 1 T ::/0 ::/0 allAici, la Policy, bifat Template și la grup selectat IKEv2 (sau numele grupului setat mai sus) [admin@MikroTik hAP ac2] > ip ipsec/proposal/print Flags: X - disabled; * - default 0 * name="default" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=30m pfs-group=modp1024 1 name="IKEv2" auth-algorithms=sha512,sha256 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=none [admin@MikroTik hAP ac2] > ip ipsec/profile/print Flags: * - default 0 * name="default" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128 dh-group=modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 1 name="IKEv2" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128 dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5 [admin@MikroTik hAP ac2] > ip ipsec/mode-config/print Flags: * - default; R - responder 0 * name="request-only" responder=no use-responder-dns=exclusively 1 R name="IKEv2" system-dns=yes address-pool=VPN address-prefix-length=24 split-dns="" [admin@MikroTik hAP ac2] > ip ipsec/peer/print Flags: X - disabled; D - dynamic; R - responder 0 R name="IKEv2" passive=yes profile=IKEv2 exchange-mode=ike2 send-initial-contact=yes 1 DR name="l2tp-in-server" passive=yes profile=default exchange-mode=main send-initial-contact=yes [admin@MikroTik hAP ac2] > [admin@MikroTik hAP ac2] > ip ipsec/identity/print Flags: D - dynamic; X - disabled 0 D ;;; l2tp-in-server peer=l2tp-in-server auth-method=pre-shared-key remote-id=ignore secret="L2TP" generate-policy=port-strict 1 ;;; test (Secret: test-IKEv2) peer=IKEv2 auth-method=pre-shared-key mode-config=IKEv2 my-id=key-id:UserTest secret="test-IKEv2" generate-policy=port-strict policy-template-group=IKEv2 [admin@MikroTik hAP ac2] > ip pool/print Columns: NAME, RANGES # NAME RANGES 0 dhcp 192.168.88.2-192.168.88.255 1 VPN 192.168.100.0/24 admin@MikroTik hAP ac2] > ip firewall filter print Flags: X - disabled, I - invalid; D - dynamic ;;; L2TPv4 chain=input action=accept protocol=ipsec-esp in-interface=Digi.Net log=no log-prefix="" 6 chain=input action=accept protocol=udp in-interface=Digi.Net dst-port=500,1701,4500 log=no log-prefix=""Aici nu mai știu exact care cum sunt. S-ar putea să meargă și fără cele 3 porturi, dar puteți încerca. Până aici a mers ca uns pe Android. Problema a apărut că nu puteam accesa nimic din LAN, nici măcar pagina router-ului. Mi-am dat seama că prin IPsec totul vine direct în bridge cu IP privat, deci lipsește un element care să facă legătura cu LAN-ul. Fiind ceva dinspre LAN și probleme cu prerouting am încercat ceva în Raw și am avut succes: [admin@MikroTik hAP ac2] > ip firewall raw print Flags: X - disabled, I - invalid; D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=prerouting action=passthrough 1 chain=prerouting action=accept in-interface=Digi.Net log=no log-prefix="" src-address-list=VPN Succes! LE: Android funcționează destul de bine: [ https://www.speedtest.net/result/a/8852541158.png - Pentru incarcare in pagina (embed) Click aici ] Pe Wingăoz nu merge. Tind să cred că trebuie setat sha1 pentru toată jucăria, lucru cunoscut și de la L2TP. Attached Files |
#270
Posted 22 November 2022 - 14:09
KyKy... nu faci, rogu-te, un export cu partile relevante, ca e greu de urmarit in sistem "grafic"
|
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users