» »

Domači VPN

Domači VPN

1 2
3
»

OldSkul ::

En mikrotik na eni, en mikrotik pa na drugi strani. EOIP je neka njihova pogruntavščina.

mzakelj ::

OldSkul je izjavil:

En mikrotik na eni, en mikrotik pa na drugi strani. EOIP je neka njihova pogruntavščina.


Jap dela samo na Mikrotik OS. Ampak dela 100%.

moho ::

mzakelj je izjavil:

OldSkul je izjavil:

En mikrotik na eni, en mikrotik pa na drugi strani. EOIP je neka njihova pogruntavščina.


Jap dela samo na Mikrotik OS. Ampak dela 100%.

Sliši se komplicirano.
Potem je v praksi potrebno drugi Mikrotik žično povezati v tujini spet v ruter ali direktno na utp od podnudnika...Mikrotik potem deluje kot ruter doma?

Daniel ::

Ni komplicirano, če veš kaj delaš. Povej kakšen priklop na omrežje in hitrosti imaš na kateri strani povezave, pa ti bomo povedali kakšne so možnosti. Za EOIP je dobro, če imaš oba Mikrotika direktno na zunanjem IPju. V tem primeru je nastavitev stvar parih klikov v vmesniku. Priporoča se tudi uporaba IPSEC na EoIP in uporaba Mikrotika, ki ima hardwerski čip za IPSEC. Najceneje npr. Hap Ac2. Če katera naprava ni direktno na zunanjem IPju se zadeva malce zakomplicira, saj je potrebno najprej vzpostaviti npr L2TP povezavo med Mikrotikoma in potem na to povezavo dodaš še EOIP. Dela pa zadeva preverjeno odlično. Dejansko si jo lahko nastaviš tako, da imaš kakšen port na Mikrotiku in Wifi na oddaljeni lokaciji enako, kot, da bi napravo priklopil doma. Naprava ne ve, da si ti npr. pol sveta stran.

llc ::

Zakaj nihče ne omenja "navadnega" IPSEC-a (IKEv1/v2 + ESP)? Vgrajen "odjemalec" na vseh platformah. Pa dela dobro in hitro.
Res ne razumem tega forsiranja OpenVPN, wireguard in vseh mogočih drugih VPN-ov.

Daniel ::

Lahko pojasniš kakšen VPN je pravzaprav tole? PPtP, L2TP, SSTP, nekaj tretjega? Kako se to nastavi recimo na Android telefonu ali Mikrotiku? Nabiram nova znanja :)

Npr. tole mi ne izgleda ravno kaj bolj enostavno od EOIP.

Zgodovina sprememb…

  • spremenil: Daniel ()

SeMiNeSanja ::

llc je izjavil:

Zakaj nihče ne omenja "navadnega" IPSEC-a (IKEv1/v2 + ESP)? Vgrajen "odjemalec" na vseh platformah. Pa dela dobro in hitro.
Res ne razumem tega forsiranja OpenVPN, wireguard in vseh mogočih drugih VPN-ov.

1.) Ker je OpenVPN podprt na raznih xxxWRT alternativnih domačih usmerjevalnikih, medtem ko IPSec ni.
2.) Ker potrebuje zgolj 1 port in še ta je lahko 443/TCP - HTTPS port, ki je praktično povsod odprt (in nefiltriran za goste).
IPSec potrebuje več portov in neredko se zgodi, da se z njim ne moreš povezati ravno iz tega razloga.

Drugače, če npr. pogledam WatchGuard, ki podpira SSLVPN (OpenVPN združljiv), IKEv2, L2TP in klasični IPSec, je dejstvo, da je SSLVPN bolj enostaven za namestiti in vzdrževati - je pa performančno šibkejši (nima prave strojne podpore).
Če namestiš WatchGuard odjemalec namesto OpenVPN odjmalca, se bo tudi sam posodabljal, kakor tudi po potrebi obnavljal certifikate.
Vse to moraš pri drugih variantah delati ročno.
Če na IKEv2 zamenjaš certifikate, si moraš ročno prenesti kongiguracijsko skripto in jo zagnati, da se ti odjemalec posodobi. Žal je to že preveč znanosti za nekatere uporabnike....

Drugače pa je res, da danes priporočajo IKEv2, ki ima native odjemalce skoraj v vsakem operacijskem sistemu.

Pravi klasični IPSec odjemalci pa so že kar malo problem. Bolj kot ne, so zavili v komercialne vode in sploh ne vem, če se danes za Windows še dobi kakšen zares brezplačni IPSec odjemalec (ki je tudi redno posodabljan!). Verjetno se nikomur ne zdi vredno ubadati se s tem, če je tako in tako IKEv2 na voljo.

