» Poradna » Počítačové sítě

Edysák -> Mikrotik - L2TP / IPsec / PPTP / OpenVPN

 |   |  Microsoft Windows 10 Chrome 83.0.4103.61

Zdravím všechny přítomnéNerad žádám o poradu, ale tentokrát jsem tak v situaci, kterou nezvládám.. Na Mikrotiku se snažím nastavit VPN. VPNky L2TP/IPsec a PPTP jsem nastavil. Lze se ze vzdálené sítě připojit bez problémů. Jediné co nelze, je kontrola připojení uvnitř sítě, tzn. připojení z mého PC.. což mně ani tak nevadí, jen nelze zkontrolovat, zdali je vše správně. Ostatně funkčnost zvenčí už je ověřená a bez problémů. Výhodou těchto VPN je to, že k tomu není zapotřebí instalovat žádný software.. Co mi ale nejde, je OpenVPN(jsem z toho jelen). Motám se v tom už tři dny.. a stále bez výsledně.. Pokusy s ověřením provádím v mobilu(datový internet od Vodafone) a aplikace OpenVPN pro Android. Co se týče mé sítě. Zdroj internetu je v routeru Huawei(optika), k němu mám uživatelský účet -> mohu nastavovat forwarding. Za tímto routerem je Mikrotik, který má nastavenou statickou IP z DHCP serveru od Huawei. V Mikrotiku je tato IP nastavena jako WAN a výchozí brána je tedy stejná IP výchozí brány jako na HUAWEI -> na routeru HUAWEI je veřejná IP adresa.Dále asi nemá smysl nic více rozepisovat. Jen by mě zajímal, jestli se tu najde někdo, kdo má zkušenosti s nastavením OpenVPN na Mikrotku, viz certifikace CA.crt "sign"a adresa Local Host(tady bloumám a nevím jakou adresu napsat, někde vkládají 127.0.0.1 a někde zase IP adresu WAN(vnitřní, tedy ne veřejnou IP).. s pojmenováním config.ovpn, vytvořením lokální adresy v profilu vs pool pro ovpn(pool může být vytvořen jakýkoliv - lokální IP bude jiná, mimo tento rozsah.. .. lokální adresa -> mimo rozsah adres DHCP všech vytvořených -alespoň takto jsem to vyčetl v některých návodech. Zkrátka v tom šíleně plavu, nejde mi OpenVPN rozchodit.. Co se týče mých PC v lokální síti, lze je probudit pomocí skriptu ve WinBoxu ze vzdálené sítě -> lze i mobilem(datový internet). Ukázat celý příspěvek

Odpovědi na otázku

 |   |  Unknown Firefox 68.0

Postni konfigurak (s upravenymi adresami) serveru a ovpn soubor. Srovnam to s svoji konfiguraci na mych OpenVPN serverech... pripadne to muzem poresit nejak privatne.OpenVPN mi neprijde slozity, jen Android klient/platforma ma urcita omezeni pokud neni rootlej

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 83.0.4103.61

Zdravím tě a díky za reakci. Teď jsem se v tom ještě hrabal.. jsem prostě beran a nedám pokoj.. Zítra.. nebo respektive dnes dopoledne/ nebo odpoledne k tomu něco napíšu.. Něco mě trklo v logu, ale nejsem si tím tolik jistej.. zkusím a případně napíšu.. Privátně pořešit, to beru a díky.. nějak se domluvíme.. *Z mobilu jde v pohodě PPTP a L2TP.. OpenVPN je v této chvíli pro mě docela tvrdý oříšek.. prostě se v tom motám.. Můžeme společně vyzkoušet test .. připojíš se na mou OpenVPN.. poslal bych ti konfigurační soubor.. *certifikáty.. Pokud nebudeš souhlasit, nebudu tě nutit..

