Mikrotik RouterOS - configuratii diverse, tricks, etc

Ce zice acolo in video-ul de pe youtube este calea cea lunga in care poti sa configurezi Tik-ul ca si repeater (in video se configureaza de mina fiecare interfata si fiecare parametru wireless).

Daca vrei neaparat sa folosesti hAP-ul, poti sa faci mai simplu acelasi lucru.
Ia un cablu UTP si infige-l in portul ETH2 din Tik ca sa poti sa-l configurezi cu WinBox.

Folosind comenzi in terminal (prima comanda iti face reset la configuratie si reporneste Tik-ul fara nici o configuratie):

/system reset-configuration no-defaults=yes
/interface/wireless/setup-repeater wlan1 ssid=SSID_setat_pe_router-Digi passphrase=Parola_pentru_reteaua_wireless_de_pe_router_Digi
/interface/wireless/set wlan1 country=Romania
/interface/wireless/set wlan2 ssid=SSID_setat_pe_router-Digi-repeater

Cu clici de mouse in Winbox:

1) System -> Reset Configuration -> No Default Configuration
2) Wireless -> WiFI Interfaces -> Setup Repeater

In fereastra care se deschide alegi/completezi:

Interface: wlan1

SSID: SSID_setat_pe_router-Digi

Passphrase=Parola_pentru_reteaua_wireless_de_pe_router_Digi

Click pe butonul "Start" si astepti pina se activeaza interfetele wireless

3) Dublu click pe interfata wlan1 -> Wireless -> Country: Romania -> OK
4) Dublu click pe interfata wlan2 -> Wireless -> SSID: SSID_setat_pe_router-Digi-repeater -> OK


Dupa aceea ai sa vezi o retea wireless cu numele care este identic cu cel al retelei tale wireless de pe router-ul Gigi + sirul de caractere "-repeater".

Clientii wireless se conecteaza la repeater cu aceeasi parola care o ai pe reteaua wireless de pe router-ul Gigi

Edited by cralin, 12 May 2023 - 23:21.

Multumesc foarte mult! Super post!

KyKyKyKy, on 27 aprilie 2023 - 21:38, said:

Tu ai reusit sa te conectezi prin ikev2/ipsec de pe windows la mikrotik?

Merge si sa te conectezi din Windows .

Pentru Windows este foarte important ce completezi la "subject-alt-name " atunci cand iti emiti certificatele .

Daca te conectezi la server-ul vpn folosind adresa de ip , atunci la "subject-alt-name " trebuie sa treci adresa de ip a serverului .

Daca ai ip dinamic si te conectezi la server cu nume.domeniu.go.ro atunci la "subject-alt-name " trebuie sa treci nume.domeniu.go.ro

Am facut asta, desigur.

Ce eroare iti afiseaza ?

Din pasii postati de @KyKyKyKy la definirea profilului

/ip ipsec profile add dh-group=ecp256,modp4096,modp2048,modp1024 enc-algorithm=aes-256,aes-128,3des name=IKEv2 prf-algorithm=sha1

Daca setezi prf-algorithm=sha1 nu merge pe  Windows , trebuie sa modifici in auto .

Certificatele trebuie sa le importi evident pe statia de pe care incerci sa te conectezi, certificatele se nu se importa in profilul user-ului ci in profilul statiei , dai click pe start si tastezi :

"manage computer certificates"


La setarea conexiunii pe windows , dupa ce creezi conexiunea cu utilitarul windows , Settings->Network&Internet->Vpn-> Add vpn  , trebuie sa modifici setarile avansate ale conexiunii

Edited by marchand, 27 May 2023 - 11:37.

Am facut asa si merge doar pe android
pe Windows imi da eroarea:
 Untitled.jpg   58.27K   14 downloads

Zici ca de pe android merge ? Ciudat, din eroarea postata ar parea ca nu ai deschis porturile 500 si 4500 pe mikrotik in firewall sau ai gresit adresa ip in setarile vpn din windows

Edited by marchand, 28 May 2023 - 15:35.

Daca era de la mtik, nu mergea de pe android.
Singuira diferenta este ca pe windows, e wifi de la hotspot-ul telefonului. In incercat si din alt lan, sa fiu sigur si tot la fel face

Mesajul de eroare sugereaza o problema de firewall. In logurile de pe mikrotik se vede ca se initializeaza conexiunea ?

Pe asta o ai setata?

AssumeUDPEncapsulationContextOnSendRule

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Este necesara pentru L2TP / ikev2 ipsec (cel putin)

O am. Daca nu o aveam cred ca nu mergea nici L2TP/ipsec-urile cu care ma conectez deja prin alte parti.

Salut
Mă chinui și eu cu niște configurări pentru Wireguard și nu prea reușesc.

Ce vreau să obțin: două interfețe WG, una cu acces în LAN (wg-lan) și alta cu acces internet (wg-wan). Nu vreau ca un client conectat pe wg-wan să aiba acces în LAN. Pe wg-lan am configurat și un site-to-site cu altă locație unde am openwrt.
Ce am făcut: am adăugat câte o regulă în firewall care permite accesul la porturile setate pe interfețe (luată din documentația oficială) și încă una de masquerade pentru ele.



Problema e că atunci când conectez un client pe wg-wan el are acces și la ambele LAN-uri.
Alte reguli în firewall n-am adăugat/modificat, sunt cele de după un reset.
Spre deosebire pe openwrt a trebuie să adaug reguli separate pentru acces wg <-> lan și wg <-> wan.

Am rezolvat cu alte reguli In firewall.

mda, se pare că M$ a făcut varză policy-urile pentru VPN.
IKEv2 failed, iar L2TP abia se târâie.

La mine nu a mers ever ikev2
Problema e ca nici wireguard nu merge la mine pe laptop
In schimb, pe Android, merg amandoua bine merci

Putin probabil sa nu mearga din cauza Windows-ului .