Propojení poboček

[Peyrak]

co tam máš za verzi rosu? v 2.9.38 a pak ještě v nějaké v3 byla nějaká chybka a taky mi tam lezlo víc macovek

[havrosd]

co tam máš za verzi rosu? v 2.9.38 a pak ještě v nějaké v3 byla nějaká chybka a taky mi tam lezlo víc macovek

já už jsem kvůli toho přešel už na v5.3 a stejně nepomohlo

[Hallo]

Nedělá to Masqerade ??Už se mi stalo něco podobného,poskytovatel měl v síti stejný subnet jak já na lan na gw routeru,občas mu to hodilo kolizi ip,vyhodil sem masqerade a dal src nat a zatím rok nic.

[czatlantis]

můžu se zeptat, co je za problém s PPTP spojením ohledně bezpečnosti? mám udělanej tunel mezi domácím mikrotikem a mikrotikem na chatě, abych se dostal domů na vzdálenou plochu a na disky. díky

[Hallo]

http://www.dusatko.org/cs/node/161

[ok2slc]

Tunelovat EoIP uvnitř OVPN se mi také jeví trošku přitažené za vlasy, to už raději rovnou to OVPN v Ethernet režimu a prodloužím si tak MTU minimálně o 28 bajtů proti EoIP uvnitř OVPN v IP režimu.

Toto beru jako opodstatněnou námitku, ale OVPN server na Mikrotiku umí buť to Ethernet nebo IP. Ale bohužel ne zároveň. A protože používám OVPN i pro přístup vzdálených klientů pod WIN, tak musím používat L3. A z toho vychází proč používám EoIP over OVPN.

[havrosd]

http://www.dusatko.org/cs/node/161

Presne tohle me zajimalo. Proc je vlastne pptp nebezpecne pouzivat. Jinak jsem zrusil eoip i pptp a sprovoznil jsem ovpn s certifikaci jako ethernet a splnil moje ocekavani. A co se tyce masquard tak ja pochybuji ze RIO pouziva sit 192.168.140.0/24. Netvrdim ze to neni mozne, ale jevi se mi to jako blbost.

[czatlantis]

Hallo: díky, sice asi riziko propojení 2 domácností nebude tak jako u firmy, ale beru to jako motivaci pro přejití na něco jinýho až nebude co dělat

[Hallo]

Mělo by stačit obalit PPTP do IPSECu,ale taky my vrtá hlavou ten OVPN.

[Majklik]

Mělo by stačit obalit PPTP do IPSECu

To bych zrovna nedělal. Nicméně Microsoft to už udělal a trošku změnil a jmenuje se to L2TP, což byl jejich další vývojový stupeň. A L2TP ještě balí ve svém VPN řešení do IPsec transportu, aby odstranili některé neduhy původního šifrovaní na PPP vrstvě.
Jinak řadu těch problémů řeší nové specifikace a i implementace, kdy jde slabé šifry a autorizace zakázat, hodně vyřeší použití EAP a certifikátů, ale nic z toho ROS nepodporuje a neumí.
V podstatě všechny ty technologie PPTP, L2TP, SSTP používají prapůvodní PPP doplněné o šifrování, které fungovalo už na klasických modemech. Pak to pro potřebu VPNka to PPP stčili do GRE tunelu, což se jmenuje PPTP, pak nahradili GRE tunel za tunelování přes UDP v L2TP protokolu a navíc ho obalili i IPsec transportem a v poslední variantě pro překonávání NATů/firewallů jménem SSTP je to PPP spojení strčené do TLS tunelu, které s enavenek tváří jako konrmální HTTPS.