Mikrotik
рабочие лошадки для SOHO и не только.
- healer
- Сообщения: 6872
- Зарегистрирован: 19 ноя 2011, 06:35
- Благодарил (а): 4 раза
- Поблагодарили: 16 раз
- Контактная информация:
Re: Mikrotik
В продолжении темы.
Задался решением следующего вопроса: Имеется "домашняя" и "рабочая" сети между которыми поднят OpenVPN туннель.
На домашнем роутере поднят сервер на рабочем клиент.
Собственно хочу все обращения во всемирную паутину с рабочего роутера пропускать через VPN туннель до домашнего и далее.
Гугление по данному вопросу решения так и не дало.
Может кто чего подскажет
Задался решением следующего вопроса: Имеется "домашняя" и "рабочая" сети между которыми поднят OpenVPN туннель.
На домашнем роутере поднят сервер на рабочем клиент.
Собственно хочу все обращения во всемирную паутину с рабочего роутера пропускать через VPN туннель до домашнего и далее.
Гугление по данному вопросу решения так и не дало.
Может кто чего подскажет
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
- TheBest
- Сообщения: 13222
- Зарегистрирован: 08 фев 2005, 14:36
- Благодарил (а): 11 раз
- Поблагодарили: 8 раз
Re: Mikrotik
На работе на компе дефолтным роутером прописан Микротик.
На нём прописать маршруты для всех рабочих сетей, а для всего остального домашний Микротик.
Так не получится?
На нём прописать маршруты для всех рабочих сетей, а для всего остального домашний Микротик.
Так не получится?
- healer
- Сообщения: 6872
- Зарегистрирован: 19 ноя 2011, 06:35
- Благодарил (а): 4 раза
- Поблагодарили: 16 раз
- Контактная информация:
Re: Mikrotik
НЕ получается.TheBest писал(а):На работе на компе дефолтным роутером прописан Микротик.
На нём прописать маршруты для всех рабочих сетей, а для всего остального домашний Микротик.
Так не получится?
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
- TheBest
- Сообщения: 13222
- Зарегистрирован: 08 фев 2005, 14:36
- Благодарил (а): 11 раз
- Поблагодарили: 8 раз
Re: Mikrotik
Есть задача: Нужно дать доступ к серверу удалённых рабочих столов извне, но защитить его от взлома.
SSTP или OpenVPN? Или как-то ещё?
Важный комментарий: Клиентом может выступать винда, мобила, линукс, огрызок и много чего разного. Это в идеале.
SSTP или OpenVPN? Или как-то ещё?
Важный комментарий: Клиентом может выступать винда, мобила, линукс, огрызок и много чего разного. Это в идеале.
- TheBest
- Сообщения: 13222
- Зарегистрирован: 08 фев 2005, 14:36
- Благодарил (а): 11 раз
- Поблагодарили: 8 раз
Re: Mikrotik
Читал Гугл, примерно понял что и для чего: OpenVPN для компов, L2TP/IPSec - мобильные девайсы.
Видел примеры для Микротика по настройке OpenVPN.
Вот что смущает - везде заводится один юзер на Микротике и один клиентский сертификат.
Т.е. сделали CA.crt/CA.key - CA.crt на клиента и сервер, server.crt/key на сервер (Микротик), client.crt/key на клиента.
Как настраивать если я хочу каждому клиенту свой логин/пароль и свой сертификат?
Я так понимаю, что ca.crt нужен везде, на сервере server.crt/key и все crt клиентов. На клиенте crt/key клиента.
При логине пользователя user1 от него требуют публичный user1.crt, который есть на сервере, потом задействуют key.
Так или нет? И можно ли так настроить?
Видел примеры для Микротика по настройке OpenVPN.
Вот что смущает - везде заводится один юзер на Микротике и один клиентский сертификат.
Т.е. сделали CA.crt/CA.key - CA.crt на клиента и сервер, server.crt/key на сервер (Микротик), client.crt/key на клиента.
Как настраивать если я хочу каждому клиенту свой логин/пароль и свой сертификат?
