Организация VPN через USB 4G/LTE модем.Советы, мнения.

[REX]

Доброе время суток Уважаемые!
В настоящий момент собрана и на мой взгляд исправно функционирует вот такая схема. В виду не скорого, но гарантированного ухода из "Помещение 1", но с остающимся "Помещением 2", возникла необходимость альтернативного удалённого доступа к оборудованию, видеонаблюдению, мониторинга и получению различных тревожных сообщений, ну и возможного резервного канала при неисправности/повреждении основного.
В нашем регионе(РФ), получить "белый", хоть статический, хоть динамический IP у мобильного оператора для физ.лица невозможно, Р2Р конечно вариант, но тоже так себе, да и относится это большей частью к видеонаблюдению. Для таких задач, организация VPN пожалуй самый лучший вариант, и в моём данном случае(умениях и знаниях) на коммерческих условиях.
Нашёл предложение, вполне не дорогое, порядка 60-150 руб/месяц(зависит от скорости). Т.е. я на роутере поднимаю клиента, мне предоставляется статический IP и 100 портов из диапазона, это что бы пробросить порты на моё оборудование. Есть также возможность выбрать протокол из PPTP, L2TP и L2TP/IPsec. Почитал про плюсы и минусы каждого, но вот определиться не могу....Этот сервис предоставляет только это, собственно в инет через модем ходить буду по "серому" IP мобильного оператора, траффик в обоих случаях из тарифного плана. Да и как бы инет в "Помещении 2" особо не нужен, нужен доступ к оборудованию и т.д. (выше сказал), но он нужен для отправки "тревожных" фото с камер, сообщения в телегу и т.д.
USB 4G/LTE модем Huawei 3372h-153 с модифицированной прошивкой(NAT, DHCP и т.д.). LTE интерфейс на Mikrotik поднимается. При падении основного канала, предполагается поднимать LTE и иметь аналогичный уровень доступа, как и по основному каналу.
Внимательно выслушаю Ваше мнение, замечания,советы, критику :)

[gmx]

В чем вопрос-то??? Какой vpn выбрать???

Pptp всё-таки устарел,
L2tp - золотая середина

Все остальное - настраивать сложнее

[REX]

В чем вопрос-то??? Какой vpn выбрать???

В общем да :) как и концепция решения вопроса.L2TP не имеет шифрования, с другой стороны, а нужно ли оно мне? Если прикрутить к L2TP IPsec, траффик станет значительно тяжелее, насколько я понял из различных источников.... в общем пока есть время подумать, но в принципе, можно потом и перейти с соответствующей настройкой на другой протокол. Предлагаемый сервисом VPN выбор протоколов небольшой, всего 3 и для частного, личного использования наверное попробую сначала PPTP, потренируюсь так сказать :)

Хорошо, вот конкретный вопрос, он больше имеет отношение к модему. DHCP модема можно настроить так, что он выдаст единственный IP, причём из той сети, что и LAN у меня сейчас. Нужно ли так делать, да/нет-почему? :)
Проброс портов, где предпочтительнее делать, на Mikrotik или на модеме? или и там и там нужно будет делать? двойной NAT так сказать...
Ещё вопрос: Допустим, у меня единственный существующий канал, организованный через USB модем (основной выключен/неисправен). Автоматического переключение по условию тоже отключено. Как я могу удалённо "постучаться",пингом там или звонком, что бы скриптом или как-то иначе поднять интерфейс? где-то читал, что даже фишка такая есть вроде у Mikrotik, но найти не могу....

[gmx]

По поводу шифрования: надо четко понимать, что если действительно нужно шифрование и данные секретные, то микротик тук не поможет - это только криптошлюзы с сертификатами ФСТЕК.
Если шифрование нужно по принципу "чтобы было", толку от него нет и pptp точно хватит.
Я бы не стал заморачиваться по этому поводу.

Пробросы портов нужно делать только на стороне сервера.
Что касается модема, то не особо подскажу, к моему стыду, ни разу не подключал к микротику 4g модем. Устройства со встроенным модемом держал в руках и настраивал, но там все просто - есть отдельный специальный интерфейс.
В целом и в общем, есть две (чаще всего, но их больше) реализации работы модемов: HiLink - это когда модем полноценный роутер и у него есть DHCP, со всеми настройками и есть вариант NDIS, когда всем рулит основной роутер (в нашем случае микротик), грубо говоря, IP адрес, который вам выдал провайдер будет непосредственно у вас на соответствующем интерфейсе в микротике. Поэтому дальнейшие ваши настройки зависят от режима работы модема.

[REX]

Да, пожалуй мне PPTP будет вполне достаточно, ничего секретно-интимного у меня нет.

