CHOROBA: jo to sem už bohužel taky vypozoroval, taktycky nevhodný rozhodnutí no :D až dojedu tak to pořeším teda asi openvpnkou.. doteď to nějak zkusim no

na ipsec/L2TP je dobry mit povoleny GRE tedy protokol 50 a porty UDP! 500 a 4500 pro NAT-T
ale jinak jako ipsec je desna hruza, tedy myslim verze klient - server, router- router atd. funguje fajn

LEXXA: No a jak vysvětlíš že mi to jede z NTB ale nejde z iPhone? Myslíš že to může být tím firewallem? Podotýkám že jeden z hlavních problémů bývá zapomenutej ten protokol 50, kterej teda nevim jestli mám uplně dobře nastavenej.. ale jeho přidání NTB spojení neovlivnilo, ovšem mobil jo. Viz [ KARYSLAV @ Lan a Wan site a jejich prvky ] kde jsem popsal celou peripetii

KARYSLAV: me po*er!
vcera jsem je uplne podle stejneho navodu.
nejdriv si zkontroluj ze kdyz pristupujes zvenku tak mas otevreny firewall.
jestli nejak filtrujes adresy tak si dej na chvili 0.0.0.0 do safe listu.

Udělal jsem si L2TP IPSEC podle tohodle návodu:

http://www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/

Když se pokusím připojit z wifiny (zevnitř) tak to jede, ale zvenku (o2 mobilní net, iPhone s iOs7), tak se to nespojí. Co hledat? Díky!

hi, mate nekdo zkusenosti s flashovanim routerboardu na linux? (idealne debian) konkretne se mi jedna o RB433UL (resp. jakykoli jiny, ktery bude mit alespon 2 miniPCI sloty nebo 1 miniPCI slot a integrovanou 802.11b/g/n...)

ADM: , VLASTIS: u Mikrotiku jsme to tu probirali v navaznosti na HAWKS: pokud se jedna o dva ISP na urovni O2 ADSL a pod...

VLASTIS: nepouzivam to ale kdyz jsem to driv hledal tak mikrotik by to mel umet, bud jako multipath routing (pricemz muzes dat ruznou vahu oboum default routam). v pripade zalozni linky a failoveru by to melo jit testovat a prehodit skripty

VLASTIS: mam to chlazene serverovne, ale nez to tam slo tak mi to lezelo mesic pod stolem doma na testovani... zadnej problem

ELPASO: a mas to nekde v chlazene serverovne? nebo nekde pohozene?
tady to bude kdovikde (mozna na pude, kde muze byt v lete peklo..)

VLASTIS: edgemax router lite, cena 2k. ja osobne na tom pouzivam 2 ISP, ale routovani skrz SOURCE BASED POLICY ROUTING, ale jde tam nastavit i testovani dostupnosti viz https://community.ubnt.com/...eMAX-Configuration-Examples/EdgeMAX-Automatic-WAN-Failover/ta-p/420301

psal jsem to do LAN/WAN auditka - bezi mi na tom jeden zakaznik - 15 VLAN, 50 FW pravidel, 2x NAT dohromady cca 10 pravidel, routuje to i kamerovej system a uptime 14 mesicu :) za 2k CZK imho docela fpohode

Ahoj,
potreboval bych poradit box na nasledujici:
pripojeni pres 2 ISP (10/10 a zaloha 2/2 mbit ) a poteboval bych automatizovane testovan funkcnost obou a v pripade delsiho vypadku (napriklad 2 minuty ?) prepnout routing pres druheho ISP.
Takze ciste jen router s podminenym routingem

Muzete mi poradit vhodny box?

Diky

cus, potrebuju nejakou miniaturni antenu pro prijem jak 2.4 tak 5GHz, existuje neco? rad bych to pripojil na http://www.i4wifi.cz/...-klienti/RBGroove-52HPn-outdoor-klient-2-4-5-GHz-802-11n-TDMA-1x-LAN-L3.html a umistil na otaceni mechanismus na strese auta - proto prave shanim antenu pro obe pasma - mam ale dojem, ze kazde pasmo ma totalne jinou charakteristiku a ze asi univerzalni antena je sci-fi. ale presto, nevite nekdo o necem? velikost je - diky umisteni - celkem dulezity faktor.

WOJTISHEK: pokud se snazis pripojit ke sve domaci VPN na stejnem portu (1194/udp) a jsi na stejnem segmentu s firemnim VPN serverem, pak to vypada, ze tvou snahu o spojeni mikrotik taktez NATuje (a posle request na firemni VP server namisto ven do netu na tvuj domaci VPN server).
Tedy to vypada, ze NAT mas definovany na *vsech* interfacech a nemas jej specifikovany pouze na vnejsim interface pro verejnou IP. tedy zkus toto pravidlo predelat tak, aby NATovalo: 1/ pouze a jen pakety, ktere prijdou na vnejsi interface 2/ pouze a jen pro pakety, ktere prijdou na IP xx.xx.xx.xx (verejna IP pro "firemni" VPN)

AHARAZ:
Howto Save Mikrotik Logs to Remote SYSLOG Server | Syed Jahanzaib Personnel Blog to Share Knowledge !
http://aacable.wordpress.com/2011/11/29/howto-save-mikrotik-logs-to-remote-syslog-server/

tak chcel som len toto :)
a dakujem za vsetku pomoc :)

REASON: Ne, jen neni uplne jasne co vsechno potrebujes. Puvodne jsi psal i "cas". Je cas zacatek kouminkace, nebo je to delka spojeni? V tom je dost rozdil na jedno staci log na druhe potrebujes netflow. Je take otazka co je komunikace - packet, nove spojeni, nove spojeni a k nemu vsechny related?
Ja jsem asi uz dost zatizeny vic komplexnim resenim a tak mam problem v podobnem zadani videt neco jednoducheho...

Kazdopadne predpokladam ze reseni pro tebe je:

Pokud Ti staci zacatek, tak muzes udelat pravidlo FW odpovidajici smeru a treba tomu ze je to nove spojeni jako akci pak bude mit log a dostanes napr.:
Jul 1 00:10:43 Jul 1 00:10:43 192.168.1.2 192.168.1.2 user notice firewall,info FIREWALL-forward forward: in:ether3 out:ether1, src-mac 0a:0b:0c:0d:0e:0f, proto TCP (RST), 192.168.1.1:38095->74.x.x.x:80, len 40

Pak musis nastavit jeste system logging na spravnou akci pro firewall a pak v logging action nastavit stroj se syslogem co to ma chytat....


Pro srovnani z netflow dostanes, neco jako:

Flow Record:
Flags = 0x00000000
size = 52
mark = 0
srcaddr = 36.249.80.226
dstaddr = 92.98.219.116
First = 1125377992 [2005-08-30 06:59:52]
Last = 1125377992 [2005-08-30 06:59:52]
msec_first = 338
msec_last = 338
dir = 0
tcp_flags = 0
prot = 17
tos = 0
input = 5
output = 3
srcas = 1299
dstas = 0
srcport = 3040
dstport = 1434
dPkts = 1
dOctets = 404

tako je mozne ze pri dd-wrt zapnem log a posiela mi to krasne ip, port smer lan -> wan a mk toto nedokaze??

HTD: Má množinu možností kam netflow z MK posílat, tam je otázka do čeho to bude integrovat, nebo jestli to jen archivuje.

Kažodpaně by bylo stejně potřeba vedět k čemu to má sloužit.
Třeba zjistí že potřebuje mít i MAC adresu zdroje a tam s MK narazí, pokud se něco nezměnilo.

AHARAZ: Pomoci netflow a pak to tahat do ntop serveru

REASON: Neni to spis resitelne pomoci netflow ? Protoze tohle vsechno imho neulogujes pomoci logovacich pravidel FW na externi server (treba ukonceni spojeni imho nedas, ale strilim od boku). Ale treba o necem nevim.

YAPLIK:
ahoj

logovat komunikaciu smerom von zo siete stym ze remote server by bol nejaky kiwi deamon na odchyt logu. IP ,port, cas napr/