Я так понимаю, что ca.crt нужен везде, на сервере server.crt/key и все crt клиентов. На клиенте crt/key клиента.
При логине пользователя user1 от него требуют публичный user1.crt, который есть на сервере, потом задействуют key.
Так или нет? И можно ли так настроить?
- healer
- Сообщения: 6872
- Зарегистрирован: 19 ноя 2011, 06:35
- Благодарил (а): 4 раза
- Поблагодарили: 16 раз
- Контактная информация:
Re: Mikrotik
TheBest, http://voxlink.ru/kb/voip-devices-confi ... ikopenvpn/
Генерируешь сертификаты клиентов по потребности а дальше как в ссылке выше.
Генерируешь сертификаты клиентов по потребности а дальше как в ссылке выше.
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
- Arteska
- Сообщения: 318
- Зарегистрирован: 15 дек 2009, 20:18
- Настоящее имя: Федор
- Откуда: Киселевка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
Re: Mikrotik
Можно трафик с нужного диапазона IP маркировать, потом лупануть маршрут статикой - мол пакеты с таким маркером падают на такой-то интерфейс ( например тунель работа-дом)healer писал(а): Собственно хочу все обращения во всемирную паутину с рабочего роутера пропускать через VPN туннель до домашнего и далее.
- TheBest
- Сообщения: 13222
- Зарегистрирован: 08 фев 2005, 14:36
- Благодарил (а): 11 раз
- Поблагодарили: 8 раз
Re: Mikrotik
healer, Именно так и пробовал. :)
Но вот вопрос - авторизация по имени пользователя и паролю очевидна.
Но из чего следует, что проверяется сертификат? И какой сертификат проверяется?
На клиенте в OpenVPN конечно есть
cert test-client.crt
key test-client.key
Но с чем его сравнивает Микротик?
Что если пароль от user2, а сертификат cert user1.crt?
Я так понимаю, что центр сертификации контролируется, а внутри центра?
Но вот вопрос - авторизация по имени пользователя и паролю очевидна.
Но из чего следует, что проверяется сертификат? И какой сертификат проверяется?
На клиенте в OpenVPN конечно есть
cert test-client.crt
key test-client.key
Но с чем его сравнивает Микротик?
Что если пароль от user2, а сертификат cert user1.crt?
Я так понимаю, что центр сертификации контролируется, а внутри центра?
- TheBest
- Сообщения: 13222
- Зарегистрирован: 08 фев 2005, 14:36
- Благодарил (а): 11 раз
- Поблагодарили: 8 раз
Re: Mikrotik
Den_S, Во многих статьях написано, что OpenVPN круче для компов, а L2TP/IPSec - для мобильных устройств.
Буду поднимать 2 сервера, сейчас разбираюсь с OpenVPN.
Буду поднимать 2 сервера, сейчас разбираюсь с OpenVPN.
- TheBest
- Сообщения: 13222
- Зарегистрирован: 08 фев 2005, 14:36
- Благодарил (а): 11 раз
- Поблагодарили: 8 раз
Re: Mikrotik
"PPTP небезопасен (даже его создатели в Microsoft отказались от него), поэтому его использования следует избегать. В то время, как простота установки и кроссплатформенная совместимость являются привлекательными, L2TP/IPsec имеет те же преимущества и является более безопасным.
L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.
OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.
SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.
Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах."
Вот типа такого.
L2TP/IPsec является хорошим решением VPN, но не таким хорошим, как OpenVPN. Однако, для быстрой настройки VPN без необходимости установки дополнительного программного обеспечения остается лучшим решением, особенно для мобильных устройств, где поддержка OpenVPN по-прежнему на низком уровне.
OpenVPN является лучшим решением VPN несмотря на необходимость стороннего программного обеспечения во всех операционных системах. Это надежный, быстрый и безопасный протокол, хотя и требует немного больше усилий, чем другие протоколы.
