Muzu poprosit o radu
mam mikrotik a na nem OpenVPN server. Na svem notebooku mam zase OpenVPN klienta, kterym se pripojuji do domaci site. Konfigurace klienta vypada nasledovne

dev tun
proto tcp-client
remote IP:1194
ca ca_test.crt
cert client_test.crt
key client_test.key
tls-client
port 1194
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
mute-replay-warnings
verb 3
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass
push "route 10.9.0.1" //IP adresa serverove casti tunelu
push "route 192.168.4.0 255.255.255.0 10.9.0.1" //adresa domaci site
push "route 192.168.2.0 255.255.255.0 10.9.0.1" //adresa druhe domaci site
push "route 172.20.252.0 255.255.255.0 10.9.0.1" //adresa treti domaci site
#push "redirect-gateway def1"

A nefunguje mi, aby internetovy provoz u klienta sel vzdy pres tu domaci sit. Ten posledni parametr je zaremovany, kdyz byl aktivni, nic to neresilo, zkousel jsem i na klientu pridat route 0.0.0.0 mask 0.0.0.0 10.9.0.1 s tim, ze jsem udelal solo routu jeste na IP adresu domu, ale taktez to nefungovalo. Po internetu jsem take nenasel reseni, ktere by jelo.

Nevite nekdo, jak na to ?\
Diky

NETWORK:
cpu-used: 0-3%
free-memory: 110720KiB

porty v defaultu

[admin@Ghorland-IC178r] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU
0 R ether1-gateway ether 1500 1598
1 RS ether2-master-local ether 1500 1598
2 S ether3-slave-local ether 1500 1598
3 S ether4-slave-local ether 1500 1598
4 RS ether5-slave-local ether 1500 1598
5 RS wlan1 wlan 1500 2290
6 R bridge-local bridge 1500 1598

GHORMOON: jak je na tom CPU v tom RB? mas to v sw bridgi a nebo hw switchi ty porty?

hoj, mam doma mikrotik rb951g, do nej zapojenej desktop (freenas) a notas (w7) a kdyz pres sambu zacnu kopirovat data, umre mi spojeni ven ... ani z mikrotiku nepingnu jeho default gw (timeout, sem tam se mi z jeho vnejsi ip vrati unreacheable), v logu nic nevidim, routovaci tabulka je taky ok ... vzpamatuje se to vzdycky az po restartu mikrotiku ...
nejakej napad, co tomu je? :D (kopirovani mezi desktopem a ntb porad jede)

KUTNY: boze ja jsem takovej kreten ze me ani horecka neomlouva. dekuji moc!

ad tunel a routa:

nejde to resit polozkou routes="" v ppp secret?

[admin@RemoteOffice] ppp secret print detail
Flags: X - disabled
0 name="Laptop" service=l2tp caller-id="" password="123" profile=default
local-address=10.1.101.1 remote-address=10.1.101.100 routes==""

ipsec:
Nastavení IPSec tunelu na Mikrotik RouterOS | Heronovo
http://www.heronovo.cz/nastaveni-ipsec-tunelu-na-mikrotik-routeros/

ve zkratce nadefinujes sousedy, parametry ipsecu, jake site (remote, local) je maji kryptovat a je to.

tak teoreticky si muzes udelat IPSEC AH a zkrz to tunel :D

KUTNY: mohl bys me prosim odkazat na konkretni navod?

LEXXA: tunel u ipsecu nepotrebujes.

DANYSEK: coz predpokladam nemuzu nijak ovlivnit. nebo spis jinak. routa je staticka a interface je dynamicky.
CHOROBA: ipsec je to co mi to sifruje ale l2tp pouzivam na vytvoreni tunelu

LEXXA: me zas kristalova koule rika, ze bych pouzil ipsec

hele nevite nekdo esli podporuje esli pro centralni management useru(nemyslim hotspot,ale adminy) podporuje mikrotik neco nez chap? njak z jejich stranek nejsem moudrej a ukladat hesla v plaintextu se mimoc nechce

LEXXA: kristalova koule rika, ze mozna se routa pridava drive nez se vubec objevi rozhrani od tunelu... a pak to velmi pravdepodobne neprojde.

potrebuji kopnout do hlavy. pokud mozno spravnim smerem.
mam 2 mikrotiky. mezi ne l2tp tunel.
z nejakeho duvodu musim na svem rucne definovat routu do druheho subnetu po restartu jedno ze zarizeni se muj l2tp interface vytraci a routa se rozpada.
jak to mam vyresit jinak nez ze rucne tu routu nadefinuji.

