Πρόσβαση σε Mikrotik πίσω από CGNAT

[atux_null]

σε ένα απομακρυσμένο σημείο έχω ένα Mikrotik που είναι συνδεδεμένο με 4G αλλά δεν υπάρχει δυνατότητα για στατική ΙΡ, είναι κάρτα, αλλά χρειάζεται κάποιες φορές να μπαίνω απομακρυσμένα. στο σπίτι μου έχω ένα mikrotik όπου εκεί έχω συνδέσει ένα raspberry και τρέχει Openvpn Server. το έχω κρατήσει έτσι λόγω του UDP στο openvpn της Mikrotik. Υπάρχει τρόπος μέσω openvpn ή με κάποιον άλλο τρόπο να μπορούν να συνδεθούν τα 2 σημεία?
Τα Mikrotik και στα 2 σημεία τρέχουν έκδοση 6.49.5. Δεν μπορώ να πάω σε 7 λόγω resources, το είχα προσπαθήσει και σερνόντουσαν.
Το Openvpn στο raspberry είναι μέσω script και μου φτιάχνει αυτόματα ένα ovpn κλειδί είτε με κωδικό είτε χωρίς, ότι επιλέξω. δεν υπάρχει η δυνατότητα να το αλλάξω.

ευπρόσδεκτες οι όποιες ιδέες.

[RpMz]

Σήκωσε στο MikroTik του σπιτιού ένα l2tp server και ένα l2tp client στο απομακρυσμένο σημείο και είσαι έτοιμος.

[atux_null]

το κεντρικό σημείο έχει δυναμική ΙΡ, παίζει με ddns, ενώ το απομακρυσμένο παίζει με CGNAT. πως θα το ρυθμίσω? δεν έχω βρει έναν οδηγό για IPSEC με δυναμική ΙΡ & CGNAT.

[dalex]

Αυτο που σου ειπε ο RpMz. Θα δηλωσεις στον L2tp server Use IPsec: required, θα βαλεις και ενα καλο password, και δεν θ ασχοληθεις με το μενου IPsec καθολου.

Θα φτιαξεις πρωτα ενα profile να βαλεις μεσα την local address σου, και ενα Secret με το name - password - remote address, και θ' ανοιξεις τις udp 500 - 1700 και ipsec-esp (50) στο firewall/rules.

Στο απομεμακρυσμενο σημειο θα φτιαξεις τον client με name - password - ipsec secret.

[Moho]

το κεντρικό σημείο έχει δυναμική ΙΡ, παίζει με ddns, ενώ το απομακρυσμένο παίζει με CGNAT. πως θα το ρυθμίσω? δεν έχω βρει έναν οδηγό για IPSEC με δυναμική ΙΡ & CGNAT.

Τα MikroTik που έχεις δεν υποστηρίζουν ZeroTier στην έκδοση που τρέχουνε, ε;

[atux_null]

Τα MikroTik που έχεις δεν υποστηρίζουν ZeroTier στην έκδοση που τρέχουνε, ε;

καλημέρα. όχι, γιατί είναι σε 6.49.5. Με το που τους έβαλα 7, τα παίξανε από resources.

[Moho]

Κρίμα, διότι θα ήτανε πιθανότατα η απλούστερη και ευκολότερη λύση για την περίπτωση...

[BillyVan]

Μια χαρα ειναι και ο τροπος που ειπε παραπανω ο φιλος με το l2tp.

Το ανοιγεις οποτε θες να εχεις προσβαση και το απομακρυσμενο θα συνδεθει αμεσα.

[atux_null]

Μια χαρα ειναι και ο τροπος που ειπε παραπανω ο φιλος με το l2tp.

Το ανοιγεις οποτε θες να εχεις προσβαση και το απομακρυσμενο θα συνδεθει αμεσα.