SSTP предлагает большинство преимуществ OpenVPN, но только в среде Windows. Это означает, что он лучше интегрирован в ОС, но благодаря этому он слабо поддерживается VPN-провайдерами.
Большинство пользователей могут использовать OpenVPN на своих настольных компьютерах, возможно, дополнив его L2TP/IPsec на своих мобильных устройствах."
Вот типа такого.
-
- Сообщения: 1520
- Зарегистрирован: 06 фев 2006, 15:04
- Благодарил (а): 0
- Поблагодарили: 1 раз
- Контактная информация:
Mikrotik
--
Последний раз редактировалось Александр Рыжов 24 сен 2022, 22:00, всего редактировалось 2 раза.
- TheBest
- Сообщения: 13222
- Зарегистрирован: 08 фев 2005, 14:36
- Благодарил (а): 11 раз
- Поблагодарили: 8 раз
Re: Mikrotik
Александр Рыжов, Я выбрал OpenVPN и l2tp/ipsec.
Если есть желание, то можешь поругать мой выбор. :)
Если есть желание, то можешь поругать мой выбор. :)
-
- Сообщения: 1520
- Зарегистрирован: 06 фев 2006, 15:04
- Благодарил (а): 0
- Поблагодарили: 1 раз
- Контактная информация:
Mikrotik
--
Последний раз редактировалось Александр Рыжов 24 сен 2022, 22:00, всего редактировалось 1 раз.
- healer
- Сообщения: 6872
- Зарегистрирован: 19 ноя 2011, 06:35
- Благодарил (а): 4 раза
- Поблагодарили: 16 раз
- Контактная информация:
Re: Mikrotik
Если не нужно шифрование трафика то хуже +больше накладных расходов.TheBest писал(а):Александр Рыжов, Чем l2tp/ipsec хуже?
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
- healer
- Сообщения: 6872
- Зарегистрирован: 19 ноя 2011, 06:35
- Благодарил (а): 4 раза
- Поблагодарили: 16 раз
- Контактная информация:
Re: Mikrotik
Тоже так думал но что-то с наскока не получилось. Вот разгребу текучку на работе и снова попробую.Arteska писал(а):Можно трафик с нужного диапазона IP маркировать, потом лупануть маршрут статикой - мол пакеты с таким маркером падают на такой-то интерфейс ( например тунель работа-дом)healer писал(а): Собственно хочу все обращения во всемирную паутину с рабочего роутера пропускать через VPN туннель до домашнего и далее.
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
- healer
- Сообщения: 6872
- Зарегистрирован: 19 ноя 2011, 06:35
- Благодарил (а): 4 раза
- Поблагодарили: 16 раз
- Контактная информация:
Re: Mikrotik
А кто мешает поднять 2 сервера для разных устройств?TheBest писал(а):Александр Рыжов, Я выбрал OpenVPN и l2tp/ipsec.
Если есть желание, то можешь поругать мой выбор. :)
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
- Arteska
- Сообщения: 318
- Зарегистрирован: 15 дек 2009, 20:18
- Настоящее имя: Федор
- Откуда: Киселевка
- Благодарил (а): 0
- Поблагодарили: 0
- Контактная информация:
Re: Mikrotik
В принципе не сложно, если нет каких-то замут на самом микротике (особые маршруты, правила фаервола и тд. В таких случаях я думаю уже надо думать)healer писал(а):Тоже так думал но что-то с наскока не получилось. Вот разгребу текучку на работе и снова попробую.
В Firewall в разделе Mangle cоздаешь новое правило - в Chain выбираешь prerouting, в Src.adr пишешь диапазон Ip, которые будут ходить по этому тоннелю. Переходим во вкладку действия и выбираем тип mark routing и new routing mark вписываем маркер ( К примеру TN-W-H).
Потом идем в NAT и создаем правило для интерфейса твоего тоннеля (TN пусть называется). В general в Chain - Srcnat, Out.int - TN. В Action - masquerade.
Далее чешем в маршруты, добавляем статику - Dist.addr 0.0.0.0/0, шлюз TN, Routing Mark - TN-W-H.
