Mikrotik RouterOS - configuratii diverse, tricks, etc

Voi face când ajung acasă

Thx!

[[email protected] hAP ac2] > ip pool export
# nov/22/2022 16:46:42 by RouterOS 7.6
# model = RBD52G-5HacD2HnD
/ip pool
add name=VPN ranges=192.168.100.0/24

/ip ipsec policy
add comment=IKEv2 group=IKEv2 proposal=IKEv2 template=yes

[[email protected] hAP ac2] > ip ipsec export
# nov/22/2022 16:45:32 by RouterOS 7.6
# model = RBD52G-5HacD2HnD


/ip ipsec mode-config
add address-pool=VPN name=IKEv2

/ip ipsec policy group
add name=IKEv2

/ip ipsec profile
add enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name=IKEv2


/ip ipsec peer
add exchange-mode=ike2 name=IKEv2 passive=yes profile=IKEv2


/ip ipsec proposal
add auth-algorithms=sha512,sha256 name=IKEv2 pfs-group=none

/ip ipsec identity
add comment="IKEv2User (Secret: IKEv2)" generate-policy=port-strict mode-config=IKEv2 my-id=key-id:IKEv2User peer=IKEv2 policy-template-group=IKEv2

Aici nu apare secretul. Faci user-ul și parola lui de aici. Merg și mai mulți users.

/ip firewall filter
add action=accept chain=input comment=L2TPv4 in-interface=Digi.Net protocol=ipsec-esp
add action=accept chain=input dst-port=500,1701,4500 in-interface=Digi.Net protocol=udp

/ip firewall raw
add action=accept chain=prerouting in-interface=Digi.Net log-prefix=IPsec src-address-list=VPN

ute așa trebuie să arate

Desigur, configurația asta nu va merge pe iOS și nici pe Wingăoz.

Merge pe Winblows altceva decit PPTP cu mschap ?

Configuratia merge si pe IOS . Pentru Windows este nevoie de certificate .

cralin, on 23 noiembrie 2022 - 03:22, said:

L2TP cu IPsec

marchand, on 23 noiembrie 2022 - 07:40, said:

Eu nu am reușit
Îmi dădea ADDR4

setarile pentru IOS

Am încercat și pe auto și tot eroare.

multam de info, incerc sa ma joc cu ele dupa ce ajung acasa.

Deci am renunțat la Site-to-Site prin PPTP și am trecut la L2TP/IPsec. Acum merge și laptop-ul tot prin L2TP.
Prin Site-to-Site fac legătura între hAP ac² (server) și un wAP LTE (client). Pe PPTP pe wAP aveam CPU pe la un 44% în medie, iar pe L2TP am și 100% și viteza începe să scadă pe la 8-9 Mbps. Dacă se mai face și upload în același timp, deja se duce spre 3-4 Mbps.
Ce pot face?
Mă gândeam să renunț la hAP ac² și să treac la ax² sau AX³, iar pe wAP să-l înlocuiesc. Iar pentru date mobile aș folosi un Huawei E8372h-153 pe USB.

L2TP/IPsec este o tehnologie veche , lenta si perimata . Foloseste ikev2

Nu am mai configurat peer-ul wAP.
Mă gândeam să încerc, dar nu știu ce să zic.

Am încercat cu OpenVPN, dar îmi dă TLS error orice aș face.
Mă gândesc să nu dea eroare din lipsă de certificate, iar de L2TP mai am nevoie pentru iOS și Windows.

OpenVPN nu merge fara certificate , iar pentru ikev2 la windows la fel ai nevoie de certificate .

Daca nu vrei sa te complici cu certificate atunci incerca wireguard .

Am trecut la ax3.
E ceva mai intuitiv decât ac2 pe partea de Wi-Fi. Am setat canal secundar pe ambele frecvențe. Pe 2,4 GHz am 1+5 pentru 40 MHz (la 80 MHz returnează eroare), iar pe 5 GHz 48+173 pe 80 MHz. Am evitat DFS-ul.
În rest, procesorul mai mare se vede la reboot sau la update.

Deja am foarte multe intrări de-astea!
Pe vechiul hAP ac² nu aveam așa ceva.

de ce nu tii accesul pe WinBox doar din LAN? si daca faci asta deja cumva, de ce mai loghezi ca warning faptul ca blochezi?

vezi si aici: https://forum.mikrot...ic.php?t=128535

În ACL am pool-ul LAN și pool-ul VPN-ului.
Doar că ax³ văd că arată și alte încercări.