classic.ISPforum.cz

Ahoj,
obracím se na Vás s prosbu o radu, jakým způsobem mohu propojit 3 domácí sítě u kterých je vždy routerem MK.

1 sít
192.168.40.0/24
RB RB951Ui-2HnD
FW nevím
má veřejnou IP

2. síť
192.168.42.0/24
RB 450G
FW: 3.10
nemá veřejnou IP

3. síť
192.168.44.0/24
RB 962UiGS-5HacT2HnT
FW: 3.34
má veřejnou IP

Všechny mají RouterOS 6.40.1

Teoreticky bych rád, aby síť 3 byla tou primární, ovšem ne na úkor toho, aby byla linka zpomalena. Co jsem pochopil, tak 1 a 3 by se dala spojit tunelem, ovšem nejsem si jist s tou 2..

Jsem v tomto lajk a jediné co mne napadlo, tak je vytvořit klasickou VPN na 3. síti a následně na 1. a 2. vytvořit VPN klienta a na všech 3 to proroutovat. jen 3. bude mít routy i z 1. na 2.

Můžeš použít IPSEC a L2TP - Na stranách 1 a 3 můžeš použít server a na straně 2 client a pak routy

Jednoduché , jdou propojit i lokality bez veřejné ip , pokud by ti nestačil výkon , je i řešení výměnného uzlu v podobě VPS serveru a na něm linux VPN L2TP IPSEC server, kde by si pak všechny oblasti připojil jako L2TP client , (řešení pokud nemáš ani v jedné oblasti výkonný stroj nebo rychlí internet)



Výhoda toho všeho je že když se ti rozpadne jedna oblast třeba (MK2 to MK3) tak se pakety pošlou přes MK1 , a ten pošle na MK3 (příklad MK3 přišel o spojení vlivem ztráty veřejné ip , nebo jiných potíží )

Zkoušel jsem propojit nyní MK1 a MK2 ovšem nějak se mi to nepodařilo spojit.
Vlevo je MK1
Nemám tam vytvoření routy, jelikož se ještě dle mého ani nespojili.

Na MK1 je sice firewall, ale mám tam accept na UDP port 500 a 4500 a TCP 1701
MK3 má stále "waiting for packets.."

L2TP lítá spíše po UDP konkretně 1701 a myslím že ještě musíš povolit PPTP pokud ti to ještě nefunguje 1723 TCP

Mám tyto pravidla

Když na to koukám, tak TCP 1723 a UDP 1701, 500, 4500 mám povolené. Co můžu dělat špatně?

Dáváš VPN tunelům IP adresní rosah - TJ na server straně musí být pool adresy nejlépe z rosahu který nenajdeš nikde po cestě (dělalo by to velkou paseku) já jsem si do POOL pro vpn zvolil 172.31.3.0/24

OK. na server straně (MK1) jsem vytvořil nový Pool s rozsahem 192.168.50.1 - 192.168.50.10
Tento pool jsem nastavil profilu jako local i remote adresy. L2TP server jsem nastavil dle tvého screenshotu a přidal nový interface ve kterém jsem zadal uživatele, který je shodným s uživatelem v secrets.
Myslím že server side je OK. Co se týče Client side, tak tam jsem vytovřil jen profil (jen pojmenování bez poolu) a následně interface L2TP client. I když vypnu firewall na obou stranách, tak výsledek je stejný

V logu na server straně je toto

100% FUNKČNOST - příklad L2TP serveru a clienta


/interface l2tp-server
add disabled=yes name="0. L2TP_SERVER_PROPOJ_KVASICE" user=\
PROPOJ_OTROKOVICE_KVASICE
add name="0. L2TP_SERVER_PROPOJ_MALENOVICE" user=PROPOJ_OTROKOVICE_MALENOVICE



/interface l2tp-client
add allow=mschap2 connect-to=verejna ip ipsec-secret=nejakeheslo name=\
"0. CLIENT_PROPOJ_MALENOVICE" password=\
NEJAKEHESLO use-ipsec=yes user=\
PROPOJ_MALENOVICE_OTROKOVICE




/ip pool
add name=POOL_DOMACI_VPN ranges=172.31.0.2-172.31.0.254



/ppp profile
add comment="0. L2TP_SERVER_PROPOJ_OTROKOVICE_MALENOVICE" local-address=\
POOL_DOMACI_VPN name="0. L2TP_SERVER_PROPOJ_OTROKOVICE_MALENOVICE" \
remote-address=POOL_DOMACI_VPN
add comment="0. L2TP_SERVER_PROPOJ_OTROKOVICE_KVASICE" local-address=\
POOL_DOMACI_VPN name="0. L2TP_SERVER_PROPOJ_OTROKOVICE_KVASICE" \
remote-address=POOL_DOMACI_VPN
add comment="0. CLIENT_PROPOJ_MALENOVICE" name="0. CLIENT_PROPOJ_MALENOVICE"
add comment="0. CLIENT_PROPOJ_KVASICE" name="0. CLIENT_PROPOJ_KVASICE"




/interface l2tp-client
add allow=mschap2 connect-to=VEREJKA disabled=no ipsec-secret=\
nejakeheslo name="0. CLIENT_PROPOJ_KVASICE" password=\
NEJAKEHESLO profile=\
"0. CLIENT_PROPOJ_MALENOVICE" use-ipsec=yes user=\
PROPOJ_KVASICE_OTROKOVICE