Wireguard pa jaz še nisem preizkusil. Slišal sem, da naj bi bil precej hiter in potreboval izredno malo resursov. Ampak se mi zdi, da je tu vpletenega tudi precej entuziazma nad novotarijami.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

starfotr ::

Jaz imam za firmo IPSec L2TP, pa dela čisto ok. Ne pogrešam ničesar drugega. Hiter je tudi, saj ima router IPSec čip noter, torej strojno pospeševanje.

Zaenkrat potrebe po drugih zadevah nimam.

steev ::

IPsec+l2tp ti vsk "domači" mikrotik router podpira. In je to to, seveda če je možnost s porti, itd. Sam še nisem imel primera, da se ne bi mogel povezati nanj. Največja neumnost je tcp over tcp delat, ker je vse skupaj prepočasi. Vpn pač mora it preko UDP.
:|

Daniel ::

Kolikor smo testirali EoIP ne dveh različnih koncih Slovenije in dveh različnih operaterjih zadeva deluje z 2x Hap Ac2 tam nekje okrog 100 Mbps+ z vključenim IpSec. Več pa trenutno redkokdo rabi za domačo rabo.

GupeM ::

Imam vprašanje glede OpenVPN. Pred časom sem imel sledečo zadevo:
Legenda:
Rn = Router n
Modem kot bridge
|__R1 - 192.168.1.1 //WAN port na modem imel je ISP-jev IP, odprt OpenVPN port za R2
   |__R2 z ip 192.168.50.1 //WAN port na R1. Na njem OpenVPN server
   |__ ...
   |__ ...

Zadeva mi je lepo funkcionirala. Če sem se povezal na OpenVPN server od zunaj, je ves internet traffic šel preko tega mojega OpenVPN serverja. Tudi do lokalnih 192.168.50.x sem lahko dostopal. Nisem pa prepričan, ali je bilo možno priti tudi do 192.168.1.1, ampak se mi zdi da ja.

Sedaj pa se je zadeva malo spremenila:
Modem/R5 - 192.168.0.1 //Zunanji IP od ISP-ja, odprt OpenVPN port za R1
|__R1 - 192.168.1.1 //WAN port na nov modem z IP 192.168.0.x, odprt OpenVPN port za R2
   |__R2 z ip 192.168.50.1 //WAN port na R1. Na njem OpenVPN server
   |__ ...
   |__ ...

Zdaj se na VPN server od zunaj lahko povežem, vendar internet traffic ne gre več preko VPN-ja. Lahko pa dostopam do 192.168.50.x, kar pa mi še vedno odlično dela. Kje bi lahko bila težava? Strukture omrežja ne morem spreminjati, lahko pa spreminjam konfiguracijo na vseh routerjih.

Kakšna ideja?

Daniel ::

Torej sedaj imaš dvojni NAT. Nekaj, čemur se je najbolje v velikem loku izogniti, če nočeš težav, kot jih opisuješ, ker VPN ni edina stvar, ki slabo dela v taki konfiguraciji.

GupeM ::

Se mi je zdelo, da bo dvojni NAT problem, ampak mi je pa čudno, ker vse ostalo lepo dela. Drugih težav res nisem opazil.

Pa še to: Na Modem/R5 sem nastavil R1 kot DMZ host. Sem mislil, da bo zadeva pomagala, ampak je problem ostal enak.

Pa še eno vprašanje imam. Vse skupaj je na kabelskem internetu (Telemach). Za dostop do kabelskega interneta ne potrebuješ usernamea in passworda, tako kot pri ADSL-u? Sem gledal zdaj na novem modemu, pa niso ti podatki nikjer vpisani. Enako niso bili prej, ko je bil nek Cisco modem, pa je R1 dobil ISP-jev IP.

PrimoZ_ ::

steev je izjavil:

IPsec+l2tp ti vsk "domači" mikrotik router podpira. In je to to, seveda če je možnost s porti, itd. Sam še nisem imel primera, da se ne bi mogel povezati nanj. Največja neumnost je tcp over tcp delat, ker je vse skupaj prepočasi. Vpn pač mora it preko UDP.