У меня модем именно с прошивкой HiLink, как-то упустил это сразу сказать,это в самом деле важно, упустил :( т.е. модем, это фактически роутер со всеми атрибутами, DHCP,NAT и т.д. Сервис VPN выдаёт мне статический IP WAN + пул из 100 портов. К примеру, я настраиваю модем так, что-бы DHCP модема выдавал мне единственный IP из существующей сети LAN на интерфейс, а затем NATирую на модеме IP WAN Port в IP LAN Port. И соответственно на приборы в сети(LAN) я захожу по этой схеме. Также, мне не нужно делать второго NATирования уже на Mikrotik. Или я неправильно рассуждаю? :)

В продолжение "постучаться" :) Допустим, интерфейс LTE выключен, но модем включен, как извне , по IP WAN поднять интерфейс....если такое возможно :) или как-то иначе "оживить" снаружи :)

[gmx]

Я что-то не совсем понимаю, что за сервис VPN и зачем он вам, если у вас есть микротик?
Что вы вообще пытаетесь делать??? Вы расскажите по подробнее, может чего еще посоветуем.

Что касается двойного нат, то тут ситуация не совсем однозначная. Вроде бы всегда хочется избежать двойного нат, но тогда вы сильно теряете в функциональности. А хотелось бы, чтобы всем рулил микротик, а не модем. Функционал не сравним. Поэтому в данном случае двойной нат мне кажется более правильным (ну и модем можно попробовать перепрошить в NDIS).

Оживить снаружи отключенный интерфейс, через который и нужно его оживить, невозможно. Это только другой канал...

[REX]

Я что-то не совсем понимаю, что за сервис VPN и зачем он вам, если у вас есть микротик?
Что вы вообще пытаетесь делать??? Вы расскажите по подробнее, может чего еще посоветуем.

Сервис VPN мне нужен потому что, мобильный оператор, а именно через него я посредством USB 4G/LTE модем организовываю резервный канал, но не исключительно для интернета, а и для доступа к оборудованию и при "сером" IP сделать это невозможно. "Белый" стат. или динам. IP для физ.лиц не выдаёт, по крайней мере в моём регионе это так.
Старался ещё в первом сообщения как можно подробнее озвучить задачу :) там и схемка есть :)
Вполне возможен вариант, когда на какое то время у меня вообще останется только резервный единственным каналом.
Микротик у меня стоит в "Помещении 2", которое остаётся, проводного инета, как такового там нет, сейчас есть только посредством WiFi моста из "Помещения 1", которое гарантированно нужно будет освободить :) Теоретически, да и думаю в этом направлении тоже, можно оставить собственно договор с провайдером("белый "IP), завести WAN прямо на мост (AP)это единственное,что останется на кровле "Помещения 1", по питанию опять же, или с провайдером решать или от соседей/знакомых запитаться(PoE). NATирование сделать на АР
Относительно двойного NATирования. Т.к. предполагается иметь доступ к оборудованию, в том числе и к Микротик, то NAT на Микротик можно сделать и удалённо, я фактически сейчас работаю при необходимости с ним удалённо :) Разумеется, функционалы не сравнимы, но модем вполне я думаю справится с NAT, ведь даже VPN клиента можно поднять на модеме, но это уже слишком для него :)

[REX]

Продолжение.... Подключился к сервису VPN, не знаю, можно ли ссылку давать, пока воздержусь, возможно более знающие поправят
В двух словах о сервисе: сервис предоставляет "белый" IP на сетях 3G/4G (впрочем работает и на "проводном инете", проверял)), трафик тарифицируется только оператором доступа в интернет, есть варианты выбора скорости(ценник отличается). Т.к. намеренно сделал отдельный канал доступа через LTE (USB-модем), то и выбрал невысокую скорость, всё оборудование относительно LTE находится в помещении(в том числе и панельная антенна), условия приёма не самые лучшие, соответственно и скорость.
Сделал статический маршрут к сервису через LTE, пробросил порты девайсов, которые в сети mikrotik, всё вроде работает, но есть непонятка в виде того, что не получается получить доступ по http к модему. Сам модем (Hilink) тоже роутер, и если девайсы в одной сети с mikrotik, то модем в другой сети, как сам шлюз, так и IP, который по DHCP назначается в mikrotik.
Из терминала модем пингуется.... сориентируйте пожалуйста по ситуации

[gmx]

Проверьте ip-routes. У вас должен быть маршрут в для подсети модема в сторону интерфейса lte.
Если его нет, добавьте вручную...

[REX]

gmx. не совсем понимаю, о каком маршруте Вы говорите....

должен быть маршрут в для подсети модема в сторону интерфейса lte.

есть сеть mikrotik(a) 192.168.0.0/24, есть сеть модема 192.168.51.0/24
По DHCP модема, mirotik(y) назначается 192.168.51.90, шлюз при этом 192.168.51.83
Я прописал вручную статический маршрут, что бы "ходить" в vpn сервис: IP сервиса-> IP шлюза модема(192.168.51.83).Если его не прописать вручную, в сервис я ходить буду по проводному инету. Ок, в сервис хожу через LTE, мне так и надо. Поднял клиента VPN(PPTP) на mikrotik(e),пробросил порты на приборы сети mikrotik(192.168.0.0/24, всё хорошо.
Не получается получить доступ к самому модему, он в другой сети.
Я Вам в личку написал ссылочку относительно настройки mikrotik с сайта этого сервиса, просто незнаю, можно ли здесь это писать....