CHOROBA: to neni napad od veci :-D

si to votevri ve wiresharku

CHOROBA: to jsem zkousel a mam v tom vysledku ranec paznaku (coz predpokladam ze je ssl a podobne) a celkove se v tom neda moc vyznat... da se to udelat nejak vic human readable?

eh, packet sniffer

tools - packet filter. v zalozce filter si nastavis ip adresu/mac atd....

mam tu opet jeden lama dotaz - potrebuju pro konkretni zarizeni na moji siti odchytit VSECHNY reqesty ktery to posila... - rozumejte - to zarizeni si saha kamsi na internet pro updaty a ja bych potreboval odchytit vsechny adresy a celej ten provoz co se behem tohodle deje....
muze mi nekdo poradit jak na to? zvladne tohle mikrotik kompletne dologovat sam nebo potrebuju jeste neco dalsiho?

MARECEK: tak jsem si to zkusil taky a prijde mi to ok, vraci to klasicky pole, ze ktereho si muzec cokoli vytahnout. Jinak je to cele psany objektove, tzn. je treba si vytvorit samostatne funkce, ktere ti vytahnou co potrebujes na zavolani - tak jako je v prikladu - vytahnout info o RB. Jinak doporucuju vytvorit usera jen pro cteni a admina nepouzivat :)))

MARECEK: jasný, to už jde mimo mě, já si vystačím jen se skriptováním, kámoš systémadmin se stará už právě o toto…v podstatě nejsnažší si tam šahat api, ty skripty jsou vyloženě konfigurační zálěžitost:-)

ANALYTE: hele ja nasel nejakej priklad php api kolem kteryho sem to udelal a celkem to funguje. problem je ze nejsem zrovna z tech co umej php tak ze to delam metodou pokusu a omylu a jsem zaseklej uz jenom na tom aby ten vystup vypadal tak jak chci - ( ten vysledek co to api vraci jsou nejaky pole znaku tak se s tim nepracuje uplne nejlip...) tak ze se snazim to pole rozdelit na jednotlivy komponenty a mit to jako tabulku - v soucasnou chvili je to pod sebou
Pouzil jsem tohle api
https://github.com/dapphp/librouteros

FATBOZZ: OK, během zítřka...

ANALYTE: úkaz ho ostatním ;)

MARECEK: klidně ti ten příkaz napíšu, jen nejsem teď u MK, abych si vyzoušel syntax příkazu nebo už to máš vyřešené?

MARECEK: umí to nejméně jednou za vteřinu spustit skript, který ti jednoduchým příkazem vyexportuje přehled všech leases do souboru, co chceš nebo ti to ten soubor odešle na email. Nebo si můžeš PHP skriptem šahat přes API nebo SSH a ten výpis si nechat rovnou poslat do serveru, kde máš web…možností je víc, nejsnažší je logicky se podívat přes webové rozhraní, což je 4 kliknutí a zadání jména a hesla...

CHOROBA: to je presne to co chci... puvodne jsem myslel delat export do souboru ale pres to api by to melo byt snazsi... musim na to mrknout - nikdy jsem v tom nic nepsal tak kdyby mel nekdo nejakej priklad co bych moh pouzit tak by mi to pomohlo...

mikrotik ma api, tgze si muzes udelat hloupou stranku, zalozit usera api/api povolenyho z urcity ip adresy a vytahnout si co chces

Heledte umi mikrotik nejak vygenerovat seznam dhcp leasu? - uz v tom doma nejak ztracim prehled tak bych si celkem pral mit nejakou overview stranku kde bych mel vylistovany adresy tak jako kdyz koukam do webocnfigu ale bez toho abych se musel logovat do routeru atd..
Proste vygenerovat nejakej seznam v textaku nebo html a ja uz si s tim pak ze serveru poradim ale nevim jak to dostat z toho routeru... Nenapada vas neco?