По идее должно заработать. Я не буду говорить норм этот вариант, или костыли, возможно можно реализовать с помощью одних маршрутов, но с пол пинка я не смог сделать. А вариант выше заработал сразу. ( микротик rb750 с одной стороны и Asus rt-n18u c pptp сервером на другой стороне )
-
- Сообщения: 24534
- Зарегистрирован: 26 июл 2009, 12:49
- Благодарил (а): 4 раза
- Поблагодарили: 38 раз
Re: Mikrotik
MESH работает весьма прикольно.
учитывая, что пара 951Ui-2HnD по кабелю работает от 750GL
учитывая, что пара 951Ui-2HnD по кабелю работает от 750GL
его зовут как [извините], но с двумя х в начале! [извините]
-
- Сообщения: 24534
- Зарегистрирован: 26 июл 2009, 12:49
- Благодарил (а): 4 раза
- Поблагодарили: 38 раз
Re: Mikrotik
кста, на одной из 951 поднял vAP гостевую. светит во двор просп. Строителей 12.
на весь дом светит.
на весь дом светит.
его зовут как [извините], но с двумя х в начале! [извините]
-
- Сообщения: 24534
- Зарегистрирован: 26 июл 2009, 12:49
- Благодарил (а): 4 раза
- Поблагодарили: 38 раз
Re: Mikrotik
951Ui-2HnD Tested ambient temperature -20C +50C
TheBest, твои железки тож так?
..зы. просто думаю, в бокс покупать модуль подогрева, или забить.
..ззы. он ж тож кушает в холодные времена неплохо
TheBest, твои железки тож так?
..зы. просто думаю, в бокс покупать модуль подогрева, или забить.
..ззы. он ж тож кушает в холодные времена неплохо
его зовут как [извините], но с двумя х в начале! [извините]
- healer
- Сообщения: 6872
- Зарегистрирован: 19 ноя 2011, 06:35
- Благодарил (а): 4 раза
- Поблагодарили: 16 раз
- Контактная информация:
Re: Mikrotik
Железка не предназначена для outdoor.pinkmouse писал(а):951Ui-2HnD Tested ambient temperature -20C +50C
TheBest, твои железки тож так?
..зы. просто думаю, в бокс покупать модуль подогрева, или забить.
..ззы. он ж тож кушает в холодные времена неплохо
Конденсат и перепады температур убьют ее.
Психологическая зрелость - это когда ты понимаешь, как много событий в мире не нуждаются в твоём мнении и комментариях.
-
- Сообщения: 24534
- Зарегистрирован: 26 июл 2009, 12:49
- Благодарил (а): 4 раза
- Поблагодарили: 38 раз
Re: Mikrotik
ну, убики унифай тож не предназначены...)))
у мну есть бонус, спрей для электроники, типа геля.
великолепно защищает
у мну есть бонус, спрей для электроники, типа геля.
великолепно защищает
его зовут как [извините], но с двумя х в начале! [извините]
- TheBest
- Сообщения: 13222
- Зарегистрирован: 08 фев 2005, 14:36
- Благодарил (а): 11 раз
- Поблагодарили: 8 раз
Re: Mikrotik
pinkmouse, Имхо, спрей, герметичный бокс и привесь внутрь маленькую но всегда горящую лампочку. Только очень маломощную.
-
- Сообщения: 24534
- Зарегистрирован: 26 июл 2009, 12:49
- Благодарил (а): 4 раза
- Поблагодарили: 38 раз
-
- Сообщения: 24534
- Зарегистрирован: 26 июл 2009, 12:49
- Благодарил (а): 4 раза
- Поблагодарили: 38 раз
Re: Mikrotik
копипастну чуть.
Спойлер
Mikrotīkls Ltd (торговая марка MikroTik) — латвийский производитель компьютерного сетевого оборудования. MikroTik разрабатывает, устанавливает и продает проводные и беспроводные маршрутизаторы, операционные системы к ним и сопутствующее оборудование. Компания была основана в 1995 году с целью продажи оборудования на развивающихся рынках. В 2007 году в компании работало более 70 сотрудников.
