classic.ISPforum.cz

caute mam problem s nastavenim vpn

situace a cil:
pouzivam rb433 na nekolika mistech ale na nekterych rb nemam verejnou ip
chtel bych si tedy urcit jeden rb jako centralni (s verejnou ip) na ktery by se vsechny ostani rb pripojovaly pres vpn (zatim jsem zkousel jen pptp)
kdekoliv bych se pak pripojil na centralni rb z windows take pres pptp a mohl bych pres winbox spravovat vsechny rb co jsou ve vpn

problem:
podarilo se mi pripojit vsechny rb i ntb odkudkoliv kde jsem ale nemuzu se na ne z ntb dopingovat
z centralniho rb se dopinguju na kazdy rb vcetne ntb takze problem je v tom ze na sebe klienti pptp navzajem nevidi

muzete mi nejak nastinit jak to nastavit (nejde mi o to abych videl do vnitrni site kazdeho rb) chci jen videt z ntb(pptp-klient) ostatni rb(pptp-klient)

centralni rb:
ppp secret pro kazdy rb jiny uzivatel s local-address 192.168.111.1 remote-address 192.168.111.2-254

ostatni rb a ntb:
jen pptp-klient

Keby si sa este lepsie nad tym zamyslel urcite by sa to dalo aj komplikovanejsie urobit....

preco nepouzijes nejaku sluzbu ddns ??? ja to tak mam a ziadny problem...

pripadne ak mas tie rb v jednej sieti, myslym tym ze lokalne ich mas poprepajane tak to ries zmenou portu na jednotlivych rb potom ti staci pouzivat jednu verejnu ip a cislom portu odlisis jednotlive rb..

urcite to ide aj tym tvojim riesenim ale musis si uvedomit ze ide o bod bod prepojenie

viem ze v mk navode je pisane ze mozes vidiet aj celu siet ale mne to tak nefungovalo...
kazde PPTP spojene je ako jedinecna siet aj ked pouzivas jeden rozsah... treba to routovat, ale to bude komplikovane s takou adresaciou ako mas ty...

zmen si na kazdy tunel iny rozsah, do ntb si potom popridavaj staticke smerovanie na tie jednotlive rozsahy a pojde ti to..

vzhledem k tomu ze si kazdy mk bere adresu automaticky tak by preci nemel byt problem to nastavit vsechno na centralnim mk.

co se tyce rozsahu adres to taky neni podminka, muzu tam nastavit subnety nebo adresy 192.168.111.1x2 192.168.112.1x2 atd.
jen me trochu prekvapily ty staticky routy, myslel jsi to takhle?
centralni mk 192.168.112.1 a pripojeny pptp mikrotik 192.168.112.2
centralni mk 192.168.113.1 a pripojeny pptp ntb 192.168.113.2
na ntb bych pridal routu pro adresu 192.168.112.2 smerovanou na 192.168.113.1
na centralnim mk bych nic dalsiho nastavit nemusel, ani routovani?
je to tak?

jestli je to moc komplikovane uvitam jiny napad jak to udelat, jen nevim jestli jsi me spravne pochopil, tak znovu v bodech:
centralni mk s verejnou adresou
mikrotiky (s ruznymi poskytovately) nejsou lokalne propojeny, kazdy je v jinem meste, nektere nemaji verejnou ip
cil pripojit se z libovolneho pc s windows kdekoliv v internetu na centralni mk a winboxem spravovat ostatni mk

zpusobem ktery jsem popsal vys bych asi docilil toho co chci ale musel bych si spustit davku ktera mi nastavi ty staticky routy automaticky

jestli to jde jinak rad se poucim. zminil jsi sluzby ddns. jestli se nepletu tak ddns jen informuje o aktualni verejne ip, pokud se meni, ale me se nemeni, ruzni poskytovatele davaji ruzne ip a nekteri bohuzel neverejne (muj pripad)

aha uz ti rozumiem jednoducho ty priamo nemas u seba vonkajsiu ip a nedokazes cez nu mapovat porty do vnutra siete...

a s tymi routami si to pochopil spravne...

ked mac centralny mk_c a knemu pripojene mk_1, mk_2, mk_3

mk_c 192.168.111.111---------------mk_1 192.168.111.112
mk_c 192.168.112.111---------------mk_2 192.168.112.112
mk_c 192.168.113.111---------------mk_3 192.168.113.112

mk_c 192.168.110.111---------------ntb 192.168.110.112

tak na ntb ked vytocis tunel pridas trasu pre jednotlive ip, alebo mozes cele siete
gw ip 192.168.110.111 (priznam sa ze neviem teraz ktoru treba dat viem ze logicky by mala byt gw 192.168.110.112 ale sa mi zda ze mi to tak neslo)

ked to maz bez tej trasy tak ti to tlaci priamo do internetu... kedze pre 192.168.111-113.0 nemas ziadne smerovanie ide to na default gw...

ak mas nahodou default gw ip toho pptp tunelu ktory mas vytvoreny na mk_c tak by ti to teoretycky malo fungovat ale nepojde ti na tom notebooku internet... (alebo pojde cez mk_c)

nastav si na tom hlavnim MK uplne jinej rozsah IP na VPN pro ty slave Mikrotiky nez jakou bude mit na tom NTB VPN. Tu adresu nemusis mit ani nikde na tom MK zadanou.. jen ji napis do zalozky profiles v nastaveni PPTP. Jakmile se pripojis tunelem, bude to uz cistej routing. Nejjednodusi cesta (podle me).

sub_zero píše:nastav si na tom hlavnim MK uplne jinej rozsah IP na VPN pro ty slave Mikrotiky nez jakou bude mit na tom NTB VPN. Tu adresu nemusis mit ani nikde na tom MK zadanou.. jen ji napis do zalozky profiles v nastaveni PPTP. Jakmile se pripojis tunelem, bude to uz cistej routing. Nejjednodusi cesta (podle me).

na hlavnim mk nastavim ip pro slave mikrotiky 192.168.100.2-254 pro hlavni 100.1
pro ntb 192.168.101.2 pro hlavni mk 192.168.101.1
neni mi jasne kam napisu tu adresu pri vytvareni noveho profilu, muzes to trochu rozvest?

name="zero" local-address=192.168.58.193 remote-address=192.168.58.194
use-compression=yes use-vj-compression=default use-encryption=required
only-one=default change-tcp-mss=default

PPP/profile

Nikde jinde adresy zadany nemame. Jen v tom profiles.

//edit: a pokud budes chctit, aby Ti fungoval NET po pripojeni na ten tunel, musis si udelat scr-nat pro ten vpn rozsah na ntb.