ARKIN: tohle delas protoze klient nema verejnou ip nebo proc?
jinak mne se docela vyplatilo do gateway dat konkretni ip nez jmeno ifacu

PISTA1:
nastavoval jsem to myslim podle navodu na mikrotik wiki..
sit na serveru mam 192.168.213.0 u klienta mam 192.168.214.0 (taky na natem)

na serveru mam PPP secret:
add local-address=172.16.1.1 name=XXX password=YYY profile=vpn remote-address=172.16.1.2 routes="192.168.214.0/24 172.16.1.2 1" service=l2tp

u klienta se pripojuju pres usera XXX (PPP interface) a mam jeste manualni routu:
IP routes:
add distance=1 dst-address=192.168.213.0/24 gateway=*VPN PPP interface*
jinam tam mysim nic zasadniho u klienta nastavovat nemusis..


jeste by te mohlo zajimat "add default route" na mikrotiku, nebo nejak use default gateway (schovany silene v nastaveni IPv4 na win) - to dela, ze vsechen traffic jde pres tu vpn.. coz muze byt zadouci treba na win (myslim, ze se bez toho nedostanu na tu 192.168.214.0), ale u toho mikrotik klienta to primarne nepotrebujes jestli nechces mit vsechen traffic pres ten server..

tak sem rozjel 750 jako klienta za natem spojení navázaný. Z klienta se dostanu do celý svojí sítě v pohodě, ale ale od sebe se dostanu jenom na klienta, dál do sítě ne :(

Nastavení sem na 750 překopíroval ze svýho, takže pravidla jsou identický.

jakou VPN?
ted varim z vody ale DSCP ti nepomuze?
das mu adresu napevno a pak podle toho udelas firewall pravidlo ze DSCP mark a dst !IP_kterou_mu_chces_povolit drop.
akorat pokud mas hererogenni sit je vzdy lepsi markovat od konce. myslim ze default pro windows je DSCP=1 a pro Linux DSCP=0 (nebo naopak)

Kdyz jsme u toho, jak by jste omezili cloveka pripojeneho na VPN aby mohl jen na urcitou IP/port do vnitrni site?
Jde mi o to ze muzu cloveku pripojenem na VPN dat na pevno IP , ale jak to filtrovat?

ARKIN: Dík, nastavil sem to podle tebe a běží to :D

Tak teď ještě nastavit pevný spojení s druhým mikrotikem, to snad za 14 dnů do vánoc zvládnu :D

PISTA1: auth sha1 a enc aes-128. jinak to andoid v nativnim klientovi nezvladne

PISTA1: taky jsem s tim finalnim nastavenim docela bojoval.. ale muj problem byl myslim spis s iphonem..

kazdpadne to mam nejak takhle a jde mi to ze vseho..

/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=vpn enabled=yes ipsec-secret=xxx keepalive-timeout=15 use-ipsec=yes

/ppp profile
add bridge=bridge-local change-tcp-mss=yes local-address=192.168.xx.xx name=vpn remote-address=vpn

/ppp secret
add name=aaa password=bbb profile=vpn service=l2tp

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,3des

/ip ipsec peer
add address=0.0.0.0/0 dpd-maximum-failures=15 exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=xxx

Tak se mě podařilo rozchodit tunel l2tp+ipsec prozatím s bookem w10 jako klienta připojenýho přes mobil s wifi hotspotem. Nicméně když chci připojit přímo ten android tak skončím s chybou:
21:48:21 ipsec,error no suitable proposal found.
21:48:21 ipsec,error 192.168.2.145 failed to get valid proposal.
21:48:21 ipsec,error 192.168.2.145 failed to pre-process ph1 packet (side: 1, status 1).
21:48:21 ipsec,error 192.168.2.145 phase1 negotiation failed.

mám tam nastavený tohle, neví někdo co by mohlo bejt špatně? Dík

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 incoming-filter=rw-in local-address=\
192.168.2.254 name=VPN_profile remote-address=vpn_pool use-upnp=no \
wins-server=0.0.0.0
/ppp secret
add name=VPN password=xxx profile=VPN_profile service=l2tp

/ip ipsec policy group
add name=gr-VPN
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=1h name=prop-VPN \
pfs-group=modp4096
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1024 nat-traversal=no
add address=0.0.0.0/0 dh-group=modp2048 enc-algorithm=aes-256 exchange-mode=\
main-l2tp generate-policy=port-override passive=yes policy-template-group=\
gr-VPN secret=xxxx send-initial-contact=no
/ip ipsec policy
add group=gr-VPN proposal=prop-VPN template=yes

CHOROBA: nic neloguju ;-) (zatim..)
na ty RB133C3 je dost malo prostoru, rval jsem tam zatim pouze minimum veci. Ted si teprve zacnu vybirat sw kterej tam budu chtit (a tedy mozna nejaky rsyslogd)

:D tak tos ale musel videt v logu ne?

ADM: hele uz jsem na to prisel. Ja pouzival v /etc/config/wireless blbou option pro passphrase. pote, co jsem konecne odhalil, ze mam namisto passphrase= pouzit key= mi to uz jede. alespon jsem se naucil zatim konfigurovat hostapd :-) takze vsechno zly je k necemu dobry ;-)

TLOUDEV: to crypto bude spis poskytovat ten wpa_supplicant a lib80211 je nejaka uz obsolete vec kterou pouzivaji pouze urcity drivery ( CONFIG_LIB80211 je default N, a Drivers should select this themselves if needed.)

