TL-R600VPN nastavení L2TP

Routery, AP, switche, huby, ethernet

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Andr0yd 19. 6. 2018 18:31

Ahoj lidi,

mohl by mi nekdo pomoc s nastavenim VPN serveru L2TP? zaboha to nemuzu zprovoznit.

samozrejme verejnou ip adresu mam NAT 1:1.... poslu par obrazku, jak to mam nastavene.

Snad mi nekdo poradite... hadam ze se bude muset jeste neco nastavovat na firewallu, ale zatim me nic nenapada :roll:

Obrázek
Obrázek
Obrázek

Diky moc za pomoc
Andr0yd
Kolemjdoucí

Odeslat příspěvekod Nargon 19. 6. 2018 21:16

Problémem je "vlastnost" IPSecu v kombinaci s NAT 1:1. Jde o to že IPSec pro přenášená data vypočítá nějaký "hash" pro ověření že data došla v pořádku a cestou s nimi nebylo manipulováno. Na tom by nebylo nic špatného jenže problém je v tom že do těch dat je zahrnuta i hlavička paketu s IP adresami. Tedy pokud se na cestě změní IP adresy v paketu (například při průchodu NATem) tak je paket považován za poškozený a je automaticky zahozen, a finíto. Jenže když to NATem neprojde, tak se to nedostane na tvůj router a jsi ve stejné nefunkční situaci. Takže provozovat IPSec za NATem nelze, musíš mít na WAN rozhraní veřejnou IP adresu, neboť pakety tam musí přicházet s tvojí veřejnou IP v DestinationIP. To je nutná podmínka!

Řešení, které mám vyzkoušené a osobně ho provozuji je druhý NAT 1:1, který funguje reverzně k tomu co dělá poskytovatel a tedy tomu paketu vrací původní veřejnou IP adresu a až pak to je předáno VPN serveru. Následně už hash sedí a paket projde kontrolou.
Jenže jak to nastavit u tebe to bude oříšek. Na mikrotiku co mám já to jde celkem hravě. Tam jsou i dva NATy (dst-nat a src-nat), kdy jeden nat se na paket aplikuje ihned po přijetí paketu nějakým interfacem, a ten druhý se na paket aplikuje těsně před tím než je paket odesílán ven. Takže tam s tím nebyl problém. Ale u tebe nevím, čistě teoreticky by mohl fungovat One-to-one NAT, který je v manuálu s nastavením:
OriginalIP: 192.168.200.200 (tj ta IP adresa, kterou máš na WAN rozhraní routeru)
TranslatedIP: 50.51.52.53 (tj tvoje reálná veřejná IP adresa)
PLUS je asi potřeba aby jsi nastavil tu adresu 50.51.52.53 na nějaký interface routeru, to je z důvodu, aby po tom překladu NATem router ten paket neodeslal někam do sítě, ale poznal že ta cílová IP je taky jeho a paket si ponechal a předal ho interně VPN serveru.
Jenže podle manuálu přesně tohle nejde nastavit. Ani OriginalIP a ani TranslatedIP nesmí být IP adresa nějakého interface toho routeru. Což je přesně to co by jsi potřeboval udělat. Holt výrobce ví nejlépe co zákazník potřebuje a takovéto nesmyslné nastavení mu nepovolí. To je častý jev routerů pro běžné uživatele, kdy něco nejde nastavit protože výrobce ví lépe než ty co potřebuješ.

Jediné řešení tedy vidím v koupi dalšího routeru, který zapojíš mezi tvůj router a tvého poskytovatele a nastavíš ho, aby fungoval jako "reverzní NAT 1:1" k tomu co dělá poskytovatel. Tj pokud použiju můj příklad adres výše. tak na jeho WAN připojíš kabel od poskytovatele a dáš mu WAN ip 192.168.200.200 od poskytovatele. Na jeho LAN dáš IP 50.51.52.54 (tj síť 50.51.52.52/30 tj maska 255.255.255.252) a připojíš ho kabelem do WAN tvého současného routeru. A budeš provádět NAT mezi 192.168.200.200 a 50.51.52.53. Pak tvému současnému routeru dáš na WAN IP adresu 50.51.52.53, masku 255.255.255.252, bránu 50.51.52.54.
Tím by bylo hotovo. Router s VPN bude mít veřejnou IP na WAN rozhraní a L2TP/IPSec začne fungovat jak má. Jen při výběru routeru dávej dobrý pozor, aby jsi opět nenarazil na kus, kde výrobce ví nejlépe co potřebuješ a nedovolí ti na LAN rozhraní zadat IP adresu z veřejného rozsahu tj tu 50.51.52.54 z mého přikladu.