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 83.0.4103.61

Ahoj, pokud jde o openvpnku tak v tomto je mikrotik hodně let pozadu a s celou řadou nastavení nepochodíš. Co jsem testoval naposledy, tak třeba TLS nebo SHA-512 bylo bez šance zprovoznit. Jinými slovy openvpn jim funguje dobře, ale zabezpečení se musí hodně snížit.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Chtěl jsem podobně řešení, ale vzdal jsem to a OpenVPN server mi děla linux PC v síti, za mikrotikem. UDP jsem potřeboval.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 76.0

já na OpenVPN všude používám Synology. Funguje to perfektně a snadno to může konfigurovat laik. V Mikrtotiku jsem to taky vzdal.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Kukal, ze vsici mame stejnou zkušenost. Treba na openwrt používám openvpn uplne vpohode. Na mtiku jsem si s tim hrál, ale absence UDP proste nepustí. Nikde nejeden na TCP a měnit vse je vopruz. A tak bych chtěl dat všude mtiky a musim dávat routery s wrt

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 68.0

Aj na Mkt ide nahrať wrt ak by to niekto chcel riešiť takto.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Jj vím do virtualu, ale ba muj to nejde ma jen 16MB prostor

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 68.0

Ne, muzes flashnout rovnou Mikrotik a misto RouterOS tam dat WRT

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Routeros mi vyhovuje více nez wrt. A kvůli openvpn mi to nestojí. Navíc server ma lepší výpočetní výkon a přenos je rychlejší, rychleji sifruje/desifruje. Stejně mi to jede porad a aj tak se dostanu na všechna zařízení v síti...

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 68.0

Ja jsem nepsal ze musis, psal jsem ze muzes Upresnoval jsem to, ze WRT na Mikrotiku nemusi do virtualu - WRT zvladne jet na mnoha mensich Mikroticich primo na zeleze.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 80.0.3987.163

To neni zadny problem, muj idealni cas je tak po 21 hodine Posli mi zpravu na remetremet u googlovskyho mailu.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 83.0.4103.61

Děkuji všem za reakce.Nejspíš OpenVPN stejně oželím.. Dnes jsem nedělal žádné pokusy.. V Mikrotiku jsem se kapánek hrabal v logu.. A našel jsem toto.. Je tam toho více v souvislosti s VPN PPTP:may/29 17:26:21 pptp,ppp,error <22>: user user1 authentication failed may/29 17:26:21 pptp,info TCP connection established from 92.63.194.26 may/29 17:26:22 pptp,ppp,error <23>: user 1234 authentication failed may/29 17:26:22 pptp,info TCP connection established from 92.63.194.35 may/29 17:26:22 pptp,ppp,error <24>: user admin authentication failed may/29 17:26:22 pptp,info TCP connection established from 92.63.194.40 may/29 17:26:22 pptp,ppp,error <25>: user vpn authentication failed may/29 17:26:23 pptp,info TCP connection established from 92.63.194.41Nejsou to čirou náhodou pokusy o připojení do té vytvořené sítě PPTP..??? Adresy IP ukazují na Holandsko a Rusko.. Těžko vystopovat faktický původ adres.. Kdokoliv může použít TOR.. nebo jinou VPN odkazující na falešnou lokalitu.. PPTP jsem zakázal, odstranil nastavení z firevallu a zrušil port forward z routeru od ISP.. Nebaví mě číst pokusy o připojení v logu.. Informace lezou i z terminálu..Co se týče L2TP -> tohle je v klidu.. v logu žádné info. O PPTP jsem se dočetl, že má základní šifrování .. L2PT/IPsec je na tom o něco lépe se zabezpečením, ovšem asi na úkor rychlosti, asi i vyšší ztráty na rychlosti netu.. OpenVPN je prý prostě nejlepší. ovšem jestli to není jen reklama.. Nevýhodou je zainteresování 3. strany -> nutnost instalace sw OpenVPN do PC. Je vůbec výrobce takového software zdarma důvěryhodný..???Někteří v odpovědích naznačují, že OpenVPN není na portu TCP to nejlepší.. UDP není podporováno.. Počkám tedy, jestli přijde poradce "remetremet2".. Ukázat celý příspěvek

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Unknown Firefox 68.0

PPTP je slusne receno prekonane - lidove receno derava parodie na VPN. Jedina jeho vyhoda je, ze se ve Win zprovozni asi za 2 minuty . L2TP/IPsec je uz OK. OpenVPN mi funguje taky celkem dobre, jenom na cinskou velkou zed bohuzel nestaci (minimalne ve standardnim provedeni)

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 80.0.3987.163

Apropo z tohohle subnetu (92.63.194.0/24) mam taky pokusy o VPN bruteforce - to je takovej kolorit

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 83.0.4103.61

Zapomněl jsem přidat odkaz, co se týče porovnání protokolů VPN:https://www.giganews.com/vyprvpn/compare-vpn-proto... OpenVPN má jen dobrou reklamu..??? Nebo je to fakt nejlepší VPN..???