/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=default enabled=yes \
ipsec-secret=NEJAKEHESLO use-ipsec=yes


/ip dhcp-server network
add address=172.31.0.0/24 comment=NETWORK_DOMACI_VPN gateway=172.31.0.1 \
netmask=24

/ip firewall filter
add action=accept chain=forward dst-port=41 in-interface="06. INTERNET" \
protocol=tcp
add action=accept chain=forward comment=POVOL_PORT__UDP_1701__L2TP dst-port=\
1701 in-interface="06. INTERNET" protocol=udp
add action=accept chain=forward comment=POVOL_PORT__1723__PPTP dst-port=1723 \
in-interface="06. INTERNET" protocol=tcp
add action=accept chain=forward comment=POVOL_NAVAZANE_SPOJENI \
connection-state=established in-interface="06. INTERNET"
add action=accept chain=forward comment=POVOL_NAVAZANE_SPOJENI_VEN \
connection-state=related in-interface="06. INTERNET"
add action=accept chain=forward comment=POVOL_SPOJENI_VEN out-interface=\
"06. INTERNET"
add action=drop chain=forward comment=ZAHOD_VSE_CO_NENI_POVOLENO \
in-interface="06. INTERNET" log=yes



/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=\
"0. L2TP_SERVER_PROPOJ_MALENOVICE"
add distance=1 dst-address=192.168.20.0/24 gateway="0. CLIENT_PROPOJ_KVASICE"
add distance=2 dst-address=192.168.20.0/24 gateway=\
"0. L2TP_SERVER_PROPOJ_MALENOVICE"
add distance=1 dst-address=192.168.30.0/24 gateway=\
"0. L2TP_SERVER_PROPOJ_MALENOVICE"
add distance=2 dst-address=192.168.30.0/24 gateway="0. CLIENT_PROPOJ_KVASICE"


/ppp secret
add name=PROPOJ_OTROKOVICE_MALENOVICE password=\
NEJAKEHESLO profile=\
"0. L2TP_SERVER_PROPOJ_OTROKOVICE_MALENOVICE"
add name=PROPOJ_OTROKOVICE_KVASICE password=\
NEJAKEHESLO profile=\
"0. L2TP_SERVER_PROPOJ_OTROKOVICE_KVASICE"
add name=kadlcikales password=NEJAKEHESLO profile="1. KADLCIK_ALES_ADMIN"

Díky moc za příklad.
Zda sem to dobře pochopil, tak to je pouze pro jeden MK a to 3. nebo 1.

DHCP server budou 2 a pokaždé pro jiný IP pool na obou VPN serverech. (s jiným rozsahem)

Co se týče interface, tak "06. INTERNET" je vstup, že?
Proč v routách jsou 3 různý rozsahy, když de o routy do 2 sítí?
A poslední. Jaký je rozdíl mezi ipsec-secret a heslem?

Tato konfigurece připomíná v zapojení MK 3 , pro MK1 budete muset mít trochu jinou ale podobnou konfiguraci

6. Internet je vstup , jelikož mám RB1200 a porty víš (9 a 10 lan) nejedou dobře - tato serie měla tyto porty špatně vyrobené ...

Při tomhle řešení musí být na každém IPsec serveru rosah ip které bude rozdávat

IPsec/L2TP je lépeřečeno PPP , a v něm zapouzdřené šifrované spojení - nejdříve se naváže tunel PPP (šifra mschap2 která je dávno prolomená) , a pak v něm probíhá šifrované spojení (které je neprolomené a bezpečné) , šifra toho spojení je certifikát nebo ipsec-secret heslo , tohle není čistý IPsec pokud by byl potřebujeme na obou stranách veřejnou ip nebo alespoň jeden veřejný port

1. rosah routy se nechává na bridge , Automaticky vytvořený - Distance 0

2. rasah routy jde na zvolenou oblast 1 - Distance 1

3. rosah routy jde na zvolenou oblast 1 ale pakety putují přes oblast 2 , kde oblast 2 pošle pakety do oblasti 1 - Distance 2 - Je to kvůli záloze jelikož se mi stávalo při zatížení vypadlo spojení nebo spojení se natrvalo rozvázalo když nějaký můj ISP změnil ni veřejnou ip v nějaké oblasti tak se to řešit nemuselo , taková IMPROVIZOVANÁ kruhová s VPN

4. rasah routy jde na zvolenou oblast 2 - Distance 1

5. rosah routy jde na zvolenou oblast 2 ale pakety putují přes oblast 1 , kde oblast 2 pošle pakety do oblasti 1 - Distance 2 - Je to kvůli záloze jelikož se mi stávalo při zatížení vypadlo spojení nebo spojení se natrvalo rozvázalo když nějaký můj ISP změnil ni veřejnou ip v nějaké oblasti tak se to řešit nemuselo , taková IMPROVIZOVANÁ kruhová s VPN

Tak jsem to zkusil a výsledek je stejný. Na straně serveru mi skáčou errory viz předchozí screenshot

Ty errory to hází když je zadané špatně heslo nebo špatně zvolené šifrování , když mě pošlete celou konfiguraci MK , hadím si ji na stroj a mohu se vám na to podívat jestli chcete

Ještě jsem to kontroloval, ale nepříjde mi, že bych tam měl špatně údaje

Jedná se o propojení MK1 a MK3