Mikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...

LEXXA --- --- 14:26:32 13.1.2025

E2E4: Asi mi unika uzitecnost v tom usecasu...

E2E4 --- --- 14:24:37 13.1.2025

1 odpověď +1

LEXXA: mimochodem jsem někde četl že Mikrotik už v nejnovějším routeros podporuje /31 !

JOINTER --- --- 17:28:46 8.1.2025

TEAPACK: No psal jsem ze pokud nemas nejaky technicky duvod proc Wireguard ne... Pak musis vybrat to co je kompatibilni s tim zarizenim.
Ja mel dlouho VPN na urovni Linux vrstvy z Android telefonu (pouzito jako GPS tracker) a to umelo jen PPTP, takze jsem mel pro tohle zarizeni to.
Ale mel jsem pocit ze jde o propojeni 3 lokalit a vsude je MK, ale mozna jsem to spatne pochopil.

AQUARIUS --- --- 16:08:03 8.1.2025

TEAPACK: Wireguard jede snad i na ESP32, takže bych se toho tolik nebál…

TEAPACK --- --- 13:12:47 8.1.2025

2 odpovědi +1

JANFROG: Tak FW nakonec problém nedělal =) bylo to tím přesahem na straně jednoho routeru.

JOINTER: Pokud je na WireGuard potřeba nějaký klient, tak to nechci, ještě budu řešit, jak to dostat na Cortexy M3 se síťovkou z roku 2010 =/

CHOROBA: Nevím, proč přesně to nemůže být nesymetrické, ale když jsem na obou stranách nastavil "pool" /24 a pool na obou bridge udělal disjunktní, tak se to rozjelo a jede to stabilně =)

CHOROBA --- --- 18:58:32 7.1.2025

1 odpověď

jako na L2 je treba mikrotik uplne skvelej, EOIP v ipsecu...jen nastavis psk a probridgujes site
TEAPACK: to bude asi ten TS problem, ze yti nesedej match policies

LEXXA --- --- 18:09:31 7.1.2025

1 odpověď

TEAPACK:
-udelas iface typu wireguard s listen portem ktery je dostupny z netu. definujes mu adresu (ja davam neco z /30)
- na druhem mikrotiku udelas to same a definujes tu druhou adresu z /30 rozsahu
-prvni iface ma public key, ten si poznamenas
-druhy iface ma public key, ten si poznamenas
-na prvnim mikrotiku udelas peer s vlastnostma verejne adresy druheho mikrotiku, portu a public key druheho mikrotiku, ze slusnosti dame keepalive na 25s. allowed address bude ta /30 sit a kazdy objekt za druhem mikrotiku ktery chces videt (ip, rozsah, sit, cokoliv)
-na druhem mikrotiku udelas to same akorat zrcadlene.
-nastavis routy (cilova sit druheho skrz /30 adresa co je na prvnim)

jestli mas advanced firewall s iface listama tak to tam povol jak to potrebujes a hotovo. obecne bych neresil kdo je repsonder a kdo initiator, sve tunely vytvarim ze kazdy je initiator a kdyz vodafone skytne kdo se prvni probere proste vola tomu druhemu.
v tyhle chvili mas l2 a l3 konektivitu a nemusis resis podivnosti v policy based ipsecu kde ti nektere pakety neprolezou a podobne.

JANFROG --- --- 17:27:28 7.1.2025

1 odpověď

TEAPACK: Ja mam normalne IPSec mezi kancelari (mikrotik router schovanej za broadband routerem, neviditelnej z internetu) a domovem (mikrotik router za broadband routerem ktery forwarduje dva porty na ten domaci mikrotik, ten funguje jako "responder")

Vztekal jsem se s tim dost, ale ted to bezi skvele. Co si vzpominam, problem byl ve firewallu:

/ip firewall raw
    # ...
    add comment="Bypass conntrack for IPSec encapsulated traffic" \
        chain=prerouting \
        in-interface=wan ipsec-policy=in,ipsec \
        action=notrack

    add comment="Accept IPSec encapsulated traffic" \
        chain=prerouting \
        in-interface=wan ipsec-policy=in,ipsec \
        action=accept
   #...
/ip firewall filter
   #...
   add comment="Allow remote IPSec responder connections" \
        chain=input \
        in-interface=wan src-address-list=allowed-to-ipsec-responder protocol=udp dst-port=50,500,4500 \
        action=accept

    add comment="Allow IPSec encapsulated traffic (ESP)" \
        chain=input \
        in-interface=wan src-address-list=allowed-to-ipsec-responder protocol=ipsec-esp \
        action=accept
    #...

JOINTER --- --- 16:53:43 7.1.2025

1 odpověď

Jo a Wireguard ma i docela fajn klienta pro Windows, takovy jednoduchy a samo se to pripoji i po rebootu.

JOINTER --- --- 16:52:27 7.1.2025

TEAPACK: L2TP bez IPSEC bylo easy nastavit, co se pamatuju. Ale nebylo to pak sifrovany. Na Wireguard jsem nasel nejaky navod.
Jedina drobnost je, ze je potreba v konfiguraci definovat range ktere ma VPN pustit zkrz. Plus je, ze nejsou potreba zadny protokoly jako GRE u PPTP a pro IPSEC tusim je potreba dokonce povolit dva porty.

