CHR, VPS\VDS, VPN l2t+ipsek настройка и проблемы

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
mitsu13
Сообщения: 20
Зарегистрирован: 05 ноя 2018, 20:58

Может кому пригодится. Но на данный момент я уперся. И нужна помощь.

Изображение

1.Находим сервер KVM с прямыми IP адресами на интерфейсе (много у кого в алиасе или еще через какие-то правила)
Покупаем. Настраиваем на базе Centos 6.
Далее предустановка системы. По установке ничего сложного, когда делаешь это 10 раз.
Заходим под рутом через vnc или внутренний терминал.

2.скачиваем и развертываем.
wget https://download.mikrotik.com/routeros/ ... .4.img.zip
echo u > /proc/sysrq-trigger && gunzip -c chr-6.43.4.img.zip | dd of=/dev/vda
reboot

3.Если все хорошо, то появится приветствие для авторизации.
Если появится ошибка, то что - то пошло не так. Так как перебирал разные сервисы, с разной ценой, то не у всех все так хорошо.

4. Авторизируемся под admin без пароля.
Первым делом ставим пароль для авторизации. Когда вы пропишете IP адрес на сетевой интерфейс, то к вам сразу начнут пытаться подключиться по telnet и ssh.

/user set admin password=PassWord$

По умолчанию ssh и ftp под этим пользователем. Так что, обязательно, в первую очередь меняем пароль.

Прописываем Ip адрес на интерфейс ether1

/ip address add address=185.224.247.21/22 interface=ether1

Прописываем шлюз.

/ip route add gateway=185.224.246.1

Проверяем ping 8.8.8.8

Должно все идти.

/ip dns set servers-8.8.8.8

Подключаем DNS

Маленькая защита от подбора пароля по telnet ssh ftp

Правила не мои, но работают.

/ip firewall filter

add action=drop chain=input comment="SSH drop" dst-port=22 protocol=tcp src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input \

connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=\

new dst-port=22 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=\

new dst-port=22 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=\

new dst-port=22 protocol=tcp

add action=drop chain=input comment=telnet_drop dst-port=23 protocol=tcp src-address-list=telnet_blacklist

add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1w3d chain=input \

connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage3

add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input \

connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage2

add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input \

connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage1

add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input \

connection-state=new dst-port=23 protocol=tcp

add action=drop chain=input comment="ftp drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=\

ftp_blacklist

add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,4,dst-address/1m protocol=tcp

add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content=\

"530 Login incorrect" protocol=tcp

Далее, на всякий случай, сохраняем конфигурацию для восстановления, если что - то пойдет не так

/system backup save name=05112018_135

Далее VPN l2tp ipsec

Тут уже буду делать через winbox.

1.Создаем ip pool.
ip pool add name=vpn_pool ranges=172.16.3.100-172.16.3.200

2.Создаем ppp профиль
ppp profile add name=vpn_profile local-address=172.16.3.1 remote-address=vpn_pool

3. Настраиваем Secret
ppp secret add name=vpn_mag4 password=PassWord123 service=l2tp profile=vpn_profile local-address=172.16.3.1 remote-address=172.16.3.10

4. Активируем l2tp server
/interface l2tp-server server set authentication=mschap2 enabled=yes ipsec-secret=PassWord123 use-ipsec=yes

сохраняем конфигурацию
/system backup save name=05112018_1411

Теперь идем на mag4

/interface l2tp-client add connect-to=185.224.247.21 disabled=no ipsev-secret=PassWord123 name=vpn_mag4 password=PassWord123 use-ipsec=yes user=vpn_mag4

Чтоб сети видели между собой

На Сервере

/ip route add distance=1 dst-address=192.168.10.0/24 gateway=172.16.3.10

Тепень микротик 21 видит сеть 192.168.10.0

Компьютеры из сети 192.168.10.0 видят компьютеры 172.16.3.0

system backup save name=05112018_1502

теперь то, что не получается:

1. От mag4 завернуть весь трафик через VPN.?
2. От mag1,2,3 завернуть весь трафик, кроме 10 подсети.?
3. Перенаправить порт для сервисов.?
4. Что лучше и безопаснее? Пробросить порт RDP, или сделать отдельную учетную запись VPN для компьютеров сотрудников (работа из дома).

Если делать проброс RDP, то это:

/ip firewall nat add action=dst-nat chain=dstnat comment=test dst-address=185.224.247.21 dst-port=61001 protocol=tcp to-addresses=172.16.2.19 to-ports=3389

Для почтового сервера 80,443,:

/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-address=185.224.247.21 dst-port=80 in-interface=inetTest protocol=tcp to-addresses=172.16.2.10 to-ports=80
add action=dst-nat chain=dstnat comment=test dst-address=185.224.247.21 dst-port=443 in-interface=inetTest protocol=tcp to-addresses=172.16.2.10 to-ports=443

про 25 и остальные еще не надумал как.

