Εμφάνιση 1-7 από 7
  1. #1
    Εγγραφή
    07-06-2007
    Ηλικία
    40
    Μηνύματα
    6
    Downloads
    17
    Uploads
    0
    Γεια σας, ελπίζω όλοι να είστε καλά,

    Έχω στη διάθεση μου το εν λόγω router και προσπαθώ στήσω έναν Open VPN server στην πόρτα 1194. Το MT βρίσκεται πίσω από Speedport Entry 2i, στόχος είναι να μη γυρίσω το router του παρόχου σε Bridge Mode, αλλά να συνδέσω το MT με το Speedport (WAN(MT) -> LAN1(SP)) και να δοκιμάσω με DMZ ή Port Forwarding κανόνες. Έχω συναντήσει ωστόσο κάποιες δυσκολίες και επειδή δεν έχω μεγάλη εξοικείωση με τα MT θα ήθελα λίγο τη βοήθειά σας,

    Αρχικά θα επικοινωνήσω με την Cosmote για να με γυρίσει από CG-NAT σε κανονική Public IP καθώς παρατήρησα ότι βρίσκομαι στο 100.XXX.XXX.XXX εύρος το οποίο νομίζω από την εμπειρία μου αποτελεί Virtual IP εύρος. Πιστεύω ότι δίχως αυτή την αλλαγή δε θα μπορέσω να φτάσω ποτέ στο MT.

    Έστω ότι το Speedport βρίσκεται στο 192.168.1.0/24. Μετά τη σύνδεση το ΜΤ παίρνει και αυτό στο WAN Interface μία διεύθυνση από τον DHCP Server του Speedport οπότε βρίσκεται και αυτό στο 192.168.1.0/24. Μπορώ και αυτή τη διεύθυνση να την κάνω στατική, αλλά δεν αποτελεί πρόβλημα αυτό. Οι υπόλοιπες πόρτες του MT βρίσκονται γεφυρωμένες στο 192.168.2.0/24 με ανάλογο IP Pool που εκχωρεί διευθύνσεις μέσω DHCP 192.168.2.2 - 192.168.2.254.

    Τώρα πάμε στο επιθυμητό σενάριο. Θέλω να στήσω Open VPN Server με Gateway το 192.168.10.1 (192.168.10.0/24, 192.168.10.2-192.168.10.254) το οποίο θα μπορεί να επικοινωνεί με το 192.168.1.0/24 αλλά και το 192.168.2.0/24 καθώς θα ήθελα αυτός που συνδέεται να μπορεί να τρέξει RDP, VNC, SMB (Shared Folders) κτλ. σε άλλους πόρους του δικτύου και να έχει προφανώς και Internet Access. Έκανα κάποιες φιλότιμες προσπάθειες αλλά δε μπορώ να τα καταφέρω. Οι απορίες μου είναι οι εξής:

    - Στο Speedport στο σημείο DMZ πρέπει να βάλω τη διεύθυνση του MT του WAN Interface (πχ 192.168.1.3) ή τη διεύθυνση του Open VPN Server (192.168.10.1); Ανάλογα και σε περίπτωση Port Forwarding, προς ποια IP ανοίγω το traffic στην πόρτα 1194;
    - Στο Speedport πρέπει να ρυθμίσω μία πόρτα LAN ως κάτι διαφορετικό από τις υπόλοιπες ομότιμες θύρες για τη σύνδεση με το ΜΤ; (πχ IP)
    - Στο Speedport χρειάζεται κάποιο static route ή κάποια άλλα rules ή παραμετροποίηση;
    - Στο ΜΤ εφόσον τελειώσω τη διαδικασία και σηκώσω τον Open VPN Server (TCP:1194) υπάρχει κάποιο παράδειγμα εντολών για το Firewall ώστε να επιτρέψω την κίνηση στα εσωτερικά δίκτυα; Διαβάζω σε διάφορα site και έχω χάσει λίγο τη μπάλα.
    - Πρέπει να βάλω και κάποιον route κανόνα σε επίπεδο Open VPN client;

    Για την υλοποίηση θα χρησιμοποιήσω DynDns υπηρεσία για το Public IP DNS Mapping.

    Ευχαριστώ πολύ εκ των προτέρων για την όποια βοήθεια.

  2. #2
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    καλημερα, για αρχη τηλ στην Cosmote πες τους οτι εχεις υπηρεσιες πχ καμερες (εστω και αν δεν εχεις) και πρεπει να εισαι ΠΑΝΤΑ σε public ip.
    Μετα το 2i οπως και τα αλλα της Cosmote εχει ενεργο το pppoe passthrough, οποτε δεν υπαρχει κανενας λογος για να μπλεξεις με διπλα ΝΑΤ (DMZ).
    Αν δεν εχεις voip τηλεφωνια μπορεις να το γυρισεις σε bridge mode, αλλιως με pppoe passthrough και θα δουλευει και το Mikrotik ip cloud για DDNS, με DMZ δεν παιζει γιατι εισαι πισω απο ΝΑΤ.

