Χωρίς διάθεση ειρωνίας, έχεις κάνει καλή δουλίτσα. Πραγματικά. Μακάρι όσοι αγόραζαν mk's να κάνανε έστω το 1/10 από αυτά.
Μερικές σημειώσεις.
0α. (σορρυ αλλά πρέπει να ρωτήσω) Έχεις κάνει DMZ τα booster προς τις εσωτερικές ΙΡ των τικίων?
Δεν σε κόβει η οτενετ με τίποτα "security protection"? VPN passthrough κατιτίς? (Δυστυχώς δεν έχω τέτοιο ρούτερ να το παλέψω και εγώ)
0β. Συνήθως το error 807 στο pptp είναι connection dropped/connection corrupted/connection filtered.
1. Ένα drop all στο input κάτω κάτω στα wan interfaces σου, θα ήταν καλό (ip/firewall/filter) αν ισχύει το #1
2. Αν τρέχεις dns στο mk (allow remote requests στο IP-->DNS) τότε βάλε και 2 κανόνες drop στην wan list σου τόσο για udp/53 όσο και για tcp/53 (αν είναι μεγάλο το request γυρνάει σε tcp).
3. Υποθέτω από τα συμφραζόμενα ότι το subnet που δίνεις στα vpn clients είναι 10.20.0.0/24
4. Για λόγους "τακτοποίησης" καλό είναι οι ομαδικοί κανόνες στο mangle να έχουν την μορφή input-prerouting-output.
5. Οι 4 πρώτοι κανόνες, όπως τους έκανες export
δεν χρειάζονται. Κάντους disabled προς το παρών.Κώδικας:/ip firewall mangle add action=accept chain=prerouting comment=VPN-PPTP dst-address=10.20.0.0/24 dst-port=1723 protocol=tcp add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=gre add action=accept chain=prerouting comment=VPN-L2TP/IPSec dst-address=10.20.0.0/24 port=500,1701,4500 protocol=udp add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=ipsec-esp
προσθεσε τα κάτωθι πάνω πάνω:
Ο λόγος είναι ότι το pptp σου αλλά και το L2TP/Ipsec πάνε ΠΡΟΣ το ρούτερ (=input). Οι κανόνες που έγραψεςΚώδικας:/ip firewall mangle add action=accept chain=prerouting comment="Accept traffic from VPN subnet" dst-address=10.20.0.0/24
θυμίζουν λίγο "ip firewall filter" τμήμα
Από εκεί και πέρα το πώς θα διαχειριστεί το ρούτερ τις συνδέσεις είναι θέμα pre-routing και post-routing κτλ κτλ
Δες εικόνα για packet flow.
http://i.imgur.com/RHHffc9.png
5β. Θα έβαζα και αυτά εγώ
6. Από εκεί και πέρα για περισσότερη ασφάλεια, μπορείς να βάλεις ένα src/dst list στο firewall filter για τα περαιτέρω μεταξύ των δικτύων.Κώδικας:/ip firewall address-list add address=192.168.1.1 list=otenet_modems add address=192.168.2.1 list=otenet_modems add address=192.168.3.1 list=otenet_modems /ip firewall nat add action=masquerade chain=srcnat comment="VPN:masquerade to OTENET modems" dst-address-list=otenet_modems src-address=10.20.0.0/24
7. Ο κανόνας
που αποσκοπεί? Σε κάποιο σκριπτ για να ανακαλύπτεις την 2η wan ip?Κώδικας:/ip route add check-gateway=ping comment="For check WAN2 IP" distance=1 dst-address=64.182.X.X/32 gateway=192.168.2.1
Εμφάνιση 16-24 από 24
-
09-10-17, 12:22 Απάντηση: PCC + VPN Server = Problem! #16
Τελευταία επεξεργασία από το μέλος ayger : 09-10-17 στις 12:25. Αιτία: τυπογραφικά
-
09-10-17, 21:40 Απάντηση: PCC + VPN Server = Problem! #17
Κατά αρχάς σε ευχαριστώ που μπήκες στο κόπο για όλες αυτές τις χρήσιμες πληροφορίες. Γενικά είμαι αρχάριος στο θέμα του routing οπότε ζητάω επιείκεια. Πριν από 40 με 50 ημέρες άρχισα να ασχολούμαι για πρώτη φορά με mikrotik και πριν από 2 με 2,5 χρόνια "αναγκάστηκα" να ασχοληθώ με router συσκευή και μάλιστα της ubiquiti, γιατί το modem-router που είχα της zyxel στην γραμμή μου, τουλάχιστον στο θέμα του routing ήταν αισχρό.
