VPN na Mikrotik RB951G-2HnD

Potřebuju poradit pls, páč moje znalosti jsou zjevně nedostatečné. Na wiki jsem našel tenhle návod, podle kterého jsem VPN po pár hodinách pátrání, jak co funguje, nastavil (přes webové rozhraní).

Co funguje: připojím se na VPN (mám veřejnou IP adresu z kanclu), můžu prolejzat net
Co nefunguje: ping na rumply v kanclu, samo nevidim síťovej disk a nepřipojim se na vzdálenou plochu

Moje nastavení:

Flags: X - disabled 
 0   name="XXXX" service=pptp caller-id="" password="XXXXXXXX" profile=default 
     local-address=192.168.88.1 remote-address=192.168.88.200 routes=""

enabled: yes
            max-mtu: 1460
            max-mru: 1460
               mrru: disabled
     authentication: mschap2
  keepalive-timeout: 30
    default-profile: default-encryption

Zde musím mít v default-profile >> default encryption, jak tam přepnu jen na "default", tak se na VPN nejde připojit. V návodu mají pouze default.

Flags: X - disabled, R - running, S - slave 
 #    NAME          MTU MAC-ADDRESS       ARP        MASTER-PORT      SWITCH     
 0 R  ether1-g...  1500 00:30:4F:06:62:A0 enabled    none             switch1    
 1 RS ether2-m...  1500 00:30:4F:06:62:A1 proxy-arp  none             switch1    
 2  S ether3-s...  1500 00:30:4F:06:62:A2 enabled    ether2-master... switch1    
 3  S ether4-s...  1500 00:30:4F:06:62:A3 enabled    ether2-master... switch1    
 4  S ether5-s...  1500 00:30:4F:06:62:A4 enabled    ether2-master... switch

Zde nevím co v příkazu znamená "Office", take jsem při konfiguraci přes webové rozhraní možná neudělal něco podstatného, nejsem schopnej se ale dopátrat co. Také je odlišnost u "ether2-m...", já mam RS - running slave a v návodu to mají jenom jako running.

Tož co jsem opomněl?

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny

Předmět	Autor	Datum
Ja tipujem, ze tam mas dalsi router v ceste. Navyse ja osobne nemam rad ak maju vpn klienti adresy z… fleg 16.12.2014 14:09	fleg	16.12.2014 14:09
Jej, dost věcí k prozkoumání. Ja tipujem, ze tam mas dalsi router v ceste Router by tam být neměl,… nofu 16.12.2014 14:21	nofu	16.12.2014 14:21
To uz je asi mimo moznosti bezplatnej poradne, problem by bol ovela rychlejsie vyrieseny pri plateno… fleg 16.12.2014 16:31	fleg	16.12.2014 16:31
Tak tomu bych se rád vyhnul, páč ten router chci nasadit i jinde, a platit si nějakého externistu ne… nofu 16.12.2014 17:12	nofu	16.12.2014 17:12
V tom pripade to budes mat tazke a pravdepodobne budes musiet prist na chybu sam, pretoze tvoj probl… nový fleg 16.12.2014 17:28	fleg	16.12.2014 17:28
Promiň, ale na svůj router a do sítě či compu prostě nikoho pustit nemůžu. A ano, odhadl si to dobř… nový nofu 16.12.2014 17:35	nofu	16.12.2014 17:35
Tak už vim, čím to je, fleg měl pravdu: Navyse ja osobne nemam rad ak maju vpn klienti adresy z rov… nový nofu 16.12.2014 18:35	nofu	16.12.2014 18:35
nastavíš to tak, že to bude jedna síť (tj. jak jsi to měl nastaveno předtím). :-) nový touchwood 16.12.2014 18:40	touchwood	16.12.2014 18:40
No dobře, to to pak ale nebude fungovat, stejně jako předtim. Přeci nemůžem chtít po normálních uživ… nový nofu 16.12.2014 19:01	nofu	16.12.2014 19:01
Nikto netusi aku mas siet, kedze si tajnostkar, takze tazko povedat, kto alebo co ti robi local mast… nový fleg-sk 16.12.2014 19:08	fleg-sk	16.12.2014 19:08
Local mastra čeho? Snad jediný co sem objevil, tak v Interfaces je: ether2-master-local - do něj je… nový nofu 16.12.2014 21:08	nofu	16.12.2014 21:08
No nic, ja uz stracam chut to riesit, takze ta posledny krat nakopnem...jedno z moznych rieseni je p… nový fleg 16.12.2014 21:53	fleg	16.12.2014 21:53
Co je MT? Jinak DNS sem už dávno zkusil natvrdo nastavit v klientovi, IP sem dal tu routru, stejně… nový nofu 16.12.2014 22:08	nofu	16.12.2014 22:08
Pokud chces na jmena pocitacu, musis mit spravne nastaveny DNS servery - pro VPN adapter by mel byt… nový Jan Fiala 16.12.2014 20:05	Jan Fiala	16.12.2014 20:05
Primární DNS je 192.168.88.1, sekundární mi to ale ale háže od provajdra a toho nejsem schopnej zbav… nový nofu 16.12.2014 21:17	nofu	16.12.2014 21:17
Tákže vyřešeno. Jelikož je ether2 Slave, tak je včleněn do virtuálního switche bridge-local, proxy-a… poslední nofu 21.12.2014 21:34	nofu	21.12.2014 21:34