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Za me je nejbezpečnější. A nejhůře prolomitelne. Ja používám ověření certifikatem a jménem i heslem. Nevýhoda je nepodpoří nativnich app v zařízeních.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 80.0.3987.163

Jeste by to chtelo v OpenVPN nejake ucinne maskovani, ale nebylo v DPI identifikovatelne, ze jde o VPN - i za cenu snizeni rychlosti by takova moznost obcas stala za to

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X Chrome 83.0.4103.61

Ahoj, zoušel jsi to např. i podle tohoto návodu? https://itles.cz/openvpn-na-mikrotiku/

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 83.0.4103.61

Ahoj Jirko,děkuji za reakci a za ten odkaz. No, musím jen suše konstatovat, že to každý tvoří trochu jinak a nejlepší na tom všem je to, že to nejspíš všem i funguje.. Jsem z toho fakt jelen.. Strávil jsem nad tím nastavováním moře času a výsledek je stále ZERO. Pokus o připojení dělám přes mobil(datový net).. A už mě to fakt nebaví.... Ale jak se znám, stejně tomu nedám pokoj, dokud na to nepřijdu. PPTP je s nastavením docela sranda.. no problem. Na této VPN se mi nelíbí, že je asi fakt děravá, viz zjevné pokusy přihlašování z logu mého routeru Mikrotik.. Může to být i robot.. *Vyzkoušel jsem jedenkrát večer připojení ze vzdálené sítě z notebooku mého hodně známého .. Zná i moji IP veřejnou adresu.. PPTP funguje.. L2TP/IPsec je prý o něco vylepšená, viz vyčtené informace -> 2x zapouzdřování dat..*Dnes večer vyzkouším připojení ze vzdálené sítě. Na mobilu funguje bez problémů.. SSTP - do toho se mi nějak ani nijak nechce.. OpenVPN - chci vyzkoušet ze zvědavosti.. Pokud se povede, ponechám v Mikrotiku VPN: L2TP + OpenVPN.. OpenVPN. Log z mobilu ukazuje na chybu "cipher".. Někdo ponechává zaškrtnuté nastavení na serveru všechny 3 "aes" 128/192/256.. někdo jen 128..někdo jen 256 .. + k tomu Auth sha1 a nezaškrtnuté md5- což by mělo být správně.. V tvém odkazu není zaškrtnuto "Require Certificate client" -> a zde je opět ukázka jiného nastavení.. Dle všech ostatních postupů nastavení by mělo být vyžadování certifikátu klienta, čili zaškrtnuté.. Rozdílů v nastavení je celkem dost.. Příkladem je třeba i vytvořených certifikátů, z nichž CA + server jsou "Trusted".. client trusted není .. někde trusted je.. A teď babo raď.. Jinak, jak jsem psal v dotazu, nemám doma klasickou síť.. Mikrotik je routerem ISP.. Dle mého Ukázat celý příspěvek

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 83.0.4103.61

OpravaMikrotik je za routerem ISP.. ovšem nikoliv jako APéčko.. Mikrotika mám v modu CPE, čili jako druhý router(NAT) a vytváří mi tak vlastní vnitřní síť.. Mně se router od ISP nelíbí ani tolik, co by se za nehet vešlo.. Probuzení počítačů a RDP ze vzdálené sítě fungují naprosto bez problémů..

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: RSA, Mikrotiku, Lokální adresa, Certifikace, Znamení, Forward


Určitě si přečtěte

AR není ani po letech žádný trhák. Teď to zkusí Hybri, který svleče vaše kamarádky

AR není ani po letech žádný trhák. Teď to zkusí Hybri, který svleče vaše kamarádky

** Rozšířené realitě i po letech chybí praktické využití ** Selhaly mobilní aplikace i AR brýle ** Floridské studio to proto zkusí přes bizarní erotiku Hybri

Jakub Čížek | 20

Je to dobré, cetky z AliExpressu budou nejspíše relativně levné i v roce 2021

Je to dobré, cetky z AliExpressu budou nejspíše relativně levné i v roce 2021

** V roce 2021 začneme platit DPH i u laciného zboží z asijských e-shopů ** Daň ale budeme většinou platit už na e-shopech ** Nemusíte se bát zdlouhavého a drahého celního řízení

Jakub Čížek | 75


Aktuální číslo časopisu Computer

Megatest: nejlepší notebooky do 20 000 Kč

Test 8 levných IP kamer

Jak vybrat bezdrátová sluchátka

Testujeme Android 11