0α) Δεν δουλεύω DMZ γιατί δεν χρειάστηκε αφού μου περνάει όλες τις πόρτες που χρειάζομαι. Φυσικά έγινε απενεργοποίηση από το πάνελ του ΟΤΕ της default προστασίας που έχει ενεργοποιημένη. Δυστυχώς όμως εχτές διαπίστωσα πως μετά από διακοπή ρεύματος, το ένα modem έχασε όλα τα ports forward και ήθελε πάλι από την αρχή να τα ξαναπεράσω. Αλλά από κινεζιές τι άλλο να περιμένεις.
0β) Σε δοκιμές που έκανα σε 3 virtual windows seven στα 32 και 64 bit, είχα ακριβώς το ίδιο πρόβλημα με τις L2TP συνδέσεις. Όταν πρόσθεσα όμως την συγκεκριμένη εγγραφή στην registry, τότε συνδεόμουν κανονικά. Φυσικά σε PPTP υπήρχε πρόβλημα. Από την άλλη όμως σε 5 λειτουργικά Win2K3, 2 κανονικά και 3 virtual, δεν υπήρχε κανένα απολύτως πρόβλημα, για αυτό υποψιάζομαι ότι κάτι παίζει με τα seven. Όταν κάνω σύνδεση όμως από το εσωτερικό δίκτυο του mikrotik και δεν παρεμβάλετε το modem-router, σ' αυτή την περίπτωση τα seven δεν έχουν κανένα απολύτως πρόβλημα ούτε με το L2TP ούτε με το PPTP.
1) Υποθέτω πως εννοείς για λόγους ασφάλειας, μετά τις πόρτες που χρειάζομαι να έρχονται από τα WAN interfaces, να μπλοκάρω όλες τις υπόλοιπες. Θα το εφαρμόσω σαν έξτρα προστασία.
2) Από τα modems κάνω forward μόνο τις πόρτες που χρειάζομαι, οπότε δεν έχω καμία σύνδεση από έξω στην DNS πόρτα 53, γι' αυτό και νομίζω ότι δεν χρειάζεται. Πάνω σε αυτό όμως, έχω μια πρόσφατη εμπειρία. Αυτές τις μέρες σετάρω ένα mikrotik στο χώρο μου, και το 3ο gateway το παίρνω από το ubiquiti router, με όλο το traffic να έρχεται από δική του static ip χωρίς κανένα έλεγχο. Κάποια στιγμή όμως αργά την νύκτα, διαπίστωσα υπερβολική κίνηση στην γραμμή μου. Μετά από γενικό έλεγχο βρήκα ότι γινόντουσαν πολλαπλές συνδέσεις στην γραμμή αυτή, από DNS flood και στο tcp και στο udp. Οπότε αναγκαστικά σε αυτή την περίπτωση έπρεπε να βάλω το απαιτούμενο rule.
3) Ναι αυτό είναι το subnet του VPN από όπου από εκεί μπορώ να έχω πρόσβαση και στα υπόλοιπα subnets.
4) Εδώ είχα μια απορία αν παίζει ρόλο η σειρά των PCC rules. Αφού δεν παίζει θα το διορθώσω.
5) Είναι μια πολύ καλή ιδέα, να ελαχιστοποιήσω τον έλεγχο και να περάσω όλο το traffic που είναι προς το vpn subnet με ένα μόνο rule.
