Mikrotik VPN oda-vissza

 ( cadmagician | 2019. január 20., vasárnap - 18:59 )

2 Mikrotik hex lite. Adott A és B telephely. Az A telephely l2tp/ipsec vpn-nel bent van a B telephelyen, A telephely(router) gépei szépen látják a B telephely gépeit. A B telephely gépei NEM LÁTJÁK az A telephely gépeit, DIREKT van így! Ám néha a B telephely mögül kéne látni az A telephely gépeit, ezért az adott gép l2tp/ipsec vpn kapcsolattal akarna bemenni az A telephelyre, de a kapcsolat nem jön létre. Ha az A telephely routerén bontjuk a kapcsolatot a B telephellyel, a B mögötti gépen FELÉPÜL a kapcsolat az A felé. Azt szeretném, hogy ne kelljen bontani az A-B kapcsolatot, akkor ha a B mögül egyvalaki be szeretne menni A-ra.
Köszönöm.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ilyen eszközeitek vannak https://mikrotik.com/product/RB750r2? Mert ebben még hardveres IPSec sincsen sajnos. A route/tűzfal szabályok rendben? Az IPSec-nél minden beállítás egyforma?

ez van igen. mire gondolsz ezzel a hw-s ipsec dologgal?
úgy godnolom rendben van, ha a világból akarok bemenni akkor működik. meg ha nincs A-B kapcsolat akkor is.

------------------------
Jézus reset téged

https://hu.vpnmentor.com/blog/vpn-ek-kueloenboezo-tipusai-es-hasznalatuk-indokoltsaga/ A hardveresen gyorsított IPSec sokkal kevésbé terheli a CPU-t. Pl: a laptop-oknál sem mindegy, hogy külön VGA chip dolgozik a grafikus megjelenítésen, vagy a CPU-ba intergrált VGA chip.

Ez a cikk egy tükörfordítás. Látszik hogy aki leforította, annak fogalma sem volt arról, amiről a cikk szólt. De legalább nem próbálta meg eltitkolni, hogy nem ő a szerző.

Hello,

A story a következő:
Ahhoz, hogy a B telephely gépe be tudjon ipsecelni A telephelyre, szüksége van ipsec passthrura. Amig a A-B telephely kapcsolat él addig ez exclusive-an azé a kapcsolaté.
Ilyen esetekben ajánlott inkább SSL alapú vpn ahol NAT mögül akar valaki VPN-t létesíteni.
Mikrotiknél az SSTP lesz a barátod.

Továbbá szerintem a megvalósítás megkérdőjelezhető, van ennél jobb megoldás szerintem.

Üdv,
Bálint

+1

+1
--
"Csak webfejlesztést ne..." -ismeretlen eredetű szállóige-

Én SSTP-t csak akkor alkalmaznék, ha nagyon muszáj (TCP meltdown miatt).

szerintem félreértés van. vagy te engem, vagy én téged. A-B kapcsolat él. B mögött a mobilom wifin(B-n megy ki) nem tud VPN-nen bemenni az A-ra. Ha lekapcsolom a wifit, akkor mobilneten be tud menni A-ra. teccikérteni? ha A-B kapcsolat kilőve, akkor B mögül is működik ugyanez a kapcsolat a telón.
------------------------
Jézus reset téged

Szerintem te nem érted. bálint23 leírta hogy a kulcsszó: ipsec passthru

Az a problémád, hogy gyakorlatilag 2 db L2TP/IPSec kapcsolatot akarsz felépíteni 2 db publikus IP cím között (mert a B mögötti NAT-olt gép gondolom nem 1:1 NAT-olva van).
Ha bármelyik oldalon más publikus IP cím lenne a kapcsolatnál, ez semmi problémát nem okozna. Ezért van az, hogy ha mobilnetre lépsz, akkor működik a dolog.

Ez egy ismert protokoll korlát, amelyre csak workaroundok vannak.
https://forum.mikrotik.com/viewtopic.php?t=127322
https://forum.mikrotik.com/viewtopic.php?t=132823

Ezért írtam lent, hogy én inkább másképp oldanám meg.

Hali,

Helyedben a két site között mikrotik IPIP over ipsecet alkalmaznék, nagyon egyszerű a configja ha friss a routerOS az eszközeiden. (Ha nem friss nagyon ajánlott a váltás, Winbox exploit miatt.)

IPIP nél létrejön egy l3 as interfész egyszerűen használható tűzfalazáshoz.

Roadwarriornak SSTP vagy OpenVPN. Mindnek van előnye/hátránya.

Üdv,
Bálint

Workaround ugyan, de én IPSec transport mode-ot használnék a két router között. Utána 1 db GRE tunnelt hoznák létre, amiben filtereznék vagy/és NAT-olnék, hogy B ne érje el A-t. Majd B-ben az adott gépen beállítanék egy PPTP tunnelt A felé, ami már nem korlátozott (a két router közötti IPSec miatt ez a tunnel úgyis titkosítva lesz).