    Για τα αλλα εχουμε και σχετικα θεματα να σε βοηθησουν.
    Πχ openvpn (λεμε μεσα και για mikrotik clients) https://www.adslgr.com/forum/threads...OS-Android-iOS

    Θα προτεινα αν εχεις ROS 7 να πας σε wireguard VPN που ειναι καλυτερο και ποιο γρηγορο απο το openvpn σχετικα εδω : https://www.adslgr.com/forum/threads...clients-all-OS

    - - - Updated - - -

    Για γενικες ρυθμισεις 2i και mikrotik δες εδω εχει οδηγο : https://www.adslgr.com/forum/threads...CE%B5-Mikrotik

    Για bridge mode εδω : https://www.adslgr.com/forum/threads...B5-bridge-mode

    Kαι για στησιμο firewall εδω : https://www.adslgr.com/forum/threads...-IPv6-firewall

  3. #3
    Εγγραφή
    07-06-2007
    Ηλικία
    40
    Μηνύματα
    6
    Downloads
    17
    Uploads
    0
    Παράθεση Αρχικό μήνυμα από Nikiforos Εμφάνιση μηνυμάτων
    καλημερα, για αρχη τηλ στην Cosmote πες τους οτι εχεις υπηρεσιες πχ καμερες (εστω και αν δεν εχεις) και πρεπει να εισαι ΠΑΝΤΑ σε public ip.
    Μετα το 2i οπως και τα αλλα της Cosmote εχει ενεργο το pppoe passthrough, οποτε δεν υπαρχει κανενας λογος για να μπλεξεις με διπλα ΝΑΤ (DMZ).
    Αν δεν εχεις voip τηλεφωνια μπορεις να το γυρισεις σε bridge mode, αλλιως με pppoe passthrough και θα δουλευει και το Mikrotik ip cloud για DDNS, με DMZ δεν παιζει γιατι εισαι πισω απο ΝΑΤ.

    Για τα αλλα εχουμε και σχετικα θεματα να σε βοηθησουν.
    Πχ openvpn (λεμε μεσα και για mikrotik clients) https://www.adslgr.com/forum/threads...OS-Android-iOS

    Θα προτεινα αν εχεις ROS 7 να πας σε wireguard VPN που ειναι καλυτερο και ποιο γρηγορο απο το openvpn σχετικα εδω : https://www.adslgr.com/forum/threads...clients-all-OS

    - - - Updated - - -

    Για γενικες ρυθμισεις 2i και mikrotik δες εδω εχει οδηγο : https://www.adslgr.com/forum/threads...CE%B5-Mikrotik

    Για bridge mode εδω : https://www.adslgr.com/forum/threads...B5-bridge-mode

    Kαι για στησιμο firewall εδω : https://www.adslgr.com/forum/threads...-IPv6-firewall
    Καλημέρα Νικηφόρε, σε ευχαριστώ πολύ για την απάντηση και την άμεση ανταπόκριση. Θα ασχοληθώ με τους οδηγούς, μία μόνο ερώτηση, νομίζω πως το router έχει μετά από ένα Check & Install Updates την 6.49.x, υπάρχει κάποιος οδηγός να το κάνω upgrade σε 7 ώστε να χρησιμοποιήσω την WireGuard λύση;

  4. #4
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    Παράθεση Αρχικό μήνυμα από bokarinho Εμφάνιση μηνυμάτων
    Καλημέρα Νικηφόρε, σε ευχαριστώ πολύ για την απάντηση και την άμεση ανταπόκριση. Θα ασχοληθώ με τους οδηγούς, μία μόνο ερώτηση, νομίζω πως το router έχει μετά από ένα Check & Install Updates την 6.49.x, υπάρχει κάποιος οδηγός να το κάνω upgrade σε 7 ώστε να χρησιμοποιήσω την WireGuard λύση;
    Μεσα απο εκει διαλεγεις καναλι δεν θυμαμαι ακριβως πως ειναι τωρα απεξω και πας στην 7.
    Δες και εδω https://wiki.mikrotik.com/wiki/Manua...ading_RouterOS

