VPN na Mikrotik RB951G-2HnD
Potřebuju poradit pls, páč moje znalosti jsou zjevně nedostatečné. Na wiki jsem našel tenhle návod, podle kterého jsem VPN po pár hodinách pátrání, jak co funguje, nastavil (přes webové rozhraní).
Co funguje: připojím se na VPN (mám veřejnou IP adresu z kanclu), můžu prolejzat net
Co nefunguje: ping na rumply v kanclu, samo nevidim síťovej disk a nepřipojim se na vzdálenou plochu
Moje nastavení:
Flags: X - disabled
0 name="XXXX" service=pptp caller-id="" password="XXXXXXXX" profile=default
local-address=192.168.88.1 remote-address=192.168.88.200 routes=""enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2
keepalive-timeout: 30
default-profile: default-encryptionZde musím mít v default-profile >> default encryption, jak tam přepnu jen na "default", tak se na VPN nejde připojit. V návodu mají pouze default.
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 R ether1-g... 1500 00:30:4F:06:62:A0 enabled none switch1
1 RS ether2-m... 1500 00:30:4F:06:62:A1 proxy-arp none switch1
2 S ether3-s... 1500 00:30:4F:06:62:A2 enabled ether2-master... switch1
3 S ether4-s... 1500 00:30:4F:06:62:A3 enabled ether2-master... switch1
4 S ether5-s... 1500 00:30:4F:06:62:A4 enabled ether2-master... switchZde nevím co v příkazu znamená "Office", take jsem při konfiguraci přes webové rozhraní možná neudělal něco podstatného, nejsem schopnej se ale dopátrat co. Také je odlišnost u "ether2-m...", já mam RS - running slave a v návodu to mají jenom jako running.
Tož co jsem opomněl?
jen technická - jak vypadá routovací tabulka na klientovi?
Vůbec nevim co se po mě chce
Taká položka v routeru neni a google nepomohl.
Je to ono?
88.103.XX.XX - Gateway od provajdra
88.101.XX.XX - IP od provajdra
klient = PC se kterým se připojuješ do VPN.
Jde o to, zda se ti adekvátně změní routovací tabulky a zda přibude záznam pro LAN.
na windows vypíšeš tabulku příkazem route print
V tom bude asi trochu bordel, vzhledem k VMware co v compu provozuju.
88.101.XX.XX - vnější IP od provajdra
podle mě tam chybí záznam pro LAN (adekvátně jak máš automaticky řešenou síť např. 192.168.145.0/24). Jinými slovy chybí záznam
192.168.88.0 255.255.255.0 gw 192.168.88.200 (což je IP adresa klienta)
edit: ostatně to můžeš zkusit otestovat pomocí tracert..
Jakou myslíš LAN, tu v které jsem s notebookem nebo tu která je ve firmě? Totiž, když jsem dělal ten výpis, tak book v žádné síti nebyl, byl jsem na mobilním připojení od O2, takym co běhá na tej starej analogovej síti NMT.
Pokud to tam, i přes předchozí dotaz, chybí, jak nastavit router, aby to fungovalo?
Aha. Tak ne, musíš se připojit a teprve potom se kouknout na routovací tabulku.
Samo sem byl k VPN připojen, byl sem na mobilnim připojení, páč vysedávám v kanclu a VPN z vnitřku sítě by nedávalo smysl.
Ja tipujem, ze tam mas dalsi router v ceste. Navyse ja osobne nemam rad ak maju vpn klienti adresy z rovnakeho rozsahu ako lokalny a vzdy im vytvaram vlastny rozsah.
Ostatne veci, na ktore sa pytas su trivialne. Slave je ked mas spojene porty do jedneho celku a ovlada ich master, v tom pripade spravis napriklad dhcp server iba pre mastra a slave porty to automaticky preberaju od neho, cize mas z toho switch.
V defaulte ti to nejde preto, ze je vypnute sifrovanie a ty mas u seba urcite nastavene, ze klient pozaduje sifrovanie, cize preto sa nenapojis.
Jej, dost věcí k prozkoumání.
Router by tam být neměl, před Mikrotikem je jen modem od VDSL - Comtrend VR-3026e V2, kterej sem přenastavil do módu bridge.
Tohle je pro mě španělská vesnice. Vadí to VPN nebo ne? Bo vadí to vlastně něčemu?
A teď to nejdůležitější:
Nevim jestli chápu správně, ale já se na VPN připojím, mám pak vnější IP stejnou jako mám z firmy, můžu prolejzat internetové stránky. Nemůžu ale na server, nefungujou vzdálené plochy, šecko logický, dyž nic ve vntřní síti nepingnu.
To uz je asi mimo moznosti bezplatnej poradne, problem by bol ovela rychlejsie vyrieseny pri platenom poradnestve.