έχεις κάποιο link για κάποιον εύκολο οδηγό για να δω πως γίνεται? υπενθυμίζω το κεντρικό σημείο έχει ddns και το απομακρυσμένο είναι πίσω από CGNAT

[BillyVan]

Στον σερβερ που εχεις ddns


/ppp secret add local-address=172.20.20.1 name=Server profile=L2TPVPN remote-address=172.20.20.2 service=l2tp

/interface l2tp-server server set default-profile=L2TPVPN enabled=yes max-mru=1400 max-mtu=1400 use-ipsec=yes

/ip firewall filter add action=accept chain=input comment="Allow L2TPVPN" dst-port=500,1701,4500 in-interface=οπως εχες ονομασει την wan σου protocol=udp


Θα πας μετα στο tab PPP / Secrets και στην καταχωρηση θα γραψεις το ονομα και τον κωδικο του client

Θα πας και στο tab PPP / L2TP Server και στη θεση iPsec Secret θα γραψεις και τον κωδικο ipsec

Στο δινω με στατικη ip στον client γιατι θα μπορουσες να κανεις ενα Pool και να δινεις Ip σε οσους μπαινουν με l2tp vpn.



Στον client τωρα.


/interface l2tp-client add comment="VPN" connect-to=XXXXXX.dvrdns.org disabled=no name=οτι θες use-ipsec=yes user=XXXXXXX

Θα πας μετα PPP / στο interface l2tp και στο Dial Out θα βαλεις τους 2 κωδικους στα πεδια που πρεπει και εισαι ετοιμος.

Καντο αυτο και στη συνεχεια αν θες να βλεπεις απ τον σερβερ συσκευες που ειναι πισω απ το απομακρυσμενο Μικροτικ θα πρεπει να κανεις ενα στατικ ρουτ για το subnet εκεινο.


Τωρα το λειτουργεις οποτε θες απλα κλεινεις κι ανοιγεις τον σερβερ και μπαμ ερχεται το αλλο.

Ανοιξε τα Log να βλεπεις θα σε διευκολυνει αν εχεις καπου προβλημα.

[atux_null]

@BillyVan Ευχαριστώ για τις οδηγίες. το δοκιμάζω κ σου λέω αν κολλήσω κάπου

- - - Updated - - -

Στον σερβερ που εχεις ddns


/ppp secret add local-address=172.20.20.1 name=Server profile=L2TPVPN remote-address=172.20.20.2 service=l2tp

/interface l2tp-server server set default-profile=L2TPVPN enabled=yes max-mru=1400 max-mtu=1400 use-ipsec=yes

/ip firewall filter add action=accept chain=input comment="Allow L2TPVPN" dst-port=500,1701,4500 in-interface=οπως εχες ονομασει την wan σου protocol=udp


Θα πας μετα στο tab PPP / Secrets και στην καταχωρηση θα γραψεις το ονομα και τον κωδικο του client

Θα πας και στο tab PPP / L2TP Server και στη θεση iPsec Secret θα γραψεις και τον κωδικο ipsec

Στο δινω με στατικη ip στον client γιατι θα μπορουσες να κανεις ενα Pool και να δινεις Ip σε οσους μπαινουν με l2tp vpn.



Στον client τωρα.


/interface l2tp-client add comment="VPN" connect-to=XXXXXX.dvrdns.org disabled=no name=οτι θες use-ipsec=yes user=XXXXXXX

Θα πας μετα PPP / στο interface l2tp και στο Dial Out θα βαλεις τους 2 κωδικους στα πεδια που πρεπει και εισαι ετοιμος.

Καντο αυτο και στη συνεχεια αν θες να βλεπεις απ τον σερβερ συσκευες που ειναι πισω απ το απομακρυσμενο Μικροτικ θα πρεπει να κανεις ενα στατικ ρουτ για το subnet εκεινο.


Τωρα το λειτουργεις οποτε θες απλα κλεινεις κι ανοιγεις τον σερβερ και μπαμ ερχεται το αλλο.

Ανοιξε τα Log να βλεπεις θα σε διευκολυνει αν εχεις καπου προβλημα.

ο server είναι έτοιμος και έχω καταφέρει να συνδεθώ από android phone αλλά και από Windows 10. ίσως χρειάζεται να γίνουν push τα δίκτυα.
έχω πρόβλημα να συνδέσω ένα mikrotik που είναι σε άλλη σύνδεση, να συνδεθεί ως client. Παραθέτω εικόνα. Με τα ίδια στοιχεία μπαίνουν κανονικά από android phone, αλλά και από windows 10

[BillyVan]

Μιλαει το Log

βαλε το secret στο ipsec

ή βγαλε το τικ απ το use ipsec και δοκιμασε

[atux_null]

αφού το έχω το secret στο ipsec. παρεπιπτόντως έβγαλα το use ipsec αλλά κ παλι αποτυγχάνει. παίρνει συνεχώς wrong password, ενώ γίνεται copy paste του κωδικού.

[BillyVan]

αφού το έχω το secret στο ipsec. παρεπιπτόντως έβγαλα το use ipsec αλλά κ παλι αποτυγχάνει. παίρνει συνεχώς wrong password, ενώ γίνεται copy paste του κωδικού.

σου εστειλα pm

[atux_null]

μετά από επανεκκίνηση έχει ξεκολλήσει κ πλέον συνδέεται. αλλά δεν μπορώ από τα PC του ενός σημείου να δω τα απέναντι δίκτυα. ενώ μέσα από τους routers μπορώ να κάνω ping τα απέναντι subnets.

Mikrotik_server
eth1: pppoe
eth2/3:LAN 172.16.5.0/24
eth4/5:LAN 10.0.0.0/24

Κώδικας:

# apr/11/2022 14:54:55 by RouterOS 6.49.5
/interface bridge
add name=bridge1
add name=bridge2
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    service-name=otenet use-peer-dns=yes user=atuxnull@otenet.gr
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTikserver
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms="aes-256-c\
    bc,aes-256-gcm,aes-192-cbc,aes-192-gcm,aes-128-cbc,aes-128-gcm,3des" \
    pfs-group=modp2048
/ip pool
add name=dhcp_pool0 ranges=172.16.5.150-172.16.5.199
add name=pool2 ranges=10.0.0.100-10.0.0.149
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
add address-pool=pool2 disabled=no interface=bridge2 name=dhcp2
/ppp profile
add dns-server=172.16.5.1,8.8.8.8 name=l2tp-vpn
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge2 interface=ether4
add bridge=bridge2 interface=ether5
/interface l2tp-server server
set allow-fast-path=yes default-profile=l2tp-vpn enabled=yes use-ipsec=\
    required
/ip address
add address=172.16.5.1/24 interface=bridge1 network=172.16.5.0
add address=10.0.0.1/24 interface=bridge2 network=10.0.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=8.8.8.8,9.9.9.9 gateway=10.0.0.1
add address=172.16.5.0/24 dns-server=8.8.8.8,9.9.9.9 gateway=172.16.5.1
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="Allow L2PT / IPSec VPN access" \
    dst-port=500,1701,4500 in-interface-list=all protocol=udp
add action=accept chain=input in-interface-list=all protocol=ipsec-esp
add action=accept chain=forward in-interface-list=all protocol=ipsec-ah
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=192.168.22.1 name=muj-phone profile=l2tp-vpn \
    remote-address=192.168.22.118
add local-address=192.168.22.1 name=atuxnull profile=l2tp-vpn \
    remote-address=192.168.22.119
add name=chr_mikrotik
/system clock
set time-zone-name=Europe/Athens
/system ntp client
set enabled=yes primary-ntp=193.93.164.194 secondary-ntp=195.219.205.9

Mikrotik_client
eth1:192.168.1.0/24
eth2: 192.168.2.0/24

Κώδικας:

# oct/07/2011 15:18:36 by RouterOS 6.49.5


/interface l2tp-client
add allow=chap,mschap2 comment=VPN connect-to=3123456atux.sn.mynetname.net \
    disabled=no name=Tiki_l2tp use-ipsec=yes user=atuxnull
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTikclient
/ip address
add address=192.168.2.202/24 interface=ether2 network=192.168.2.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dns
set allow-remote-requests=yes servers=192.168.1.253,8.8.8.8
/ip route
add distance=1 dst-address=172.16.5.0/24 gateway=Tiki_l2tp