RB751G VPN tunel do domaci site s TPlinkem

[darksir]

Dobry den,
rozchodil jsem v praci na verejne IP RB751G ke kteremu je pripojeno par pocitacu, VOIP atd... Nastavil jsem i PPTP na zkousku a chodi to, z mobilu s androidem se pripojim do pracovni site.
Potreboval bych takto, pripojit do firmy domaci pocitac a celkove domaci sit, protoze jsem doma pripojeny pres open wifi a rad bych timhle sifrovanym tunelem vyresil bezpecny internet domu. Doma jsem tedy za natem a nemam verejnou IP. Chtel bych pouzit nejaky levny TP link, co uz tam mam. Premyslel jsem, nastavit WAN port toho TPlinku jako PPTP / L2TP VPN ku na mikrotik v praci. Za tim TP linkem bych mel tedy uz bezpecnou sit s rozsahem IP jako v praci...

Potud OK, myslim, ze by to tak slo a vyresilo by to pripojeni do firmy. ALE, jak se budou tvarit ty pocitace doma? Budou schovane za jednou IP, ze ? Takze nebudou dostupne z prace... Nerad bych zbytecne delal dalsi subnet, mam ted rozsah DHCP v praci 192.168.1.10-25 a rad bych, aby domaci PC dostaly skrze ten VPN tunel kazdy svoji IP z rozsahu v praci a byly vzajemne dostupne v ramci jedne site. Aby se defakto jevily, jako by byly zapichnute do routeru v praci.

Da se to nejak jednoduse udelat?
Muj skill level : Klasicke routery si nastavim, OPENvpn na pc jsem rozjel, ale nejsem sitar a v mikrotiku zatim plavu, tam jsem si nastavil akorat staticke adresy dhcp, odblokoval porty ve firewallu a rozjel PPTP server. Nastaveni je dost rozsahle.

Proto prosim o nakopnuti spravnym smerem, zbytek uz si nastuduju, kdyz budu vedet co. Jde mi hlavne o to, zda bude stacit to, co jsem zamyslel, nebo budu muset domu poridit mikrotik, udelat pres VPN bridge a routovat? Ted mam doma jeden TP link ktery mi pres wifi sosa internet a do nej zapichnutej druhej, kterej funguje jako router a wifi pro mobily a notebooky doma. Na nem bych chtel rozjet toho VPN klienta.

Diky moc,
Petr

[aliney]

Pokud to myslis s tim tunelovanim vazne, tak poridit si domu Mikrotik a spojit MK proti MK ti usetri spoustu casu pri konfiguraci cehokoliv na co si vzpomenes, ze bys tam chtel mit, nez domlouvat nejakemu TP-linku.
Troufam si rict, ze cena dalsiho RB751G bude srovnatelna s cenou TP-linku, ktery by teoreticky mozna mohl byt schopny toho, co pozadujes.

[darksir]

Diky za radu, novej mikrotik je uz doma.
Muzu poprosit o nasmerovani, jak nastavit ty dva mikrotiky, aby vznikl tunel?

Doma i v praci mam stejny subnet. 192.168.1.10-25 a chtel bych, aby to tak zustalo. Idealne PC v praci 192.168.1.10 - 20 a doma treba 192.168.1.100 - 120
Cili budu muset na MK doma spustit DHCP s poolem 100-120, nebo to pojede vse pres dhcp v praci? Pri padu internetu a tim tunelu by se rozesrala sit doma, neni to tak?
Chtel bych, aby na sebe pocitace skrze ten tunel videly, jako by byly v jedne siti. Pripojovani na dalku jsem vyresil L2TP tunelem na mikrotiku v praci, takze mi staci pouze dokonale zabezpeceny a stabilni tunel MK doma - MK v praci.

Dekuji za tipy,
Petr

[aliney]

ja si to spojil OVPN tunelem, takze mozna budou ve funkcnosti nejake odlisnosti. Prirazovani adres DHCPkem z prace mam v planu taky udelat, abych "sedel" doma ve firemni domene, ale jeste to nebylo akutni, tak jestli se k tomu dostanu, tak to zkusim pres vikend zprovoznit, pak bych hodil echo jak to dopadlo

[darksir]

A jak to mas tedka udelany? Na domacim MK mas spusteny DHCP pro ty domaci PC a ten OVPN jen navazes doma jako klient a v praci mas server?
OK, spoji se to... a dale? Routujes to, nebo mas pridelene IP od DHCP ve stejnym subnetu a tak ti to chodi "samo"? Asi bude treba nastavit tomu mikrotiku doma jako vychozi branu ten MK v praci ze Aby net a vsechno jelo z prace...

[aliney]

doma OVPN server
dhcp1 172.16.0.0/24
mangle dst=10.0.0.0/8 routing > tunel > GW = 172.20.0.1
ip tunelu 172.20.0.2, network 172.20.0.1
out.int=tunel = NAT

prace OVPN klient
dhcp2 10.0.0.0/24
mangle dst=172.16.0.0/12 routing > tunel > GW = 172.20.0.2
mangle dst=192.168.0.0/16 routing > tunel > GW = 172.20.0.2
ip tunelu 172.20.0.1, network 172.20.0.2
out.int=tunel = NAT

takze na sebe sice dopingam, ale nesedi na stejnem subnetu, ani nemaji stejny dhcp, coz Ty chces... a ja v podstate taky, ale "nebyl zatim cas"

[darksir]

Tak jsem rozbehal mikrotik i doma a zkousim ten tunel....
Narazil jsem na jeden zasadni problem - vsechny navody ktere jsem nasel chteji, na obou stranach tunelu zadat IP protistrany. Jaky tunel zvolit, abych mohl nastavit jen IP serveru a klient mohl mit IP dynamickou? Server je na verejne, defakto staticke IP (meni se jednou za pul roku), ale klient je za spoustou NATu a ma dynamickou IP.

IPsec a L2TP ale projde, s tim problem neni, jen nejsem schopen zarucit stale stejnou IP kleinta.

Jaky tunel tedy zvolit? Zatim jsem zvazoval IPSEC nebo EoIP, OPENVPN udajne dost zatezuje mikrotikuv procesor.

[darksir]

Jeste se zeptam mistnich GURU - ma smysl snazit se to rozjet na jednom subnetu, nebo se na to mam vyprdnout, udelat doma jinej subnet a naroutovat to?
Co je jednodussi?

Diky

[Maxik]

routovat to je rozhodne lepsi, jinak treba ovpn umi jet v rezimu eternet, predpokladam ze se to pak tvari transparentne, tudiz kdyz si to das na obou koncich do bridge asi by z toho vzniklo to co chces.

[darksir]

Takhle jsem to mel na PC.. na serveru ve firme s OVPN kde bezel WXP jsem si TAP z OVPN bridgnul s LAN kartou a ten bridge priradil k DHCP na routeru...

A kdyz jsem se pripojil klientem do firmy na ten OVPN server, dostal jsem IP z rozsahu te site kde je server.
Tak bych to taky chtel tedka mit, jen bez tech OVPN na Widowsech, ale aby mi je delaly ty dva mikrotiky.

Ale kazdej mi pise, jak ma mikrotik lepsi a svoje tunely - treba EoIP tak jsem ho chtel zkusit, ale nedari se mi najit zadny dobry navod.

[Maxik]

pres ovpn to nastavit lze s 2 Mk bez problemu