Za brskanje po netu, ssh in RDP ne opazim nobene razlike med IPsec VPN in OpenVNP preko https na portu 443.

moho ::

Daniel je izjavil:

Ni komplicirano, če veš kaj delaš. Povej kakšen priklop na omrežje in hitrosti imaš na kateri strani povezave, pa ti bomo povedali kakšne so možnosti. Za EOIP je dobro, če imaš oba Mikrotika direktno na zunanjem IPju. V tem primeru je nastavitev stvar parih klikov v vmesniku. Priporoča se tudi uporaba IPSEC na EoIP in uporaba Mikrotika, ki ima hardwerski čip za IPSEC. Najceneje npr. Hap Ac2. Če katera naprava ni direktno na zunanjem IPju se zadeva malce zakomplicira, saj je potrebno najprej vzpostaviti npr L2TP povezavo med Mikrotikoma in potem na to povezavo dodaš še EOIP. Dela pa zadeva preverjeno odlično. Dejansko si jo lahko nastaviš tako, da imaš kakšen port na Mikrotiku in Wifi na oddaljeni lokaciji enako, kot, da bi napravo priklopil doma. Naprava ne ve, da si ti npr. pol sveta stran.


A je kakšen priporočljiv MikroTik router, ki bi imel WiFi-6 in ostale stvari lepo delujoče, pa ne v profesionalnem cenovnem razponu, da ga nastavim doma, potem pa še enega za na pot?
Tisti, ki bo doma, mora biti zanesljiv v smislu preklopi in pozabi, ker mene ne bo. Za na pot, pa potem kaj majhnega, enostavnega, poceni, itd. V hotelih pa predvidevam to ne bo delovalo?

Gejspodar ::

moho je izjavil:

V hotelih pa predvidevam to ne bo delovalo?


Za hotele je bilo včasih v uporabi tole, vsaj s strani določenih oseb v industriji:
https://mikrotik.com/product/RBmAPL-2nD

Drugače pa ne kompliciraj z EOIP - doma postavi en WireGuard (na RPi, v virtualki, kjerkoli), pa samo generiraj QR kode/profile za vse svoje naprave.

Zadeva je hitra in deluje presenetljivo stabilno, četudi je vedno deležna pljuvanja skeptikov in sovražnikov "novega".

chort ::

Moho, jaz imam manjšo zamero do stabilnosti MikroTik wifi implementacije. Na treh različnih routerjih (rb2011, hapac, hapac2) mi periodično padajo povezave, zagotovo pri vsaki obnovitvi group keya, včasih pogosteje.
Tik je super kot router, a po mojih izkušnjah manj super kot AP. Dopuščam možnost, da sem idiot ;)
Disclaimer: trenutno meneđeriram 8 MT škatlic v raznih vlogah, moti me dejansko samo WiFi stabilnost, kjer bom verjetno zadeve reševal z Ubiquiti AP (trenutno mi jih laufa 12 komadov kot ptp link brez problemov že 4 leta)

Karen ::

Verjetno imaš kaj narobe nastavljeno. Mi jih imamo v službi 5 AP-jev, doma jih imam pa tudi 5, od tega sta dva v daisy-chainu (veriga od enega do drugega), pa mesh dela povsod bp (nič ne pada). Včasih kak firmware zahteva da narediš backup nastavitev, firmware update, pa potem naložiš nazaj (oz. pravi vrstni red nalaganja nastavitev nazaj). Ali pa je dejansko kje hw fail. NE poznam podrobno, drugi nastavljajo, vem pa da so neki heci lahko.

Daniel ::

chort je izjavil:

Moho, jaz imam manjšo zamero do stabilnosti MikroTik wifi implementacije. Na treh različnih routerjih (rb2011, hapac, hapac2) mi periodično padajo povezave, zagotovo pri vsaki obnovitvi group keya, včasih pogosteje.
Tik je super kot router, a po mojih izkušnjah manj super kot AP. Dopuščam možnost, da sem idiot ;)
Disclaimer: trenutno meneđeriram 8 MT škatlic v raznih vlogah, moti me dejansko samo WiFi stabilnost, kjer bom verjetno zadeve reševal z Ubiquiti AP (trenutno mi jih laufa 12 komadov kot ptp link brez problemov že 4 leta)


Imamo eno podobno situacijo. Jaz in kolega imava Hap AC2 oz. on že AC3 sedaj, pa obema dela vse ok, meni je tudi prej na 2011, dočim njegovi sosedi na HapAC2 pa konstantno WiFi pada dol zaradi Unicast key exchange timeout... Sicer imam občutek, da je težava v klientu in ne v samem Mikrotiku, ker niti factory reset zadeve ne popravi. Drugače pa se tudi jaz okrog dostopnih točk bolj nagibam v smer Ubiquiti.

seminal ::

Kateri hardwear za openvpn da bi podpiral hitrosti 600mb/s? Asus routerji zmorejo max 200. Mikrotik je tudi šibek glede tega.

igorpec ::

seminal je izjavil:

Mikrotik je tudi šibek glede tega.


