bude to nějaký nastavení u klienta, protože když trasuju z kienta tak je to lokální brána - remote IP tunelu - IP zařízení
když to vezmu z druhý strany tak skončím na remote IP tunelu

PISTA1: Koukni jeste do toho navodu neco ohledne proxy arp.. Myslim, ze i v nastaveni bridge..

ARKIN: jo podle toho to mám taky jen sem měl jako lokal a remote IP bran sítí, tak sem to přehodil na ty IP mimo a stav je pořád stejnej, prostě mrcha neběží :(

PISTA1: https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Site-to-Site_L2TP

PISTA1: k nicemu dalsimu se to nevztahuje..
ja to taky rozsah lokalniho networku (jako 192.168. nebo 10.), bral jsem to podle navodu.. asi je tam pouzite toto aby se to moc s nicim nemlatilo..
je mozne, ze to jde nastavit i jinak..

ARKIN: ty adresy 172.16.1.x jsou čistě náhodný nebo se k něčemu vztahujou?

PISTA1:
nastavoval jsem to myslim podle navodu na mikrotik wiki..
sit na serveru mam 192.168.213.0 u klienta mam 192.168.214.0 (taky na natem)

na serveru mam PPP secret:
add local-address=172.16.1.1 name=XXX password=YYY profile=vpn remote-address=172.16.1.2 routes="192.168.214.0/24 172.16.1.2 1" service=l2tp

u klienta se pripojuju pres usera XXX (PPP interface) a mam jeste manualni routu:
IP routes:
add distance=1 dst-address=192.168.213.0/24 gateway=*VPN PPP interface*
jinam tam mysim nic zasadniho u klienta nastavovat nemusis..


jeste by te mohlo zajimat "add default route" na mikrotiku, nebo nejak use default gateway (schovany silene v nastaveni IPv4 na win) - to dela, ze vsechen traffic jde pres tu vpn.. coz muze byt zadouci treba na win (myslim, ze se bez toho nedostanu na tu 192.168.214.0), ale u toho mikrotik klienta to primarne nepotrebujes jestli nechces mit vsechen traffic pres ten server..

tak sem rozjel 750 jako klienta za natem spojení navázaný. Z klienta se dostanu do celý svojí sítě v pohodě, ale ale od sebe se dostanu jenom na klienta, dál do sítě ne :(

Nastavení sem na 750 překopíroval ze svýho, takže pravidla jsou identický.

jakou VPN?
ted varim z vody ale DSCP ti nepomuze?
das mu adresu napevno a pak podle toho udelas firewall pravidlo ze DSCP mark a dst !IP_kterou_mu_chces_povolit drop.
akorat pokud mas hererogenni sit je vzdy lepsi markovat od konce. myslim ze default pro windows je DSCP=1 a pro Linux DSCP=0 (nebo naopak)

Kdyz jsme u toho, jak by jste omezili cloveka pripojeneho na VPN aby mohl jen na urcitou IP/port do vnitrni site?
Jde mi o to ze muzu cloveku pripojenem na VPN dat na pevno IP , ale jak to filtrovat?

ARKIN: Dík, nastavil sem to podle tebe a běží to :D

Tak teď ještě nastavit pevný spojení s druhým mikrotikem, to snad za 14 dnů do vánoc zvládnu :D

PISTA1: auth sha1 a enc aes-128. jinak to andoid v nativnim klientovi nezvladne

PISTA1: taky jsem s tim finalnim nastavenim docela bojoval.. ale muj problem byl myslim spis s iphonem..

kazdpadne to mam nejak takhle a jde mi to ze vseho..

/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=vpn enabled=yes ipsec-secret=xxx keepalive-timeout=15 use-ipsec=yes

/ppp profile
add bridge=bridge-local change-tcp-mss=yes local-address=192.168.xx.xx name=vpn remote-address=vpn

/ppp secret
add name=aaa password=bbb profile=vpn service=l2tp

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,3des

/ip ipsec peer
add address=0.0.0.0/0 dpd-maximum-failures=15 exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=xxx

Tak se mě podařilo rozchodit tunel l2tp+ipsec prozatím s bookem w10 jako klienta připojenýho přes mobil s wifi hotspotem. Nicméně když chci připojit přímo ten android tak skončím s chybou:
21:48:21 ipsec,error no suitable proposal found.
21:48:21 ipsec,error 192.168.2.145 failed to get valid proposal.
21:48:21 ipsec,error 192.168.2.145 failed to pre-process ph1 packet (side: 1, status 1).
21:48:21 ipsec,error 192.168.2.145 phase1 negotiation failed.

mám tam nastavený tohle, neví někdo co by mohlo bejt špatně? Dík

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 incoming-filter=rw-in local-address=\
192.168.2.254 name=VPN_profile remote-address=vpn_pool use-upnp=no \
wins-server=0.0.0.0
/ppp secret
add name=VPN password=xxx profile=VPN_profile service=l2tp

/ip ipsec policy group
add name=gr-VPN
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=1h name=prop-VPN \
pfs-group=modp4096
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1024 nat-traversal=no
add address=0.0.0.0/0 dh-group=modp2048 enc-algorithm=aes-256 exchange-mode=\
main-l2tp generate-policy=port-override passive=yes policy-template-group=\
gr-VPN secret=xxxx send-initial-contact=no
/ip ipsec policy
add group=gr-VPN proposal=prop-VPN template=yes

CHOROBA: nic neloguju ;-) (zatim..)
na ty RB133C3 je dost malo prostoru, rval jsem tam zatim pouze minimum veci. Ted si teprve zacnu vybirat sw kterej tam budu chtit (a tedy mozna nejaky rsyslogd)

:D tak tos ale musel videt v logu ne?

ADM: hele uz jsem na to prisel. Ja pouzival v /etc/config/wireless blbou option pro passphrase. pote, co jsem konecne odhalil, ze mam namisto passphrase= pouzit key= mi to uz jede. alespon jsem se naucil zatim konfigurovat hostapd :-) takze vsechno zly je k necemu dobry ;-)

TLOUDEV: to crypto bude spis poskytovat ten wpa_supplicant a lib80211 je nejaka uz obsolete vec kterou pouzivaji pouze urcity drivery ( CONFIG_LIB80211 je default N, a Drivers should select this themselves if needed.)

ADM: jasny, ja si to taky buildim od zakladu, ono pro RB133C3 zrovna moc hotovejch image neni (=zadna neni). nicmene ted jsem ve stavu, ze bez kryptovani uz se wlan0 drzi, ale jakmile zapnu (v /etc/config/wireless) encryption jine nez open, tak uz interface nenajede... coz je IMHO dusledek toho, ze nemam lib80211, ale pokud ti to funguje na ath10k i bez toho, tak to urcite pujde i nejak jinak... v zasade mi je jedno, jakou cestou se vydam, pouze chci mit na konci funkcni WPA2 AP a par 802.1q VLANu na ethernetu, jinak je mi vsechno burt.

TLOUDEV: no ta ath10k v praci chodi urcite i bez lib80211 podpory v jadre, ale mam obe jadra custom a ne nutne vsechno jako modul, takze ten vystup lsmod kdo vi co rekne a ted jsem stejne na intelu.
zkusil jsem ale ted pokusne v poslednim jadre 4.14 zapnout podporu ath9k (pci sbernici) a ten CONFIG_LIB80211 se stejne jako zavislost nezapne, takze to v tyhle verzi jadra zadnou lib80211 urcite nepotrebuje. /etc/config/wireless nemam, iwconfig muzu zkusit zitra v praci ale ta ath10k bude uplne jina