ADM: jasny, ja si to taky buildim od zakladu, ono pro RB133C3 zrovna moc hotovejch image neni (=zadna neni). nicmene ted jsem ve stavu, ze bez kryptovani uz se wlan0 drzi, ale jakmile zapnu (v /etc/config/wireless) encryption jine nez open, tak uz interface nenajede... coz je IMHO dusledek toho, ze nemam lib80211, ale pokud ti to funguje na ath10k i bez toho, tak to urcite pujde i nejak jinak... v zasade mi je jedno, jakou cestou se vydam, pouze chci mit na konci funkcni WPA2 AP a par 802.1q VLANu na ethernetu, jinak je mi vsechno burt.

TLOUDEV: no ta ath10k v praci chodi urcite i bez lib80211 podpory v jadre, ale mam obe jadra custom a ne nutne vsechno jako modul, takze ten vystup lsmod kdo vi co rekne a ted jsem stejne na intelu.
zkusil jsem ale ted pokusne v poslednim jadre 4.14 zapnout podporu ath9k (pci sbernici) a ten CONFIG_LIB80211 se stejne jako zavislost nezapne, takze to v tyhle verzi jadra zadnou lib80211 urcite nepotrebuje. /etc/config/wireless nemam, iwconfig muzu zkusit zitra v praci ale ta ath10k bude uplne jina

ADM: hmm... tak ted mi to uz bezi, ALE jakmile do /etc/config/wireless dam jinou encryption nez "open" tak mi iface nenabehne. coz je na hovno :-(
Tobe to i bez te lib80211 chodi? muzes mi poslat vystup z lsmod a iwconfig, popr. mirne cenzurovany /etc/config/wireless ? (opravdu me nezajima passphrase)
dik

TLOUDEV: tak to ani neznam, nicmene na intelu mam jadro s "# CONFIG_LIB80211 is not set", v praci mam ath10k, ale podle me tam to taky nemam

ADM: spis jesm si rikal, zda nejde uplne vyhodit lib80211, kdyz mame ruzny wpa_supplicanty a jine. otazka je, zda prave tahle knihovna neni klicova pro funkci. coz nevim, bo dle zjistenych zavislosti by vubec s driverem nemela souviset.

ADM: nemelk by... je to klasickej ath9k, firmware v buildu openwrt pro nej neni. navrch jsem ted stahnul nejakej stable branch (chaos calmer) a tam mi primo oopsuje kernel prave na ath9k driveru :-( mam toho po 3 dnech snahy tak akorat... fcuk!

TLOUDEV: nechce tenhle atheros nejaky firmware? ja to povazoval za spolehliveho vyrobce, ale co jsem musel s nejakym novym atherosem absolvovat tak zlaty intel

cau,
nainstaloval jsem na starou plecku rb133U3 Openwrt a mam s tim trocha problem:

[ 24.300000] ieee80211 phy0: Selected rate control algorithm 'minstrel_ht'
[ 24.316000] ieee80211 phy0: Atheros AR9280 Rev:2 mem=0xb1400000, irq=15
[ 24.336000] lib80211_crypt_tkip: Unknown symbol backport_crypto_alloc_skcipher (err 0)
[ 24.356000] lib80211_crypt_wep: Unknown symbol backport_crypto_alloc_skcipher (err 0)
[ 24.368000] lib80211_crypt_tkip: Unknown symbol backport_crypto_alloc_skcipher (err 0)
[ 24.380000] lib80211_crypt_wep: Unknown symbol backport_crypto_alloc_skcipher (err 0)
[ 35.640000] random: nonblocking pool is initialized

zkousel jsem rebuildit lib80211, ale zkratka nejdou modprobnout. kernel je prelozeny se symbols_enabled, ale jediny cryptomodul z lib90211 se nalouduje lib80211_crypt_ccmp

dalsi vec, co se deje: po nahozeni AP (byt bez sifrovani) se wireless interface wlan0 na chvili objevi a pak... zmizi. obcas jeste na vterinu znovu ozije a pak opet a natrvalo zmizi.

root@OpenWrt:/# wifi restart
root@OpenWrt:/# iwconfig
eth3 no wireless extensions.
lo no wireless extensions.
eth2 no wireless extensions.
eth1 no wireless extensions.
eth5 no wireless extensions.
eth0 no wireless extensions.
eth4 no wireless extensions.
root@OpenWrt:/# iwconfig
eth3 no wireless extensions.
lo no wireless extensions.
eth2 no wireless extensions.
eth1 no wireless extensions.
eth5 no wireless extensions.
wlan0 IEEE 802.11 Mode:Master Tx-Power=20 dBm
RTS thr:off Fragment thr:off
Power Management:off
eth0 no wireless extensions.
eth4 no wireless extensions.
root@OpenWrt:/# iwconfig
eth3 no wireless extensions.
lo no wireless extensions.
eth2 no wireless extensions.
eth1 no wireless extensions.
eth5 no wireless extensions.
eth0 no wireless extensions.
eth4 no wireless extensions.

netusite nekdo, cim je toto chovani zpusobeno? dle lsmod tam stale driver ath9k je naloadovany, mozna to souvisi prave s nemoznosti naloadovat tkip/wep moduly lib80211 (ale proc?!?)
dik za kazdy hint.