Можно разделить железо, которое называется RouterBoard и операционную систему, которая называется RouterOS. В разговорной речи, когда говорят об этом всём, говорят просто Mikrotik.
Теперь перейдём к плюсам и минусам.
Какие плюсы есть у микротика
1. Стоимость — в своей ценновой категории конкурентов просто нет.
2. Функциональность — По сравнению с Dlink, TP-Link, Zyxell и прочими «домашними» роутерами функционал огромен. Сравнивать надо больше с Cisco, Juniper и прочим «взрослым» железом или с системами linux или freebsd (только сетевой стек). Перечислять не вижу смысла, но могу заметить, что можно реализовать практически любую «хотелку» в сетевых технологиях.
3. Надёжность и стабильность — если микротик настроен и протестирован он будет работать ОЧЕНЬ долго и безпроблемно. Также очень спасают встроенный скриптовый язык (с помощью которого можно настроить всевозможные действия на проблемы) и технология WatchDog которая спасает при зависшем роутере. Все проблемы какие у меня были, возникали из-за проблем с питанием (очень много и часто грозы). При наличии хорошего заземления и ИБП проблем практически нет. Хотя периодически на форумах и слышу про баги и браки, но сам ни разу не сталкивался (если не считать свои кривые руки багом).
4. Документация и обновления — есть вполне подробная официальная википедия. Все прошивки лежат прямо на сайте, доступные для скачивания даже без авторизации. В отличии от той же Cisco где простое обновление получить иногда проблема (требуется статус сертифицированного специалиста или вообще говорят, что это только для тех.поддержки)
5. Единая ОС и система конфигурации — так как везде используется RouterOS это позволяет и быстро менять оборудование, востанавливать на новое железо или просто передавать-советовать другим как и что сделать.
6. Масштабируемость — Есть предложения практически для каждого сегмента малого и среднего бизнеса (для крупного я бы не рекомендовал). Причём если вам не хватает к примеру какого-нибудь из Core-серии, всегда можно развернуть RouterOS на мощном x86 сервере с нужной производительностью.
А теперь можно перейти к минусам
1. Если вам требуется реально бесперебойная работа, то микротик вам вряд ли подойдёт. Но это уже железо совсем другого уровня (несколько блоков питания, резервирование всего и вся, и прочие радости жизни). Однако есть примеры внедрения RouterOS на нескольких х86 серверов.
2. Если вам требуется маршрутизировать более 10G трафика ежесекундно (да есть Core-серия, но будем откровенны — на ней тоже не всё гладко).
3. Если вы не разбираетесь в сетях — конечно настроить по куче мануалов из сети не очень сложно, но для обычного пользователя достаточно трудоёмкий процесс.
4. Минус от пользователя "Ставлю клиентам в офис. для небольшой нагрузки — самое то. поставил и забыл. минус в том, что эти клиенты больше не звонят, потому что у них все работает. и платных вызовов у меня все меньше." :)
5. Отсутствует «корпоративная» техподдержка и гарантии — здесь нет чтобы вам в течении 2 часов заменили железку на новую. Или удалённо подключившись настроили что-либо. Либо разбираться самому, либо платить фрилансерам. Вообще поддержка есть и если вам не требуется “здесь и сейчас”, то вполне возможно вам она подойдёт.
10. Малое распространение марки — это достаточно существенный минус. И он как для потребителей, так и для специалистов. Так как RouterOS слабо распространен, то и спрос на специалистов разбирающихся в ней мал. Так и для фирм — если у вас сеть построена на данной ОС и затем ваш системный администратор ушел, вам будет сложнее найти специалиста который бы разбирался в данном вопросе. Да и вдалеке от крупных городов найти роутеры Mikrotik подчас достаточно большая проблема.
Можно разделить железо, которое называется RouterBoard и операционную систему, которая называется RouterOS. В разговорной речи, когда говорят об этом всём, говорят просто Mikrotik.