Конфигурация выделенного сервера:
 Конфигурация выделенного сервера:
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=vpn_pool ranges=172.16.3.100-172.16.3.200
/ppp profile
add local-address=172.16.3.1 name=vpn_profile remote-address=vpn_pool
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=PassWord123 use-ipsec=yes
/ip address
add address=185.224.247.21/22 interface=ether1 network=185.224.246.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=drop chain=input comment="SSH drop" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment=telnet_drop dst-port=23 protocol=tcp src-address-list=telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=23 protocol=tcp \
src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp \
src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp \
src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp
add action=drop chain=input comment="ftp drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,4,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
/ip route
add distance=1 gateway=185.224.246.1
add distance=1 dst-address=192.168.10.0/24 gateway=172.16.3.10
/ppp secret
add local-address=172.16.3.1 name=vpn4 password=PassWord123 profile=vpn_profile remote-address=172.16.3.10 service=l2tp
/system identity
set name=CHR


mitsu13
Сообщения: 20
Зарегистрирован: 05 ноя 2018, 20:58

Из нового:
Решил разбивать задачу на части.
1. Создал пользователя ipsec vpn в роутере.
2. Подключился с Windows клиента. Ipsec грузит процессор но работает.
В настройках указал пароль для Ipsec. По умолчанию он не спросил ничего.
3. Компьютер видит ip сервер сети но не выходит через него.
ping 172.16.3.1 пингуется.
ping 8.8.8.8 не пингуется.

Прописал нат для сети.
/ip firewall nat add action=masquerade chain=srcnat src-address=172.16.3.0/24

пинг пошел, из сети наружу.
При тесте скорости загрузка процессора виртуальной машины подлетает до 60%. При том что одно ядро и 2700mghz.


Задачи которые в процессе:
1.VPN на роутере подключается но трафик не заворачивается. Надо завернуть весь трафик в VPN.
ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.3.11 routing-mark=tst scope=30 target-scope=10
ip firewall mangle add action=mark-routing chain=prerouting disabled=no new-routing-mark=tst passthrough=yes src-address=192.168.10.23

пинг хороший 5-10мс.
но Браузер как будто тормозит
Тесты скорости почему-то вываливаются с ошибками и с диким пингом.


PING forummikrotik.ru (217.107.219.12): 56 data bytes
64 bytes from 217.107.219.12: icmp_seq=0 ttl=56 time=5.106 ms
64 bytes from 217.107.219.12: icmp_seq=1 ttl=56 time=4.690 ms
64 bytes from 217.107.219.12: icmp_seq=2 ttl=56 time=4.709 ms
64 bytes from 217.107.219.12: icmp_seq=3 ttl=56 time=4.609 ms
64 bytes from 217.107.219.12: icmp_seq=4 ttl=56 time=4.512 ms
64 bytes from 217.107.219.12: icmp_seq=5 ttl=56 time=4.654 ms

raceroute to forummikrotik.ru (217.107.219.12), 64 hops max, 52 byte packets
1 router.lan (192.168.10.10) 1.346 ms 0.650 ms 0.787 ms
2 172.16.3.1 (172.16.3.1) 4.010 ms 3.465 ms 3.470 ms
3 gw.infra.ds.melbicom.net (213.183.48.1) 4.015 ms * 3.986 ms
4 185.131.64.113 (185.131.64.113) 3.852 ms 4.072 ms 3.863 ms
5 82.138.2.153 (82.138.2.153) 8.238 ms 6.981 ms 7.848 ms
6 188.254.60.169 (188.254.60.169) 4.909 ms 7.860 ms 4.924 ms
7 213.59.211.245 (213.59.211.245) 4.565 ms 4.624 ms
213.59.212.231 (213.59.212.231) 6.512 ms
8 188.254.8.154 (188.254.8.154) 4.719 ms 4.440 ms 4.473 ms
9 msk-bgw1-xe-1-3-0-0.rt-comm.ru (217.106.0.14) 4.618 ms 4.533 ms
msk-bgw1-xe-0-2-0-0.rt-comm.ru (217.106.6.166) 5.041 ms
10 srv192-vps-st.jino.ru (217.107.219.12) 5.007 ms !Z 4.801 ms !Z 4.695 ms !Z

2. Заворачивать Весь трафик кроме 10 подсети. (подсеть провайдера)
3. По списку 1-2 правило. Остальное через обычное подключение в wan.


Ответить