Mikrotik a rozchozeni OpenVPN

OpenVPN je mozno az zbytocne pre tento druh pripojenie, pretunelovat k sebe sa mozes ovela jednoduchsie, aj ked MT ponuka vela sposobov VPN spojenia.
Najjednoduchsie je pptp spojenie, pretoze na oknach nemusis nic instalovat, spojenie moze byt sifrovane a nastavenie je otazka minutky.
Musis vytvorit v polozke profile pripadne novy profil (mozes pouzit stavajuce) a v polozke secrets si spravit konto.

Default profile:
/ppp profile
add local-address=XXX.XXX.XXX.XXX name=OpenVPN remote-address=pool_openVPN

kdy XXX je nějaká IP adresa, která bude vystupovat jako brána (naprosto postačuje, když použijete nějakou volnou IP z rozsahu, který máte použit na vnitřní síti na MK) a remote-address by měl obsahovat buď nějaký pool adres a nebo opět jednu pevnou, nepoužitou adresu z Vašeho rozsahu adres. Podle toho, kolik klientů očekáváte.

Ostatní volby v profilu nechejte beze změny.

Pokud použijete jiný adsní prostor, tak nezapomeňte patřičně routovat.

Samořejmě ze strany Mikrotiku najdete vše na této adrese.
OpenVPN

http://wiki.mikrotik.com/wiki/OpenVPN_Configuratio n_Step_by_Step

Moc si cením vašeho času, ale jak jsem psal, sítím moc nerozumím. Zkoušel jsem nmap VEREJNA_IP_ADRESA, předpokladam, že bych tam měl mít viditelný port 1194, ale nemám viz výpis:
Not shown: 1711 filtered ports
PORT STATE SERVICE
22/tcp open ssh
47/tcp closed ni-ftp
80/tcp open http

V přiloze posílám nastavení mikrotika, můžete na to prosím kouknout a říci, co mám špatně? Děkuji.

Pravidlo firewall zdá se v pořádku - alespoň natolik, na kolik mi dá nahlédnout ten printscreen.
U profilul bych Local addres nastavil na nějaké "vyšší číslo", aby nekolidovalo například s IP adresou bridge. Jenomže tam jaksi není vidět, jaká je

Z toho co vidím a co jste se pokusil otisknout na obrazovku by to měl být zbytek v pořádku

Jiná věc je ta veřejná adresa. Prosím Vás, od kdy patří IP 10.109.109.254 do kategorie veřejných IP adres???? Pokud vím, tak rozsah IP 10.0.0.0/8 se řadí do privátního prostoru, který nesmí být na internetu. A nesmí být směrem z internetu adresován. Tedy pokud část obrázku, kterou jste přiložil patří do reality a není to jenom snaha zakrýt skutečnou IP. Pokud je to IP adresa, kterou máte od svého providera skutečně tak Vám doporučuji se na něj obrátit, a zařít řešit tento stav s ním. Osobně to vidím tak, že jste schovaným za nějakým jeho NATem nebo dokonce PATem. To pro začátek.

Víte co, jak píšete, že se v sítích moc nevyznáte - neberte si to co Vám napíšu příliš osobně. Nechci Vám brát sebevědomí, ani se nad Vás povyšovat. Ostatně každý jsme nějak začínali a vždycky jsme byli rádi za každou pomocnou ruku a dobrou radu někoho, kdo se chtěl podělit. Ale vidím to tak, že si berete sousto trošku odprostředka bez bližších vazeb.
Určitě se Vám podaří OpenVPN rozjet, ale pokud nebudete znát ty základy sítí, tak si s Mikrotikem můžete naběhnout. Jako každý prodkut, je i Mikrotik dobrý sluha, ale špatný pán.

Vezměte si mikrotik, který máte a začnete si ním hrát od začátku.
Manuálů a návodů je spousta. Ostatně wiki na Mikrotiku v sobě nese kompletní informaci. Pravda v angličtině.
Na ispforum.cz najdete přímo specializované fóru na mikrotik. Ale pozor! - tady se už musíte ptát trošku odborněji a měl byste mít zvládnutý základ práce s terminálem mikrotiku a umět číst, co Vám tam pošlou.

Obrázek nastavení firewallu je málo. K nastavení fitrů na firewallu je potřeba v terminálu napsat příkaz /ip firewall filter export a teprve tam je vidět celé pravidlo a celá posloupnost po sobě jedoucích pravidel.

Třeba k firewallu jako takovému bych Vám chtěl říct tolik, že - nemáte jedno rozhranní, máte minimálně dvě. A ke každému je vhodné se chovat jinak. Jedno bývá z venku, druhé zevnitř. Nad každým je vhodné spustit filtry. A by se v tom co jsem zahlédl z otisku chováte ke všem rovnocenně. To není ideální a řekl bych dokonce, že je to špatně. Tenhle přístup znamená že buď Vám správně nastavený firewall nemůže propustit vůbec žádnou komunikaci a nebo propouští víc než má a na straně internetu se spoléháte na zabezpečení NATem. A v tom případě nepotřebujete mikrotik a stačí Vám nějaký tuctový router od asusu nebo Tplinku, kde lidé spí klidným spánkem nad takzvaným SPI firewallem, který bývá ve skutečnosti jenom NAT na straně brány.

Hlavů vzhůru, není to tak těžké, jak to vypadá, ale zkuste to vzít od podlahy.

Me porad nejde do hlavy, kam mám v Mikrotiku napsat veřejnou IP adresu, kterou mi přidělil poskytovatel a "svázal" jí s privátní adresou 10.109.109.169. Pokud se chci na mikrotik připojit z venku pomocí ssh, třeba z práce, tedy na adresu 81.201.X.Y, tak vše funguje. I přes nmap vidím port 22 otevřený, stejně tak funguje port 80 a můžu tedy využít pro nastavení Mikrotiku webové rozhraní z práce, "kavárny", ... Ale port 1194 pro OpenVPN zobrazen není.
Nevím, co mám tedy špatně. Je třeba někde v Mikrotiku nastavovat veřejnou IP adresu 81.201.X.Y? Nebo poskytovatel když někdo ve světě zadá mojí veřejnou IP adresu 81.201.X.Y provede "překlad" na adresu 10.109.109.169 a ozve se můj Mikrotik?

Ano aj nie, zalezi ako nastavil ISP forwardovanie verejnej IP adres...vacsinou sa robi NAT 1:1, cize netreba nic zadavat. Problem moze byt pri kontakte tejte verejnej ip adresy z LAN, co zase riesi loopback na verejnu IP.

Zdá se, že jsem zaseknutý v nějakém mrtvém bodě, ze kterého se nemohu hnout. Nevím tedy, zda mám problém řešit nějakým eleborováním s Mikrotikem, nebo zda mám vše nastaveno správně. V tom případě nevím, jak vytvořit OpenVPN spojení z práce. Tedy jsem zase na začátku.