  5. #5
    Εγγραφή
    07-06-2007
    Ηλικία
    40
    Μηνύματα
    6
    Downloads
    17
    Uploads
    0
    Παράθεση Αρχικό μήνυμα από Nikiforos Εμφάνιση μηνυμάτων
    καλημερα, για αρχη τηλ στην Cosmote πες τους οτι εχεις υπηρεσιες πχ καμερες (εστω και αν δεν εχεις) και πρεπει να εισαι ΠΑΝΤΑ σε public ip.
    Μετα το 2i οπως και τα αλλα της Cosmote εχει ενεργο το pppoe passthrough, οποτε δεν υπαρχει κανενας λογος για να μπλεξεις με διπλα ΝΑΤ (DMZ).
    Αν δεν εχεις voip τηλεφωνια μπορεις να το γυρισεις σε bridge mode, αλλιως με pppoe passthrough και θα δουλευει και το Mikrotik ip cloud για DDNS, με DMZ δεν παιζει γιατι εισαι πισω απο ΝΑΤ.

    Για τα αλλα εχουμε και σχετικα θεματα να σε βοηθησουν.
    Πχ openvpn (λεμε μεσα και για mikrotik clients) https://www.adslgr.com/forum/threads...OS-Android-iOS

    Θα προτεινα αν εχεις ROS 7 να πας σε wireguard VPN που ειναι καλυτερο και ποιο γρηγορο απο το openvpn σχετικα εδω : https://www.adslgr.com/forum/threads...clients-all-OS

    - - - Updated - - -

    Για γενικες ρυθμισεις 2i και mikrotik δες εδω εχει οδηγο : https://www.adslgr.com/forum/threads...CE%B5-Mikrotik

    Για bridge mode εδω : https://www.adslgr.com/forum/threads...B5-bridge-mode

    Kαι για στησιμο firewall εδω : https://www.adslgr.com/forum/threads...-IPv6-firewall

    Ευχαριστώ και πάλι,

    Με το pppoe passthrough έχουμε 2 κλήσεις προς τον ISP; Δηλαδή παίρνουμε και δεύτερη External Public IP οπότε στην υπηρεσία DynDNS θα συνδέσω αυτή την IP που θα πάρει το MT εξαιτίας του pppoe passthrough του 2i.

    Οπότε κατά κάποιο τρόπο βγαίνει το Speedport εκτός στον τομέα της public ip που θα ακούει ο VPN Server. Το μόνο που με προβληματίζει είναι η επικοινωνία με τις συσκευές που συνδέονται στο Speedport. Δεν το έχω δουλέψει το Wireguard, είχα διαβάσει ότι είναι καλύτερο από τις άλλες λύσεις, ωστόσο θα πρέπει να βρω τρόπο να βάλω τους κανόνες για την επικοινωνία των εσωτερικών δικτύων,

    Ευχαριστώ πολύ,

  6. #6
    Εγγραφή
    13-02-2004
    Περιοχή
    Αθήνα
    Μηνύματα
    17.103
    Downloads
    4
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    200/200 Mbps
    ISP
    Inalan FTTH
    Router
    CRS109-8G-1S-2HnD+HapAC2
    Το pppoe passthrough δινει αλλη μια κληση στον ISP απο αλλο ρουτερ και εχει αλλη public ip.
    Θελει εκει αλλο DDNS γιατι παιρνει απο αλλη ip και αλλο στο router του παροχου αν θες και τα 2. Προφανως με αλλο ονομα τα DDNS.
    Eγω για να μην μπερδευομαι τα εχω ολα στο ιδιο ip range, δλδ το ρουτερ παροχου στο ιδιο subnet-ip range με ολα τα μηχανηματα εσωτερικου δικτυου και δικου μου ρουτερ.
    Αλλοι προτιμουν να ειναι σε ξεχωριστο. Οτι σε βολευει.
    Για τα αλλα δες στα θεματα που σου εγραψα.

  7. #7
    Εγγραφή
    08-11-2004
    Περιοχή
    Θεσσαλονίκη
    Ηλικία
    59
    Μηνύματα
    2.524
    Downloads
    13
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    1G/1G
    ISP
    Inalan
    Router
    Mikrotik 5009
    Παρολο οτι εισαι σε 100.χχχ κανει 2 κληση pppoe με τα στοιχεια της γραμμης που εχεις απ το Μικροτικ και μπορει να σου δωσει public.

    Στη συνεχεια κι εφοσον παρεις public μπορεις να ενημερωσεις το cloud mikrotik ή DDNS με καποιο script.

    Σε αυτη την περιπτωση δεν χρειαζεται να κανεις port forw την 1194.

    Φυσικα ισχυουν οτι ειπε κι ο Νικηφορος αλλα κι εσυ παραπανω.

    Στη φαση που βαλεις Wireguard θα πρεπει να διαβασεις το σχετικο νημα κι αν εχεις αποριες το βλεπουμε.

    Δεν ειναι κατι δυσκολο παντως.

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας