Mikrotik VPN oda-vissza

Hálózatok általános

2 Mikrotik hex lite. Adott A és B telephely. Az A telephely l2tp/ipsec vpn-nel bent van a B telephelyen, A telephely(router) gépei szépen látják a B telephely gépeit.A B telephely gépei NEM LÁTJÁK az A telephely gépeit, DIREKT van így! Ám néha a B telephely mögül kéne látni az A telephely gépeit, ezért az adott gép l2tp/ipsec vpn kapcsolattal akarna bemenni az A telephelyre, de a kapcsolat nem jön létre. Ha az A telephely routerén bontjuk a kapcsolatot a B telephellyel, a B mögötti gépen FELÉPÜL a kapcsolat az A felé. Azt szeretném, hogy ne kelljen bontani az A-B kapcsolatot, akkor ha a B mögül egyvalaki be szeretne menni A-ra.
Köszönöm.

  • 2854 megtekintés

https://hu.vpnmentor.com/blog/vpn-ek-kueloenboezo-tipusai-es-hasznalatuk-indokoltsaga/ A hardveresen gyorsított IPSec sokkal kevésbé terheli a CPU-t. Pl: a laptop-oknál sem mindegy, hogy külön VGA chip dolgozik a grafikus megjelenítésen, vagy a CPU-ba intergrált VGA chip.

( balint23 | 2019. 01. 21., h – 12:54 )

Hello,

A story a következő:
Ahhoz, hogy a B telephely gépe be tudjon ipsecelni A telephelyre, szüksége van ipsec passthrura. Amig a A-B telephely kapcsolat él addig ez exclusive-an azé a kapcsolaté.
Ilyen esetekben ajánlott inkább SSL alapú vpn ahol NAT mögül akar valaki VPN-t létesíteni.
Mikrotiknél az SSTP lesz a barátod.

Továbbá szerintem a megvalósítás megkérdőjelezhető, van ennél jobb megoldás szerintem.

Üdv,
Bálint

szerintem félreértés van. vagy te engem, vagy én téged. A-B kapcsolat él. B mögött a mobilom wifin(B-n megy ki) nem tud VPN-nen bemenni az A-ra. Ha lekapcsolom a wifit, akkor mobilneten be tud menni A-ra. teccikérteni? ha A-B kapcsolat kilőve, akkor B mögül is működik ugyanez a kapcsolat a telón.
------------------------
Jézus reset téged

Az a problémád, hogy gyakorlatilag 2 db L2TP/IPSec kapcsolatot akarsz felépíteni 2 db publikus IP cím között (mert a B mögötti NAT-olt gép gondolom nem 1:1 NAT-olva van).
Ha bármelyik oldalon más publikus IP cím lenne a kapcsolatnál, ez semmi problémát nem okozna. Ezért van az, hogy ha mobilnetre lépsz, akkor működik a dolog.

Ez egy ismert protokoll korlát, amelyre csak workaroundok vannak.
https://forum.mikrotik.com/viewtopic.php?t=127322
https://forum.mikrotik.com/viewtopic.php?t=132823

Ezért írtam lent, hogy én inkább másképp oldanám meg.

Hali,

Helyedben a két site között mikrotik IPIP over ipsecet alkalmaznék, nagyon egyszerű a configja ha friss a routerOS az eszközeiden. (Ha nem friss nagyon ajánlott a váltás, Winbox exploit miatt.)

IPIP nél létrejön egy l3 as interfész egyszerűen használható tűzfalazáshoz.

Roadwarriornak SSTP vagy OpenVPN. Mindnek van előnye/hátránya.

Üdv,
Bálint

( answ | 2019. 01. 21., h – 14:07 )

Workaround ugyan, de én IPSec transport mode-ot használnék a két router között. Utána 1 db GRE tunnelt hoznák létre, amiben filtereznék vagy/és NAT-olnék, hogy B ne érje el A-t. Majd B-ben az adott gépen beállítanék egy PPTP tunnelt A felé, ami már nem korlátozott (a két router közötti IPSec miatt ez a tunnel úgyis titkosítva lesz).