Ρύθμιση VPN σύνδεσης

[jonhh]

Καλησπέρα,

Μια ίσως χαζή ερώτηση, αλλά είμαι newbie στα Mikrotik..
Για να σετάρω VPN (π.χ. PPTP) στο router μου, πρέπει να προσθέσω πρέπει να προσθέσω και PPTP Server Binding και PPTP client?

[Nikiforos]

Καλημερα, όχι στο ίδιο μηχάνημα και τα δύο! Το client είναι ο πελάτης πάει στο άλλο μηχάνημα.

[jonhh]

ok, έχω κάνει τα εξής ως τώρα. Μέσα από το winbox:

1. Στη PPP σελίδα, ενεργοποίησα τον PPTP Server.



2. Στο Secrets tab πρόσθεσα νέο χρήτση



Όταν πάω να συνδεθώ από το PC, βγαίνει το παρακάτω error:

The VPN connection between your computer and the VPN server could not be completed. The most common cause for this failure is that at least one Internet device (for example, a firewall or a router) between your computer and the VPN server is not configured to allow Generic Routing Encapsulation (GRE) protocol packets. If the problem persists, contact your network administrator or Internet Service Provider.

Κάπου διάβασα πως πρέπει να κάνω ενεργοποιήσω GRE protocol και το port 1723 from WAN. Βέβαια, δεν έχω ιδέα πως να το κάνω αυτό..

[Nikiforos]

καλησπερα, μονο απο αυτα δεν μπορω να καταλαβω τι αλλα εχεις κανει.
Θελει και αλλα πραγματα δες και εδω https://wiki.mikrotik.com/wiki/PPTP_Server_With_Profile
θες και NAT καταρχην.

Την 1723 πρεπει να την ανοιξεις στο adsl/vdsl router σου.
Φανταζομαι στο mikrotik δεν εχεις pppoe client σωστα?

Το GRE tunnel δεν χρειαζεται απαραιτητα για το pptp οταν ειχα καποτε δεν ειχα μαζι και GRE tunnel.
Δεν δουλευω εδω και πολυυυυυ καιρο pptp τα πεταξα ολα ειναι απαρχαιομενο και εντελως μη ασφαλες.
Πλεον δουλευω ΜΟΝΟ openvpn.

Δες και βιντεακι https://www.youtube.com/watch?v=7Uz1V9WqnL8

[romankonis]

Φτιάξε OpenVPN. Όλα τα αλλα, μη κοιτάς. Αν δεν ξέρεις πως ρυθμίζεται OpenVPN with certificate & without certificate + DDNS, στείλε μου PM για να κανονίσουμε.

[Nikiforos]

καλημέρα, θα συμφωνησω! και εγω τα ξηλωσα όλα και τα διεγραψα, δεν υπαρχει κατι καλυτερο απλα….
αν γινεται να είναι σε Linux server ακομα καλυτερα γιατι του ROS εχει περιορισμούς, δεν εχει UDP, TLS και LZO compression.
Εχουμε θεμα εδώ, αν ο πελατης είναι κατι άλλο το συζητάμε εκει περα : https://www.adslgr.com/forum/threads...Android-Client μιλαμε για ολους τους πελατες όχι μονο για android....εχουμε ζητησει να αλλαξει ο τιτλος αλλα δεν...

Συγκεκριμενα για το pptp ειναι το χειροτερο των ολων και ακομα και η Apple πλεον δεν το υποστηριζει πουθενα, προτεινει l2tp + ipsec που επισης εχουμε σχετικο θεμα, αλλα το openvpn ακομα καλυτερα παλι.

[ios46]

Επίσης σε Mikrotiκ δεν υπάρχει υποστήριξη για TCP optimization μέσω tcp-nodelay (αν και με τις xDSL γραμμές δεν έχει και μεγάλη διαφορά η χρήση UDP/TCP):

--https://www.extrahop.com/company/blog/2016/tcp-nodelay-nagle-quickack-best-practices/

--https://books.google.gr/books?id=lwDyCHPzd7oC&pg=PT510&lpg=PT510&dq=openvpn+tcp-nodelay&source=bl&ots=M9ROqbKSoS&sig=ACfU3U3-5aNDkXVDt2eToZJ46irbJCCULA&hl=el&sa=X&ved=2ahUKEwiApvPGroPgAhXNy6QKHWBBCDwQ6AEwB3oECAIQAQ#v=onepage&q=openvpn%20tcp-nodelay&f=false

Τα comp-lzo, ns-cert-type όπως και άλλα flags/options πλέον καταργούνται και αντικαθίστανται απο άλλες επιλογές.

--https://community.openvpn.net/openvpn/wiki/DeprecatedOptions

[Nikiforos]

Να τονισω παντως οτι μετα απο χρηση πολλων χρονων σε mikrotik, και ειχα server παλιοτερα και σε openwrt με αλλους πελατες πχ windows + android δεν εχω καταλαβει καμια διαφορα και δεν εχω δει κανενα προβλημα παρολο τις ελλειψεις που εχει στο ROS το OVPN οπως το ονομαζει η Mikrotik. Και κανω πολυ και μονιμη χρηση και με VOIP δικο μου, ειτε σε UDP, ειτε σε TCP δεν εχω δει διαφορα παντως, γιαυτο και δεν με απασχολει τοσο.
αν ειχα προβληματα θα εβαζα server στο nas που εχει linux inside και πελατη θα εβαζα κανα raspberry γιατι εκει που θελω μονιμες συνδεσεις με openwrt φυσικα....αφου δεν βλεπω προβληματα απο τις ελλειψεις εχω και τα 2 ακρα με Mikrotik routerboards, εκτος 2 μονιμες συνδεσεις με server-client σε ROS, εχω πελατες με windows 10 και android. H γραμμη μου ειναι ADSL 10αρα, στην αλλη ακρη ειναι τωρα ADSL 14αρα, ειχα και κινητη πριν cosmote 4G, απο κινητο ειναι κινητη 4G ή Η+ και παλιοτερα γινοταν και χρηση AWMN (εξωτερικα ασυρματα δικτυα).
Γενικα ειμαι 100% ευχαριστημενος με openvpn γιαυτο και καταργησα ολα τα αλλα που ειχα σταδιακα (pptp, sstp, l2tp+ipsec, gre, eoip).

[jkarabas]

Θα συμφωνήσω, μόνο OpenVPN. Φυσικά με certificates keys.
Για τη διαδικασία εδώ είμαστε να βοηθήσουμε.

[Nikiforos]

Δε νομιζω οτι γινεται χωρις πιστοποιητικα το openvpn.
Στο sstp αν δεν κανω λαθος μπορεις να κανεις και πιστοποιητικα αλλα μπορεις και απλα χωρις.

[romankonis]

Δε νομιζω οτι γινεται χωρις πιστοποιητικα το openvpn.
Στο sstp αν δεν κανω λαθος μπορεις να κανεις και πιστοποιητικα αλλα μπορεις και απλα χωρις.

Αυτό είναι δυνατό χωρίς πιστοποιητικό χρήστη. Αρκεί να έχει CA Template, μετα CA Server και SIGN.
Αυτά είναι δικά μου. 1 τύπου χωρίς πιστοποιητικό χρήστη και δεύτερο με πιστοποιητικό χρήστη.

[Nikiforos]

καλημέρα, εννοουσα χωρις ΚΑΝΕΝΑ πιστοποιητικο όπως γινεται σε αλλα ειδη vpn.
Και αυτό που λες παλι εχει, δεν λεω μονο από την πλευρα του χρηστη, αλλα γενικα δλδ και από του server.
Στο sstp μπορεις να μην εχεις ΚΑΝΕΝΑ απολυτως πιστοποιητικο όπως στο απλο l2tp και pptp, ενώ μπορεις να το φτασεις και κοντα στα επίπεδα του openvpn από πιστοποιητικα και από τις 2 πλευρες server-client.

Βρηκα και ένα ωραιο pdf που λεει και για Openvpn και για το SSTP https://mum.mikrotik.com//presentati...1476714592.pdf

Anyway επειδή ξεφευγουμε από το θεμα, εχουμε και θεματα για το κάθε ειδος VPN στα γενικα για τα Mikrotik, οποτε ας μας πει ο φιλος τι τελικα θα αποφασισει να κανει να τον βοηθήσουμε.

Τα links είναι εδώ :
Οpenvpn https://www.adslgr.com/forum/threads...Android-Client
l2tp + ipsec https://www.adslgr.com/forum/threads...ver-with-Ipsec
SSTP https://www.adslgr.com/forum/threads...ik-SSTP-server

μαλλον για pptp δεν εχουμε αλλα βρηκα οδηγο : https://wiki.mikrotik.com/wiki/PPTP_Server_With_Profile

[jkoukos]

Off Topic

Το μέλλον ανήκει πιθανότατα στο Wireguard, αρκεί να ακούσουν τους χρήστες.

[jkarabas]

Off Topic

Το μέλλον ανήκει πιθανότατα στο Wireguard, αρκεί να ακούσουν τους χρήστες.

Γιατί όχι;

[Nikiforos]

Off Topic

Το μέλλον ανήκει πιθανότατα στο Wireguard, αρκεί να ακούσουν τους χρήστες.

Off Topic

Αυτό δεν θα κανει φυσικα για mikrotik και θα πρεπει να εχουμε και έναν Linux server, πχ raspberry με OpenWRT αυτό θα εβαζα εγω μιας και είναι η οικονομικοτερη λυση και με την μικροτερη καταναλωση ρεύματος. Και θα ηταν και ευκαιρια να παρω και το τελευταιο μοντελο...
Αντε να δουμε! αλλα και οι πελατες παλι δεν θα πρεπει να είναι σε Mikrotik.