Mikrotik ROS + Express VPN

[Nikiforos]

Καλησπερα, το πρωι ρωτησα αν εχει κανει καποιος συνδεση ExpressVPN με mikrotik l2tp+ipsec, επειδη το εκανα στο nas, δεν επαιρνε το openvpn επειδη ειναι διαφορετικο το config του.
Οποτε βαση αυτου το εκανα στο mikrotik και με μερικες δοκιμες καταφερα και τα αλλα.
Οποτε ειπα να το γυρισω σε οδηγο μηπως ενδιαφερεται καποιος αλλος να μην ψαχνεται γιατι δεν το βρηκα πουθενα!

Παμε εδω για να παρουμε κωδικους και server : https://www.expressvpn.com/setup#manual
Oι ρυθμισεις βαση του qnap nas ειναι εδω : https://www.expressvpn.com/support/v...#manual-config γιατι χρειαζομαστε καποια στοιχεια για την συνδεση μας.

Οι ρυθμισεις μου ειναι αυτες, τις δοκιμασα τωρα με επιτυχια και μπορω να επιλεξω και ποιο μηχανημα θα ειναι πισω απο το vpn, στην δοκιμη ειναι ο nas.

Κώδικας:

/interface l2tp-client
add allow=mschap2 comment=ExpressVPN connect-to=italy1-ubuntu-l2tp.expressprovider.com disabled=no ipsec-secret=xxxxxxxx name=l2tp-out1 password=xxxxxxx use-ipsec=yes use-peer-dns=yes \
    user=xxxxxx

/ip route> 
add comment="Internet apo Express vpn l2tp+ipsec" distance=5 gateway=l2tp-out1 routing-mark=vpn

/ip firewall nat
add action=masquerade chain=srcnat comment="internet apo Express VPN L2tp+Ipsec" dst-address=!10.0.0.0/8 out-interface=l2tp-out1 src-address=10.X.XXX.0/XX (edw to subnet mas)

/ip firewall mangle
add action=mark-routing chain=prerouting comment="Express VPN olo to subnet" disabled=yes new-routing-mark=vpn passthrough=no src-address=10.X.XXX.0/XX
add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes src-address=10.X.XXX.X (ena sygkekrimeno mas mixanima gia na exei apo vpn)

- - - Updated - - -

To 10.0.0.0/8 το εχω λογω του awmn σε αλλους δεν χρειαζεται μπορουμε να μην βαλουμε τιποτα εκει.

[Nikiforos]

καλησπέρα, επανέρχομαι στο θέμα μετά από δοκιμες.
Τελικα το μετεφερα στο hap ac2 https://mikrotik.com/product/hap_ac2 γιατί έχει ipsec h/w acceleration https://help.mikrotik.com/docs/displ...reacceleration και ποιο δυνατη cpu φυσικα απο το 109 καμια σχεση.
Ομως ειχα θεμα με τον χωρο των πακετων.
Επειδη εχω dude server, ειχα μέσα μονο το wireless και το system.
Τωρα εβαλα το ppp για να εχω το l2tp και είδα μετά πως με ipsec ενεργο δεν συνδεοταν.
Αν το εβγαζα μπαινει αλλα δεν εχει ipsec κρυπτογραφηση.
Το ipsec ειναι στο πακετο security και για να μπει αυτο θελει και το πακετο dhcp μαζι.
Τελικα τα χωρεσα ολα και εμεινα με 7% εσωτερικη μνημη free.
Για οσους ενδιαφερονται για καποιο με μικρη εσωτερικη (16ΜΒ).
Aν δεν υπαρχει ο Dude σαφως εχει περισσοτερο χωρο αλλα εγω το χρειαζομαι.

[Nikiforos]

καλησπερα, εχει κανεις καμια ιδεα αν γινεται να δινω express vpn σε καποια ip αλλα μονο σε συγκεκριμενες υπηρεσιες ? το εχει κανει καποιος ?

[sdikr]

καλησπερα, εχει κανεις καμια ιδεα αν γινεται να δινω express vpn σε καποια ip αλλα μονο σε συγκεκριμενες υπηρεσιες ? το εχει κανει καποιος ?

Αυτό που θέλεις είναι αυτό μάλλον
https://wiki.mikrotik.com/wiki/Per-T...Load_Balancing

Ανάλογα παίζεις με το source ip και εκεί που λέει πχ Https βάζεις αυτό που θέλεις

[Nikiforos]

Αυτό που θέλεις είναι αυτό μάλλον
https://wiki.mikrotik.com/wiki/Per-T...Load_Balancing

Ανάλογα παίζεις με το source ip και εκεί που λέει πχ Https βάζεις αυτό που θέλεις

Θα το δω, ευχαριστω εκανα κατι δοκιμες αλλα τα εκανα μανταρα και δεν επαιζε τιποτα τελικα.

[sdikr]

Λογικά με κάτι τέτοιο θα πρέπει να σου δουλέψει

Κώδικας:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark="SSL traffic" passthrough=no dst-port=443 protocol=tcp comment="" disabled=no 
/ip route
add dst-address=0.0.0.0/0 gateway=l2tp-out1 scope=255 target-scope=10 routing-mark="SSL traffic" comment="" disabled=no

[Nikiforos]

Λογικά με κάτι τέτοιο θα πρέπει να σου δουλέψει

Κώδικας:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark="SSL traffic" passthrough=no dst-port=443 protocol=tcp comment="" disabled=no 
/ip route
add dst-address=0.0.0.0/0 gateway=l2tp-out1 scope=255 target-scope=10 routing-mark="SSL traffic" comment="" disabled=no

Thanks! θα τα δω αυριο γιατι δεν εχω χρονο τωρα δοκιμων. Πρεπει καπως να τσεκαρω και αν δουλευει.

[Nikiforos]

Καλημερα, το δοκιμασα χτες αυτο, εκανα disable τα αλλα, εβαλα ομως http 80 δλδ στο udp (17) αλλα δεν ειδα να πιανει, δοκιμασα σε σελιδες που δειχνει ips λεει της Inalan δλδ. Εβαλα destination port την ip του desktop pc.
Εκανα διαφορες αλλαγες πχ η port να ειναι και στα 2 source και destination και εναλλαξ τιποτα, δεν ξερω τι κανω λαθος.
Θα κανω και αλλες δοκιμες να διαβασω και κανα googli και θα δω.
Σε αλλες υπηρεσιες μαλλον δεν εχω καποιον τροπο να τσεκαρω αν περνανε μεσω του vpn. Εκτος αν μου διαφευγει κατι.

[sdikr]

Καλημερα, το δοκιμασα χτες αυτο, εκανα disable τα αλλα, εβαλα ομως http 80 δλδ στο udp (17) αλλα δεν ειδα να πιανει, δοκιμασα σε σελιδες που δειχνει ips λεει της Inalan δλδ. Εβαλα destination port την ip του desktop pc.
Εκανα διαφορες αλλαγες πχ η port να ειναι και στα 2 source και destination και εναλλαξ τιποτα, δεν ξερω τι κανω λαθος.
Θα κανω και αλλες δοκιμες να διαβασω και κανα googli και θα δω.
Σε αλλες υπηρεσιες μαλλον δεν εχω καποιον τροπο να τσεκαρω αν περνανε μεσω του vpn. Εκτος αν μου διαφευγει κατι.

Το http είναι 80 σε tcp, και θα πρέπει να βάλεις στο source της ip του Pc και χωρίς Port, ακόμα αν βλέπεις οτι σε πάει σε https τότε πρέπει να το κάνεις και για την 443 σε tcp

[Nikiforos]

Τιποτα δεν πιανει οπως και να το βαλω οταν ανοιξω την σελιδα whats my ip address δειχνει την ip της ιναλαν, http ειναι οχι https.
Eπισης στο wikipedia για καποια νεοτερα http λεει οτι ειναι udp οχι tcp. https://en.wikipedia.org/wiki/Hypert...nsfer_Protocol
Eχω καταφερει μονο οπως στα αρχικα ποστς δειχνω να εχω σε ενα μηχανημα ολη την κινηση μεσω του vpn, δεν εχω καταφερει να το κανω μονο σε συγκεκριμενες πορτες, δεν καταλαβαινω τι μου διαφευγει.
Και δεν ξερω αμα βαλω αλλες πορτες εκτος την 80 (http) που το βλεπω απο σελιδα, πως θα ξερω αν περναει απο το vpn ή οχι ?