Odvisno kateri. OpenVPN na RB4011:

iperf3 iz VPN klienta na server znotraj omrežja.

[  5]   1.00-2.00   sec  12.3 MBytes   103 Mbits/sec                  
[  5]   2.00-3.00   sec  12.2 MBytes   102 Mbits/sec                  
[  5]   3.00-4.00   sec  12.2 MBytes   102 Mbits/sec                  

Daniel ::

seminal je izjavil:

Kateri hardwear za openvpn da bi podpiral hitrosti 600mb/s? Asus routerji zmorejo max 200. Mikrotik je tudi šibek glede tega.


Za OpenVPN 600 Mbit bo kar težka. Wireguard je malo manj požrešen, pa tudi ne gre čez 120 Mbit na 4 jedrnem Mikrotiku, vsaj meni ni šlo.

mzakelj ::

Daniel je izjavil:

seminal je izjavil:

Kateri hardwear za openvpn da bi podpiral hitrosti 600mb/s? Asus routerji zmorejo max 200. Mikrotik je tudi šibek glede tega.


Za OpenVPN 600 Mbit bo kar težka. Wireguard je malo manj požrešen, pa tudi ne gre čez 120 Mbit na 4 jedrnem Mikrotiku, vsaj meni ni šlo.


Men je potegnilo giga čez RB4011 , na drugem koncu pa wireguard na linux strežniku.

Daniel ::

mzakelj je izjavil:

Daniel je izjavil:

seminal je izjavil:

Kateri hardwear za openvpn da bi podpiral hitrosti 600mb/s? Asus routerji zmorejo max 200. Mikrotik je tudi šibek glede tega.


Za OpenVPN 600 Mbit bo kar težka. Wireguard je malo manj požrešen, pa tudi ne gre čez 120 Mbit na 4 jedrnem Mikrotiku, vsaj meni ni šlo.


Men je potegnilo giga čez RB4011 , na drugem koncu pa wireguard na linux strežniku.


Mišljeno je, ko je Wireguard strežnik na Mikrotiku. Logično, da če leti direkt čez Mikrotik na kak boljši Intel/AMD CPU, da bo zadeva neprimerno boljša.

seminal ::

Torej edina rešitev je posebaj en mali pc za openvpn server? s spodobnim cpujem?

Daniel ::

seminal je izjavil:

Torej edina rešitev je posebaj en mali pc za openvpn server? s spodobnim cpujem?


A obstaja kakšen dober razlog, da rabiš 600 Mbit/s prenosa čez VPN. Imaš podjetje s 100 zaposlenimi, ki vsi naenkrat nekaj prenašajo?

Mogoče bi šel Wireguard kaj višje, ampak nimam možnosti testiranja, ker so tako hitri priključki redkost.

igorpec ::

seminal je izjavil:

Torej edina rešitev je posebaj en mali pc za openvpn server? s spodobnim cpujem?


Na prejšnem Mikrotiku (2011, kjer je CPU podhranjen) sem VPN terminiral z Nanopi Neo2 (Allwinner H5). Žal se ne spomnim kakšno brzino sem dosegal, bilo pa je dosti bolje kot na Mikrotiku. Če bi postavljal danes, bi naredil z kakšnim Orangepi One+ (Allwinner H6), Armbian, Wireguard je podprt out of the box. Z Rpi bi tudi šlo, ampak performance bi bile dosti slabše, ker nima strojne podpore za kriptiranje.

Daniel ::

Mikrotik je počasen, ker je imel zgolj podporo za TCP. V verzijo 7 so dodali UDP podporo in bi moral biti hitrejši, vendar zadeve še nisem testiral.
1 2
3
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mikrotik T-2 IPTV IGMP Proxy

Oddelek: Omrežja in internet
219608 (1250) Daniel
»

Kaj uporabit za remote dostop do domačega računalnika? (strani: 1 2 )

Oddelek: Pomoč in nasveti
998180 (5225) sbawe64
»

Kateri router za VPN ?

Oddelek: Pomoč in nasveti
474336 (3020) SeMiNeSanja
»

Ponudniki VPN za Android množično vohunijo (strani: 1 2 )

Oddelek: Novice / Zasebnost
6115487 (12456) roli
»

Kateri VPN za Android---domov?

Oddelek: Omrežja in internet
141361 (898) videc

Več podobnih tem