Tak tomu bych se rád vyhnul, páč ten router chci nasadit i jinde, a platit si nějakého externistu není zrovna praktické. Jde mi také o bezpečnost, ta je pro mne naprosto zásadní, nejde aby se v tom hrabal někdo cizí
Prachy obv problém nejsou. Klidně ti je pošlu, ale řešit to budem muset přes maily/diskusi/skype, přístup na router nikomu nedám a to ani přes teamviewer.
V tom pripade to budes mat tazke a pravdepodobne budes musiet prist na chybu sam, pretoze tvoj problem je specificky a riesit ho cez maily, ci taketo cez poradnu je beh na dlhu trat. Bude to chciet skusit milion cest, to znamena kopec otazok a odpovedi a pravdepodobne to tu prestane kazdeho po case bavit. Nakoniec si to budes musiet najst fakt niekde sam.
Mimochodom ide ti v prvom rade o bezpecnost a ides konfigurovat zairadenie, o ktorom velmi vela nevies, podla vsetkeho nevies vela ani o sietovani, takze tipujem, ze pravidla na fw budes mat len v defaulte...atd atd. Pride mi to trosku protichodne v style naucte ma spravovat moj server, ale pristup vam nan nedam a vsetko musite robit len "virtualne". Trosku divny pristup.
Promiň, ale na svůj router a do sítě či compu prostě nikoho pustit nemůžu.
A ano, odhadl si to dobře, až na pravidla co sem tady přidal podle návodu od JaFi, mam firewall v defaultu. Tam je něco špatně? Nejni o tom někde nějakej článek/návod?
Tak už vim, čím to je, fleg měl pravdu:
Jakmile jsou v jiném rozsahu, jede PING, jede vzdálená plocha, dostanu se na síťové disky.
Je tu ale jedno velké ALE: když kamkoliv chci, musím znát IP adresu zařízení, nelze procházet síť standardně přes Okolní počítače. Celkem na bednu si všechno pamatovat. Já to třeba dám, ale ostatní uživatelé těžko.
Dá se nějak nastavit, aby šlo procházet síť i z jiného rozsahu? Případně, když vím, v čem je problém, neexistuje řešení, jak dostat rumply na VPN do rozsahu adres jako mají vnitřní compy?
nastavíš to tak, že to bude jedna síť (tj. jak jsi to měl nastaveno předtím).
No dobře, to to pak ale nebude fungovat, stejně jako předtim. Přeci nemůžem chtít po normálních uživatelích, aby se učili nazpaměť IP adresy compů ve vnitřní síti a jak je používat.
Otázkou tedy je, zda to vůbec lze udělat, jak si představuju? Pokud ano, tak prosím alespoň o radu, na co se zaměřit.
Nikto netusi aku mas siet, kedze si tajnostkar, takze tazko povedat, kto alebo co ti robi local mastra a na ake rozsahy je nastaveny.
Samba by to samozrejme zvladla.
Local mastra čeho? Snad jediný co sem objevil, tak v Interfaces je: ether2-master-local - do něj je připojenej switch a na něm všech 15 rumplů. Do ether1 je zapojenej VDSL modem, u něj to tam píše: ether1-gateway, ether3-5 jsou nezapojený.
A rozsah? Myslíš jaké IPdresy přiděluje DHCP? Pokud ano, tak: 192.168.88.2-192.168.88.45
No nic, ja uz stracam chut to riesit, takze ta posledny krat nakopnem...jedno z moznych rieseni je pouzitie statickeho DNS zaznamu, ci uz na strane MT alebo klienta. AK pouzijes MT musi samozrejme klient pouzivat jeho DNS.
Toto nedopadne dobre...
Co je MT?
Jinak DNS sem už dávno zkusil natvrdo nastavit v klientovi, IP sem dal tu routru, stejně to nefachá, jestlis myslel tohle.
Pokud chces na jmena pocitacu, musis mit spravne nastaveny DNS servery - pro VPN adapter by mel byt nastaven DNS server z vnitrni site - to bys mel videt v IPCOnfig /All po pripojeni.
Uz jsem se setkal s tim, ze jsem musel do konfiguračního souboru OpenVPN klienta pridat routovani, aby to chodilo, např:
route 192.168.139.0 255.255.255.0
kde 192.168.139.0 je vnitrni rozsah site za VPN
Primární DNS je 192.168.88.1, sekundární mi to ale ale háže od provajdra a toho nejsem schopnej zbavit. Je to problém? Můžu já ty compy vůbec vidět, když je rozsah mojí vnitřní sítě 192.168.88.0 a přes VPN 192.168.89.0?
Co se týče OpenVPN klienta, tak toho nepoužívám, VPN nastavuji přímo ve windows jako Firemní síť.
Tákže vyřešeno. Jelikož je ether2 Slave, tak je včleněn do virtuálního switche bridge-local, proxy-arp je tedy třeba nastavit na bridge-local.