5β) Δηλαδή να γίνει ένα masquerade στο traffic από το VPN subnet προς τις διευθύνσεις των gateways ή προς τα WAN interfaces που έχω έτοιμη λίστα; Αλήθεια, υπάρχει διαφορά το αν δηλώνουμε σε αυτές τις περιπτώσεις, ip address ή το αντίστοιχο interface;
6) Δυστυχώς και να βάλω rules υπάρχει ένα μεγάλο πρόβλημα ασφάλειας που δεν μπορεί να λυθεί με το firewall. Επειδή ο ιδιοκτήτης του συγκεκριμένου hotspot, δεν ήθελε να περάσει καλώδια ανάμεσα στο 2ο gateway και στο mikrotik (μιλάμε για 20 με 30 μέτρα), αναγκαστικά γίνεται η σύνδεση με ένα wireless bridge, και το χειρότερο είναι ότι περνάνε στο ίδιο φυσικό δίκτυο και το hotspot αλλά και το WAN2 (φυσικά με διαφορετικά subnets), οπότε κάποιος γνώστης μπορεί εύκολα να παρακάμψει το hotspot και να συνδεθεί απ' ευθείας στο 2ο gateway, αρκεί να βάλει μια static ip στο subnet του WAN2.
7) Όντως για αυτό υπάρχει ο κανόνας για να βρίσκω την WAN2 IP. Στην αρχή που ασχολήθηκα με το mikrotik και με την εντολή ping, πίστευα πως μπορούσα να δηλώσω από ποιο gateway θα περάσει, αλλά μετά έμαθα πως αυτό είναι μόνο για το IPv6, οπότε η μόνη λύση είναι μέσω routing.
-
10-10-17, 12:04 Απάντηση: PCC + VPN Server = Problem! #18
DMZ =! port forward.
Δεν υπάρχουν μόνο τα tcp και udp protocols, υπάρχει το gre,to esp, icmp και τόσα άλλα. Μήπως εκεί βρίσκεται το culprit? Ότι δεν σου περνάει το protocol 47 (GRE) Προς τα μέσα?
0β) Σε δοκιμές που έκανα σε 3 virtual windows seven στα 32 και 64 bit, είχα ακριβώς το ίδιο πρόβλημα με τις L2TP συνδέσεις. Όταν πρόσθεσα όμως την συγκεκριμένη εγγραφή στην registry, τότε συνδεόμουν κανονικά. Φυσικά σε PPTP υπήρχε πρόβλημα. Από την άλλη όμως σε 5 λειτουργικά Win2K3, 2 κανονικά και 3 virtual, δεν υπήρχε κανένα απολύτως πρόβλημα, για αυτό υποψιάζομαι ότι κάτι παίζει με τα seven. Όταν κάνω σύνδεση όμως από το εσωτερικό δίκτυο του mikrotik και δεν παρεμβάλετε το modem-router, σ' αυτή την περίπτωση τα seven δεν έχουν κανένα απολύτως πρόβλημα ούτε με το L2TP ούτε με το PPTP.
Όπως λένε και οι αγγλοσάξωνες αυτό το θέμα has been beaten to death. Καλό είναι να μην το χρησιμοποιείς.
1) Υποθέτω πως εννοείς για λόγους ασφάλειας, μετά τις πόρτες που χρειάζομαι να έρχονται από τα WAN interfaces, να μπλοκάρω όλες τις υπόλοιπες. Θα το εφαρμόσω σαν έξτρα προστασία.
2) Από τα modems κάνω forward μόνο τις πόρτες που χρειάζομαι, οπότε δεν έχω καμία σύνδεση από έξω στην DNS πόρτα 53, γι' αυτό και νομίζω ότι δεν χρειάζεται. Πάνω σε αυτό όμως, έχω μια πρόσφατη εμπειρία. Αυτές τις μέρες σετάρω ένα mikrotik στο χώρο μου, και το 3ο gateway το παίρνω από το ubiquiti router, με όλο το traffic να έρχεται από δική του static ip χωρίς κανένα έλεγχο. Κάποια στιγμή όμως αργά την νύκτα, διαπίστωσα υπερβολική κίνηση στην γραμμή μου. Μετά από γενικό έλεγχο βρήκα ότι γινόντουσαν πολλαπλές συνδέσεις στην γραμμή αυτή, από DNS flood και στο tcp και στο udp. Οπότε αναγκαστικά σε αυτή την περίπτωση έπρεπε να βάλω το απαιτούμενο rule.
3) Ναι αυτό είναι το subnet του VPN από όπου από εκεί μπορώ να έχω πρόσβαση και στα υπόλοιπα subnets.
4) Εδώ είχα μια απορία αν παίζει ρόλο η σειρά των PCC rules. Αφού δεν παίζει θα το διορθώσω.
Είναι ολόκληρο κεφάλαιο.
Σε κάθε περίπτωση το ανέφερα για το ευανάγνωστο του πράγματος. Όλα σε ένα , νοικουρεμένα, έτσι ώστε κάποιος άλλος να μπορεί να δει ευκολα το configuration.
5) Είναι μια πολύ καλή ιδέα, να ελαχιστοποιήσω τον έλεγχο και να περάσω όλο το traffic που είναι προς το vpn subnet με ένα μόνο rule.
5β) Δηλαδή να γίνει ένα masquerade στο traffic από το VPN subnet προς τις διευθύνσεις των gateways ή προς τα WAN interfaces που έχω έτοιμη λίστα; Αλήθεια, υπάρχει διαφορά το αν δηλώνουμε σε αυτές τις περιπτώσεις, ip address ή το αντίστοιχο interface;
6) Δυστυχώς και να βάλω rules υπάρχει ένα μεγάλο πρόβλημα ασφάλειας που δεν μπορεί να λυθεί με το firewall. Επειδή ο ιδιοκτήτης του συγκεκριμένου hotspot, δεν ήθελε να περάσει καλώδια ανάμεσα στο 2ο gateway και στο mikrotik (μιλάμε για 20 με 30 μέτρα), αναγκαστικά γίνεται η σύνδεση με ένα wireless bridge, και το χειρότερο είναι ότι περνάνε στο ίδιο φυσικό δίκτυο και το hotspot αλλά και το WAN2 (φυσικά με διαφορετικά subnets), οπότε κάποιος γνώστης μπορεί εύκολα να παρακάμψει το hotspot και να συνδεθεί απ' ευθείας στο 2ο gateway, αρκεί να βάλει μια static ip στο subnet του WAN2.
Τα 2 τικια στα άκρα έχουν παραπάνω από ένα ethernet interface? Αν ναι, τότε με δύο vlan και wds πάνω από το ασύρματο φτιάχνεις
ένα μεγάλο μακρύ καλώδιο και έχεις πλήρη διαχωρισμό αλλά και firewall μεταξύ των.
7) Όντως για αυτό υπάρχει ο κανόνας για να βρίσκω την WAN2 IP. Στην αρχή που ασχολήθηκα με το mikrotik και με την εντολή ping, πίστευα πως μπορούσα να δηλώσω από ποιο gateway θα περάσει, αλλά μετά έμαθα πως αυτό είναι μόνο για το IPv6, οπότε η μόνη λύση είναι μέσω routing.
Μπορείς με ένα script να κάνεις το εξής :
Κώδικας::global currentIP [:resolve myip.opendns.com server=208.67.222.222];
και να την ρεπορτάρεις στο log, σαν comment κάπου ή να στο στέλνει σε ένα emaii. Το "πως" ακριβώς, το αφήνω σαν άσκηση στον αναγνώστη.
-
11-10-17, 05:11 Απάντηση: PCC + VPN Server = Problem! #19
Σχετικά με το PPTP που δεν περνάει από τα seven, πολύ λίγο με νοιάζει. Έτσι και αλλιώς το L2TP είναι πιο ασφαλές με την έξτρα προστασία του secret key.
Η μόνη πρόσβαση που με ενδιαφέρει να έχω στο subnet του hotspot, είναι τα access points και τα wireless bridges (κάνουν bypass το authentication μέσω bindings), και αυτό για να μπορώ να κάνω αλλαγές στο setup τους. Ευτυχώς τα unifi φεύγουν σε εξωτερικό controller και έτσι λιγοστεύουν σημαντικά οι συσκευές που είναι για έλεγχο.
Τώρα σε σχέση με το WAN2 και το δεύτερο modem, στην άλλη άκρη υπάρχει μόνο ένα απλό switch όπου έχει το hotspot δίκτυο και επίσης επάνω του κουμπώνει και το modem. Υπάρχει μόνο το κεντρικό mikrotik που είναι στην πλευρά του WAN2. Και όσο για vlan δίκτυα, προς το παρόν έχω πλήρη άγνοια γιατί δούλευα πάντα, απλά δίκτυα σε L2, οπότε ποτέ δεν χρειάστηκε να ασχοληθώ με αυτά. Ίσως ήρθε η ώρα...