Теперь перейдём к плюсам и минусам.
Какие плюсы есть у микротика
1. Стоимость — в своей ценновой категории конкурентов просто нет.
2. Функциональность — По сравнению с Dlink, TP-Link, Zyxell и прочими «домашними» роутерами функционал огромен. Сравнивать надо больше с Cisco, Juniper и прочим «взрослым» железом или с системами linux или freebsd (только сетевой стек). Перечислять не вижу смысла, но могу заметить, что можно реализовать практически любую «хотелку» в сетевых технологиях.
3. Надёжность и стабильность — если микротик настроен и протестирован он будет работать ОЧЕНЬ долго и безпроблемно. Также очень спасают встроенный скриптовый язык (с помощью которого можно настроить всевозможные действия на проблемы) и технология WatchDog которая спасает при зависшем роутере. Все проблемы какие у меня были, возникали из-за проблем с питанием (очень много и часто грозы). При наличии хорошего заземления и ИБП проблем практически нет. Хотя периодически на форумах и слышу про баги и браки, но сам ни разу не сталкивался (если не считать свои кривые руки багом).
4. Документация и обновления — есть вполне подробная официальная википедия. Все прошивки лежат прямо на сайте, доступные для скачивания даже без авторизации. В отличии от той же Cisco где простое обновление получить иногда проблема (требуется статус сертифицированного специалиста или вообще говорят, что это только для тех.поддержки)
5. Единая ОС и система конфигурации — так как везде используется RouterOS это позволяет и быстро менять оборудование, востанавливать на новое железо или просто передавать-советовать другим как и что сделать.
6. Масштабируемость — Есть предложения практически для каждого сегмента малого и среднего бизнеса (для крупного я бы не рекомендовал). Причём если вам не хватает к примеру какого-нибудь из Core-серии, всегда можно развернуть RouterOS на мощном x86 сервере с нужной производительностью.
А теперь можно перейти к минусам
1. Если вам требуется реально бесперебойная работа, то микротик вам вряд ли подойдёт. Но это уже железо совсем другого уровня (несколько блоков питания, резервирование всего и вся, и прочие радости жизни). Однако есть примеры внедрения RouterOS на нескольких х86 серверов.
2. Если вам требуется маршрутизировать более 10G трафика ежесекундно (да есть Core-серия, но будем откровенны — на ней тоже не всё гладко).
3. Если вы не разбираетесь в сетях — конечно настроить по куче мануалов из сети не очень сложно, но для обычного пользователя достаточно трудоёмкий процесс.
4. Минус от пользователя "Ставлю клиентам в офис. для небольшой нагрузки — самое то. поставил и забыл. минус в том, что эти клиенты больше не звонят, потому что у них все работает. и платных вызовов у меня все меньше." :)
5. Отсутствует «корпоративная» техподдержка и гарантии — здесь нет чтобы вам в течении 2 часов заменили железку на новую. Или удалённо подключившись настроили что-либо. Либо разбираться самому, либо платить фрилансерам. Вообще поддержка есть и если вам не требуется “здесь и сейчас”, то вполне возможно вам она подойдёт.
10. Малое распространение марки — это достаточно существенный минус. И он как для потребителей, так и для специалистов. Так как RouterOS слабо распространен, то и спрос на специалистов разбирающихся в ней мал. Так и для фирм — если у вас сеть построена на данной ОС и затем ваш системный администратор ушел, вам будет сложнее найти специалиста который бы разбирался в данном вопросе. Да и вдалеке от крупных городов найти роутеры Mikrotik подчас достаточно большая проблема.
его зовут как [извините], но с двумя х в начале! [извините]
- TheBest
- Сообщения: 13222
- Зарегистрирован: 08 фев 2005, 14:36
- Благодарил (а): 11 раз
- Поблагодарили: 8 раз
Re: Mikrotik
"Да и вдалеке от крупных городов найти роутеры Mikrotik подчас достаточно большая проблема."
Интернет-магазины? Не, не слышал.
Интернет-магазины? Не, не слышал.