Ja tipujem, ze tam mas dalsi router v ceste. Navyse ja osobne nemam rad ak maju vpn klienti adresy z rovnakeho rozsahu ako lokalny a vzdy im vytvaram vlastny rozsah.
Ostatne veci, na ktore sa pytas su trivialne. Slave je ked mas spojene porty do jedneho celku a ovlada ich master, v tom pripade spravis napriklad dhcp server iba pre mastra a slave porty to automaticky preberaju od neho, cize mas z toho switch.
V defaulte ti to nejde preto, ze je vypnute sifrovanie a ty mas u seba urcite nastavene, ze klient pozaduje sifrovanie, cize preto sa nenapojis.

Jej, dost věcí k prozkoumání.

Ja tipujem, ze tam mas dalsi router v ceste

Router by tam být neměl, před Mikrotikem je jen modem od VDSL - Comtrend VR-3026e V2, kterej sem přenastavil do módu bridge.

Slave je ked mas spojene porty do jedneho celku a ovlada ich master

Tohle je pro mě španělská vesnice. Vadí to VPN nebo ne? Bo vadí to vlastně něčemu?

A teď to nejdůležitější:

V defaulte ti to nejde preto, ze je vypnute sifrovanie a ty mas u seba urcite nastavene, ze klient pozaduje sifrovanie, cize preto sa nenapojis.

Nevim jestli chápu správně, ale já se na VPN připojím, mám pak vnější IP stejnou jako mám z firmy, můžu prolejzat internetové stránky. Nemůžu ale na server, nefungujou vzdálené plochy, šecko logický, dyž nic ve vntřní síti nepingnu.

To uz je asi mimo moznosti bezplatnej poradne, problem by bol ovela rychlejsie vyrieseny pri platenom poradnestve.

Tak tomu bych se rád vyhnul, páč ten router chci nasadit i jinde, a platit si nějakého externistu není zrovna praktické. Jde mi také o bezpečnost, ta je pro mne naprosto zásadní, nejde aby se v tom hrabal někdo cizí

Prachy obv problém nejsou. Klidně ti je pošlu, ale řešit to budem muset přes maily/diskusi/skype, přístup na router nikomu nedám a to ani přes teamviewer.

V tom pripade to budes mat tazke a pravdepodobne budes musiet prist na chybu sam, pretoze tvoj problem je specificky a riesit ho cez maily, ci taketo cez poradnu je beh na dlhu trat. Bude to chciet skusit milion cest, to znamena kopec otazok a odpovedi a pravdepodobne to tu prestane kazdeho po case bavit. Nakoniec si to budes musiet najst fakt niekde sam.
Mimochodom ide ti v prvom rade o bezpecnost a ides konfigurovat zairadenie, o ktorom velmi vela nevies, podla vsetkeho nevies vela ani o sietovani, takze tipujem, ze pravidla na fw budes mat len v defaulte...atd atd. Pride mi to trosku protichodne v style naucte ma spravovat moj server, ale pristup vam nan nedam a vsetko musite robit len "virtualne". Trosku divny pristup.