Παρεμπιπτόντως, μπορούν να περάσουν πάνω από 1 vlan από wireless συσκευές της ubiquiti; Για bridges δουλεύουμε τα nanobeam.
-
11-10-17, 12:35 Απάντηση: PCC + VPN Server = Problem! #20
-
17-10-17, 21:21 Απάντηση: PCC + VPN Server = Problem! #21
Για να μην ανοίγω νέο θέμα έχω μια ερώτηση σχετικά με το hotspot.
Γνωρίζει κανείς γιατί το hotspot στο mikrotik, καταλαμβάνει μια έξτρα διεύθυνση από το hotspot-pool, σε συσκευές που έχουν static ip εκτός hotspot-pool, έχουν δηλωθεί στη λίστα ip bindings και είναι bypassed;
-
19-10-17, 00:34 Απάντηση: PCC + VPN Server = Problem! #22
Γιατί αναγκαστικά για να μπορέσει να δρομολογηθεί η κίνηση ενός client από το συγκεκριμένο interface πρέπει ο client να έχει ip από το ίδιο subnet.
Το ότι σου δίνει ip ενώ εσύ έχεις καρφωτή ip στη συσκευή σου στην ουσία είναι πλεονέκτημα σε περιβάλλον πχ ξενοδοχείου όπου μπορεί ο πελάτης να πάει με το laptop της εταιρείας του στο οποίο υπάρχουν περασμένες static ip και να παίξει κατευθείαν. σε αντίθετη περίπτωση δεν θα έπαιρνε ποτέ ίντερνετ αν δεν πείραζε την κάρτα δικτύου του.
Το bypassed είναι απλά για να μην σου ζητάει authentication.
-
19-10-17, 22:43 Απάντηση: PCC + VPN Server = Problem! #23
Δεν εννοούσα αυτό. Φυσικά στις περιπτώσεις των clients που έχουν δικές τους διευθύνσεις, θα πρέπει το hotspot να εκδώσει μία μέσα από το hotspot subnet range. Η ερώτησή μου όμως έχει να κάνει με τα access points, που ενώ έχουν static ip στο ίδιο φυσικά subnet αλλά εκτός pool range, το hotspot κρατούσε και μία έξτρα ip, με την ίδια mac address.
Αν κα βλέπω σιγά-σιγά να λιγοστεύει αυτό το πρόβλημα. Ενώ στις πρώτες βδομάδες και τα 15 access points, είχαν κρατημένη και μια δεύτερη ip, έχουν μείνει μόνο 3 από αυτά.
-
20-10-17, 15:21 PCC + VPN Server = Problem! #24
Δεν ξέρω την εγκατάσταση αλλά σε στη θέση σου θα έβαζα τα access point σε ένα management interface και πάνω σε αυτό ένα vlan για το Hotspot. Αν φυσικά τα access points υποστηρίζουν vlan.
Παράθεση Posted from Android app
Παρόμοια Θέματα
-
Mikrotik L2TP vpn server with Ipsec
Από Nikiforos στο φόρουμ MikroTikΜηνύματα: 132Τελευταίο Μήνυμα: 29-07-23, 16:42 -
Mikrotik Dual-Wan με PCC --> πρόβλημα με VPN
Από tsatasos στο φόρουμ MikroTikΜηνύματα: 30Τελευταίο Μήνυμα: 20-01-18, 12:54 -
Υπηρεσία VPN με servers στην Ελλάδα
Από dimangelid στο φόρουμ NetworkingΜηνύματα: 4Τελευταίο Μήνυμα: 03-10-17, 08:57 -
Mikrotik σαν client vpn σε servers VPN
Από jkarabas στο φόρουμ MikroTikΜηνύματα: 2Τελευταίο Μήνυμα: 15-08-17, 16:42 -
Δημιουργία Open VPN Server
Από dkouskousis στο φόρουμ NetworkingΜηνύματα: 6Τελευταίο Μήνυμα: 27-12-16, 22:32
Bookmarks