mikrotik a openvpn server
zdravím,
okolnosti mě dohnaly, a rád bych dořešil svůj dlouhodobý problém, chci se zvenku připojovat ke zdrojům v domácí síti, aby veškerý přenos (i do domácí sítě, i do internetu) šel přes toto vpn
stávající stav:
domácí síť, asus dsl router na 10.0.0.138, v síti různá zařízení, přidávám mikrotik RB941-2nD-TC, podle různých návodů na internetu jsem postoupil takto:
- MK jsem připojil do sítě, je v bridgi,
- nastavil jsem čas, připojení v lokální síti funguje
- vygeneroval certifikáty
- nastavil jsem openvpn server
z počítače připojeného přes vodafone mimo vnitřní síť se dokážu připojit openvpn domů, ale nepingnu žádné lokální zařízení, ani ten router
mohl by prosím někdo poradit? díky
A pushujes si lan rozsah na klienta? Lebo ak nie je logicke, ze nic nepingnes, nehovoriac o tom ak sa nahoodu lan rozsah kliente prekryva s lan rozsahom siete, kde je MT.
Btw vyrazne jednoduchsia cesta je spravit si z MT pptp server, pripadne ak chces trosku viac bezpecnosti tak l2tp.
A odporucam prepnut MT do route rezimu, asus dsl router do bridge a vytacat spojenie priamo z MT....ziska =s vyrazne lepsi prehlad a moznosti konfiguracie siete.
předem děkuji za ochotu.
- co je router atd potřebuji ponechat tak jak je
- jestli openvpn nebo l2tp je mi asi celkem jedno? (s openvpn mám minimální zkušenosti, cokoliv jiného mám žádné zkušenosti) takže bych asi raději openvpn
- vpnpool mám nastaven 10.20.0.100 - 10.20.0.200
- jak pushnout lan na klienta nevím
- když na windows clientovi po připojení dám ipconfig
vidím v připojení, že
ip adresa: je 10.20.0.199
maska je 255.255.255.0
výchozí brána je prázdná
tady je výpis konfigurace klienta:
client
tls-client
verb 4
remote-cert-tls server
remote <mojeverejna> 1194
ca 1.crt
cert 2.crt
key 3.key
auth-user-pass
cipher AES-256-CBC
dev tun
nobind
auth-nocache
script-security 2
persist-key
persist-tun
#comp-lzo no
proto tcp
tun-mtu 1500
mssfix 1400
Su to sice vsetko vpn spojenia, ale nie je to to iste.
OpenVPN je najviac secure, niektori admini pptp odmietaju ako lahko prekonatelne (co nie je tak celkom pravda), preto som spomenul aj l2tp.
Vyhody pptp su jasne...priamo v oknach mas zabudovaneho klienta, nemusis generovat a exportovat certifikaty pre klientov...atd. Na strane Mikrotiku je to otazka par klikov/riadkov.
OpenVPN uz nepouzivam, ale mari sa mi, ze ked si chcel mat pristup do lan siete za vpnkou musel si pushnut jej rozsah u klienta a to bud rucne cez cmd alebo priamo v konfigu. Respektive sa to dalo spravit tak, ze si cely traffice presmeroval cez vpn gw.
Skus si pridat lanku cez route add (ak sa nemylim, win prikazy nemam moc v hlave) s tym, ze pojde cez vpn gw.
Este dodam, ze som prave doriesil problemy po majovom update (1903 build) win10, ked MS zase domrdal spojenia na vpnku.
Riesenie je nepouzivat defaultny rasdial, ale obstarozny rasphone.
pokud bude mikrotik jako bridge za dsl routerem
nebo pokud bude mikrotik jako router za tim dsl routerem
tak muzu na mikrotiku na firewallu povolit veskery provoz?
Ano. Ale mat za dsl routrom dalsi router je blbost.
Ako som spominal vyssie ovela lepsie je mat mikrotik ako hlavnu branu a dsl router pouzivat len ako modem v mode bridge. Siet sa vyrazne lepsie ovlada cez MT ako cez nejaku SOHO krabicku, kde si v podstate nevies nic nastavit.
Ja to vim ale okolnosti.
Jeste dotaz. Nastavil jsem l2tp ipssec. Funguje to. Na hlavnim routru jsem presmeroval porty 500 a 4500 je to ok. Ale cetl jsem pro ipsec ze je treba port 53 nebo 50 a ten jsem nikde nenastavoval a funguje to i tak. Znamena to ipsec neni zaply? Ze to je jen l2tp? Kde to muzu overit?
Treba citat s porozumenim.
To cislo je protocol code.
Ok. Diky za pomoc. Vyreseno.