Uff, to je elaborát, ikdyž v principu je to nastavení velice snadné. Musíš udělat reverzní NAT 1:1 a paketu vrátit původní veřejnou IP adresu. Ikdyž praktická realizace už bývá těžší.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod Kledr 20. 6. 2018 07:20

Co to je za blud ze ipsec nefunguje pres NAT? Rika vam neco pojem NAT-T? Ten dlouhy elaborat je plny bludu, nepresnosti a hlavne zbytecnych komplikaci.
Kledr
Junior
Uživatelský avatar

Odeslat příspěvekod Nargon 20. 6. 2018 09:28

NAT-T znám, ale vycházím z osobní zkušenosti. V době co jsem to u sebe nastavoval tak jsem experimentoval i s NAT-T, ale k funkčnímu řešení jsem se nedostal ani po zapnutí NAT-T. Nevím zda to je nějakou chybou v mikrotiku nebo nějakou chybou ve windows, ze kterého jsem to testoval, nebo něčím jiným, ale funkční VPN spojení jsem nenavázal.
Neříkám že to co jsem udělal a co zde popisuji je elegantní řešení, ale v mém případě bylo jediné funkční.

Pokud máš lepší, elegantnější a nebo jednodušší řešení, tak sem s ním, rád se přiučím.
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor

Odeslat příspěvekod Andr0yd 20. 6. 2018 12:09

tak ted babo rad.... pujde to nebo ne ? :-) kazdopadne to muzu jeste do tydne vratit. Takze potrebuju to nejak rozlousknout. Nargo muzes prosim poradit. Popripade posles mi presny nazec MIKROTIKU, ktery puzivas abyc to mohl rozchodit... dalsi zarine se mi nechce davat...
Andr0yd
Kolemjdoucí

Odeslat příspěvekod Nargon 20. 6. 2018 13:47

Budu se tošku opakovat s tím co jsem ti posílal do PM.
Tak v dnešní době bych si koupil asi jeden z těchto mikrotiků:
https://www.i4wifi.cz/MikroTik-RouterBo ... SD-L4.html https://www.i4wifi.cz/MikroTik-RouterBo ... FP-L4.html
Ten druhý má navíc SFP port pro optiku. Co se funkčnosti týče tak je to stejné, u mikrotiku je vše řešeno softwarem v CPU, takže v každém mikrotiku máš "všechny" možnosti. Liší se to jen výkonem CPU, a tedy tím kolik toho najednou zvládne.
Ale mám jedno velké upozornění. Mikrotik není vhodný pro neznalé! Nějaké základní nastavení pro zabezpečení základní komunikace lze udělat přes Quickset a to zvládne snad každý, ale jakékoliv pokročilejší nastavení, jako třeba ta VPNka znamená že uživatel musí mít znalosti a vědět co je potřeba nastavit. A taky to musí nastavit, v případě mikrotiku to je nastavování v několika různých položkách menu odhadem asi v 6ti, když k tomu přidám to nastavení reverzního NATu co jsem popisoval, tak to bude asi tak 10 položek v menu.
Asi nebude na škodu, když se podíváš na demo webového rozhraní, protože jen z toho množství položek se leckomu podlomí kolena:
http://demo.mt.lv/
http://demo2.mt.lv/
Desktop: Ryzen 7 1800X (3.95GHz, 1.35V), Asus Crosshair VI Hero, 16GB DDR4 Ram (3200MHz), 128GB SSD + 3TB HDD, Nvidia GTX 1080
Notebook: Asus UL50VT 15.6" (SU7300@1.7GHz, 4GB ram, 500GB HDD, Intel GMA 4500MHD + nVidia G210M, dlouha vydrz cca 7+ hod)
Nargon
Moderátor


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků

cron