Promiň, ale na svůj router a do sítě či compu prostě nikoho pustit nemůžu.

A ano, odhadl si to dobře, až na pravidla co sem tady přidal podle návodu od JaFi, mam firewall v defaultu. Tam je něco špatně? Nejni o tom někde nějakej článek/návod?

Tak už vim, čím to je, fleg měl pravdu:

Navyse ja osobne nemam rad ak maju vpn klienti adresy z rovnakeho rozsahu ako lokalny a vzdy im vytvaram vlastny rozsah

Jakmile jsou v jiném rozsahu, jede PING, jede vzdálená plocha, dostanu se na síťové disky.

Je tu ale jedno velké ALE: když kamkoliv chci, musím znát IP adresu zařízení, nelze procházet síť standardně přes Okolní počítače. Celkem na bednu si všechno pamatovat. Já to třeba dám, ale ostatní uživatelé těžko.

Dá se nějak nastavit, aby šlo procházet síť i z jiného rozsahu? Případně, když vím, v čem je problém, neexistuje řešení, jak dostat rumply na VPN do rozsahu adres jako mají vnitřní compy?

nastavíš to tak, že to bude jedna síť (tj. jak jsi to měl nastaveno předtím).

No dobře, to to pak ale nebude fungovat, stejně jako předtim. Přeci nemůžem chtít po normálních uživatelích, aby se učili nazpaměť IP adresy compů ve vnitřní síti a jak je používat.

Otázkou tedy je, zda to vůbec lze udělat, jak si představuju? Pokud ano, tak prosím alespoň o radu, na co se zaměřit.

Nikto netusi aku mas siet, kedze si tajnostkar, takze tazko povedat, kto alebo co ti robi local mastra a na ake rozsahy je nastaveny.
Samba by to samozrejme zvladla.

Local mastra čeho? Snad jediný co sem objevil, tak v Interfaces je: ether2-master-local - do něj je připojenej switch a na něm všech 15 rumplů. Do ether1 je zapojenej VDSL modem, u něj to tam píše: ether1-gateway, ether3-5 jsou nezapojený.

A rozsah? Myslíš jaké IPdresy přiděluje DHCP? Pokud ano, tak: 192.168.88.2-192.168.88.45

No nic, ja uz stracam chut to riesit, takze ta posledny krat nakopnem...jedno z moznych rieseni je pouzitie statickeho DNS zaznamu, ci uz na strane MT alebo klienta. AK pouzijes MT musi samozrejme klient pouzivat jeho DNS.
Toto nedopadne dobre...

Co je MT?

Jinak DNS sem už dávno zkusil natvrdo nastavit v klientovi, IP sem dal tu routru, stejně to nefachá, jestlis myslel tohle.

Pokud chces na jmena pocitacu, musis mit spravne nastaveny DNS servery - pro VPN adapter by mel byt nastaven DNS server z vnitrni site - to bys mel videt v IPCOnfig /All po pripojeni.

Uz jsem se setkal s tim, ze jsem musel do konfiguračního souboru OpenVPN klienta pridat routovani, aby to chodilo, např:
route 192.168.139.0 255.255.255.0
kde 192.168.139.0 je vnitrni rozsah site za VPN

Primární DNS je 192.168.88.1, sekundární mi to ale ale háže od provajdra a toho nejsem schopnej zbavit. Je to problém? Můžu já ty compy vůbec vidět, když je rozsah mojí vnitřní sítě 192.168.88.0 a přes VPN 192.168.89.0?

Co se týče OpenVPN klienta, tak toho nepoužívám, VPN nastavuji přímo ve windows jako Firemní síť.

Tákže vyřešeno. Jelikož je ether2 Slave, tak je včleněn do virtuálního switche bridge-local, proxy-arp je tedy třeba nastavit na bridge-local.

Zpět do poradny Odpovědět na původní otázku Nahoru