TEAPACK --- --- 15:42:36 7.1.2025

2 odpovědi

CHOROBA: teď mi došlo, že na jednom místě mám sice interní IP routeru .0.1 a na druhém .1.1, ale celková síť prvního je od .0.0/20 jen na .1.0/24 nemá přiřazený žádný pool ani network... druhá strana nemá tak složitou síť, tak má jenom .1.1/24

TEAPACK --- --- 15:32:55 7.1.2025

1 odpověď

LEXXA: na terminál obou se dostanu vždycky =)

TEAPACK --- --- 15:32:22 7.1.2025

1 odpověď

JOINTER: mám všude mikrotiky a nejsem zaujatý proti ničemu, takže se nebráním, ale IPSec mi přišlo jako výrazně jednodušší než L2TP, které jsem taky nikdy nedotáhnul do fungujícího stavu...
naštěstí jsem zatím měl všude počítač s rozumným terminálem a nastavené schválené IP pro vzdálené připojení, takže to občas bylo trochu jako v Inception, ale vždycky jsem to zvládnul...

LEXXA --- --- 15:32:08 7.1.2025

1 odpověď +1

TEAPACK: Vecer ti to sepisu. Vesmes je to easy kdyz mas obe krabice dostupne. Pak je to copy paste.

JOINTER --- --- 15:29:07 7.1.2025

1 odpověď

TEAPACK: Ja se s tim kdysi sral podobne, dlouho jsem mel PPTP, pak jsem zkousel L2TP a dneska mam Wireguard. Hodne silne doporucuju ten, pokud nemas nejaky technicky duvod proc to nelze.

TEAPACK --- --- 15:28:48 7.1.2025

1 odpověď

LEXXA: a máš nějaký rozumný návod, podle kterého to můžu zkusit rozjet? O:)

TEAPACK --- --- 15:28:15 7.1.2025

CHOROBA: TS_UNACCEPTABLE ...

28	Jan/07/2025 15:21:37	memory	ipsec	init child for policy: 192.168.3.0/24 <=> 192.168.1.0/24	
29	Jan/07/2025 15:21:37	memory	ipsec	init child continue	
30	Jan/07/2025 15:21:37	memory	ipsec	offering proto: 3	
31	Jan/07/2025 15:21:37	memory	ipsec	proposal #1	
32	Jan/07/2025 15:21:37	memory	ipsec	enc: aes256-cbc	
33	Jan/07/2025 15:21:37	memory	ipsec	auth: sha256	
34	Jan/07/2025 15:21:37	memory	ipsec	dh: modp1536	
35	Jan/07/2025 15:21:37	memory	ipsec	adding payload: NONCE	
38	Jan/07/2025 15:21:37	memory	ipsec	adding payload: KE	
47	Jan/07/2025 15:21:37	memory	ipsec	adding payload: SA	
51	Jan/07/2025 15:21:37	memory	ipsec	initiator selector: 192.168.3.0/24 	
52	Jan/07/2025 15:21:37	memory	ipsec	adding payload: TS_I	
55	Jan/07/2025 15:21:37	memory	ipsec	responder selector: 192.168.1.0/24 	
56	Jan/07/2025 15:21:37	memory	ipsec	adding payload: TS_R	
59	Jan/07/2025 15:21:37	memory	ipsec	<- ike2 request, exchange: CREATE_CHILD_SA:77 ***.***.***.107[4500] 03807...
74	Jan/07/2025 15:21:37	memory	ipsec	adding payload: ENC	
112	Jan/07/2025 15:21:37	memory	ipsec	-> ike2 reply, exchange: CREATE_CHILD_SA:77 ***.***.***.107[4500] 03807....
113	Jan/07/2025 15:21:37	memory	ipsec	payload seen: ENC (228 bytes)	
114	Jan/07/2025 15:21:37	memory	ipsec	processing payload: ENC	
121	Jan/07/2025 15:21:37	memory	ipsec	payload seen: NOTIFY (8 bytes)	
122	Jan/07/2025 15:21:37	memory	ipsec	create child: initiator finish	
123	Jan/07/2025 15:21:37	memory	ipsec	processing payloads: NOTIFY	
124	Jan/07/2025 15:21:37	memory	ipsec	notify: TS_UNACCEPTABLE	
125	Jan/07/2025 15:21:37	memory	ipsec	got error: TS_UNACCEPTABLE	
126	Jan/07/2025 15:21:42	memory	ipsec	ph2 possible after ph1 creation

LEXXA --- --- 15:20:51 7.1.2025

1 odpověď +5

CHOROBA: Ti nevim. Od doby co jsem pochopil wireguard tak ho taham vsude, i na zachod :)

CHOROBA --- --- 15:18:36 7.1.2025

3 odpovědi

confgi mi pripada vcelku ok. se mrkni co to pise v logu
LEXXA: protoze to funguje ;)

TEAPACK --- --- 15:14:25 7.1.2025

LEXXA: protože mi to přišlo jako vhodné řešení pro propojení dvou až tří míst kvůli pravidelnému monitoringu - logování spotřeb z elektroměrů, teploty v topných okruzích atp...

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?

OS

Platformy

Prislusenstvi

Reseni