[sdikr]

Τιποτα δεν πιανει οπως και να το βαλω οταν ανοιξω την σελιδα whats my ip address δειχνει την ip της ιναλαν, http ειναι οχι https.
Eπισης στο wikipedia για καποια νεοτερα http λεει οτι ειναι udp οχι tcp. https://en.wikipedia.org/wiki/Hypert...nsfer_Protocol
Eχω καταφερει μονο οπως στα αρχικα ποστς δειχνω να εχω σε ενα μηχανημα ολη την κινηση μεσω του vpn, δεν εχω καταφερει να το κανω μονο σε συγκεκριμενες πορτες, δεν καταλαβαινω τι μου διαφευγει.
Και δεν ξερω αμα βαλω αλλες πορτες εκτος την 80 (http) που το βλεπω απο σελιδα, πως θα ξερω αν περναει απο το vpn ή οχι ?

- - - Updated - - -

Το http και το https είναι tcp

[Nikiforos]

- - - Updated - - -

Το http και το https είναι tcp

Καλημερα! Ω γμτ δεν το προσεξα! γιαυτο δεν το πιανει. Thanks! θα το δω το απογευμα παλι.
Το http1 Και 2 θα ειναι tcp μετα τα εκαναν utp στο 3 λεει, αλλα δεν ξερω ποιο χρησιμοποιουν γενικα οι σελιδες.

HTTP/3 is the proposed successor to HTTP/2,[6][7] which is already in use by 9.3% of websites; and is used by over 7.3% of desktop computers (enabled by default in latest macOS), using UDP instead of TCP for the underlying transport protocol. https://en.wikipedia.org/wiki/Hypert...nsfer_Protocol
Φανταζομαι μπορω να κανω οσες καταχωρησεις θελω να καλυψω οτι θελω, αλλα αυτο ειναι για δοκιμη αλλωστε για αλλες πορτες το θελω.

[sdikr]

Καλημερα! Ω γμτ δεν το προσεξα! γιαυτο δεν το πιανει. Thanks! θα το δω το απογευμα παλι.
Το http1 Και 2 θα ειναι tcp μετα τα εκαναν utp στο 3 λεει, αλλα δεν ξερω ποιο χρησιμοποιουν γενικα οι σελιδες.

HTTP/3 is the proposed successor to HTTP/2,[6][7] which is already in use by 9.3% of websites; and is used by over 7.3% of desktop computers (enabled by default in latest macOS), using UDP instead of TCP for the underlying transport protocol. https://en.wikipedia.org/wiki/Hypert...nsfer_Protocol
Φανταζομαι μπορω να κανω οσες καταχωρησεις θελω να καλυψω οτι θελω, αλλα αυτο ειναι για δοκιμη αλλωστε για αλλες πορτες το θελω.

Για να σου λέει το 9.3% των σελίδων και το 7,3% τον υπολογιστών ποιες είναι οι πιθανότητες να είσαι εσύ μέσα σε αυτούς;

[Nikiforos]

Για να σου λέει το 9.3% των σελίδων και το 7,3% τον υπολογιστών ποιες είναι οι πιθανότητες να είσαι εσύ μέσα σε αυτούς;

καλα λες αλλα και παλι δεν πιανει δυστυχως.
τι στο καλο δλδ.

- - - Updated - - -

Μηπως πρεπει να γινει με ΝΑΤ κανονα μαζι?

- - - Updated - - -

Κώδικας:

add action=masquerade chain=srcnat comment="internet apo Express VPN L2tp+Ipsec" dst-address=!10.0.0.0/8 out-interface=l2tp-out1 src-address=10.X.XXX.0/27

Τωρα εχω αυτο που δουλευει αλλα για καθε ip που δινω με mangle. Αλλα δεν εχει δηλωμενες πορτες.

[sdikr]

καλα λες αλλα και παλι δεν πιανει δυστυχως.
τι στο καλο δλδ.

- - - Updated - - -

Μηπως πρεπει να γινει με ΝΑΤ κανονα μαζι?

- - - Updated - - -

Κώδικας:

add action=masquerade chain=srcnat comment="internet apo Express VPN L2tp+Ipsec" dst-address=!10.0.0.0/8 out-interface=l2tp-out1 src-address=10.X.XXX.0/27

Τωρα εχω αυτο που δουλευει αλλα για καθε ip που δινω με mangle. Αλλα δεν εχει δηλωμενες πορτες.

Δεν έχεις κάποιον γενικό κανόνα masquerade για το vpn;