VPN - какой лучше выбрать

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
bear
Сообщения: 146
Зарегистрирован: 03 мар 2016, 18:39

VPN - какой лучше выбрать

Сообщение bear »

У меня настроен и давно работает PPTP-сервер.
Основная цель - друзья из Европы, где запрещены торренты или какие-то специфические сервисы, используют этот сервер для обхода ограничений.

Вопрос:
имеет смысл оставить PPTP-сервер или лучше настроить L2TP или ещё что-то?
Аватара пользователя
freewood
Сообщения: 45
Зарегистрирован: 03 мар 2016, 14:47
Откуда: Зеленоград

Re: VPN - какой лучше выбрать

Сообщение freewood »

Вообще для таких целей лучше настраивать прокси.
Если все таки хочется vpn, то для такой мелочи pptp более чем достаточно.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPN - какой лучше выбрать

Сообщение Chupaka »

по моему опыту, L2TP показывает себя получше (пинги, скорости), но чуть сложнее в настройке: для Виндамсов, например, надо либо через реестр отключать IPSec, либо вводить IPSec preshared key

поэтому настроены оба сервера, а к какому клиент подцепится - это уже его забота :)
Аватара пользователя
bear
Сообщения: 146
Зарегистрирован: 03 мар 2016, 18:39

Re: VPN - какой лучше выбрать

Сообщение bear »

понял
устроим скайп-обсуждение и решим :-)
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPN - какой лучше выбрать

Сообщение Chupaka »

Как я уже сказал, они поднимаются параллельно — и клиенту нужна лишь инструкция, как перенастроить, чтобы проверить :) Ни к чему не обязывающая, пусть выбирает, что ему удобнее.

Ещё, насколько помню, L2TP — единственный более-менее защищённый вариант в RouterOS, работающий поверх UDP, что важно в сетях с потерями пакетов и, возможно, высоким пингом
Аватара пользователя
bear
Сообщения: 146
Зарегистрирован: 03 мар 2016, 18:39

Re: VPN - какой лучше выбрать

Сообщение bear »

Chupaka писал(а):L2TP — единственный более-менее защищённый вариант в RouterOS, работающий поверх UDP
отлично, значит подниму параллельно

такой вопрос ешё
допустим я в другом городе и мне надо оказаться в своей домашней сети
мне будет достаточно для своего профиля VPN-подключения указать только диапазон локальных IP или ещё что-то нужно?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPN - какой лучше выбрать

Сообщение Chupaka »

для начала неплохо бы сформулировать, что значит "оказаться в своей домашней сети" :)

если надо оказаться именно в той же подсети, что и локалка - то придётся включать Proxy-ARP на LAN-интерфейсе

с другой стороны, никто не мешает разрешить (если до этого был запрещён) доступ с текущего адреса в VPN-профиле к локалке - тогда костылей в виде Proxy-ARP не надо
Аватара пользователя
bear
Сообщения: 146
Зарегистрирован: 03 мар 2016, 18:39

Re: VPN - какой лучше выбрать

Сообщение bear »

Chupaka писал(а):если надо оказаться именно в той же подсети, что и локалка - то придётся включать Proxy-ARP на LAN-интерфейсе
именно это и имею в виду :-)
Proxy-ARP надо включить, даже если я получаю IP от того же dhcp-сервера, что и компы в локальной сети?
с другой стороны, никто не мешает разрешить (если до этого был запрещён) доступ с текущего адреса в VPN-профиле к локалке - тогда костылей в виде Proxy-ARP не надо
тут два вопроса:
1. можно как-то ещё (кроме фаервола) запрети доступ к локальной подсети из подсети адресов VPN?
2. почему Proxy-ARP - это костыли?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPN - какой лучше выбрать

Сообщение Chupaka »

bear писал(а):Proxy-ARP надо включить, даже если я получаю IP от того же dhcp-сервера, что и компы в локальной сети?
ну-ка, расскажите, как это вы в тоннеле получаете IP от DHCP :)

а вообще Proxy-ARP нужен по одной простой причине: для работы по Ethernet компьютеры рассылают ARP-запросы вида "эй, машина с IP-адресом x.y.z.c, какой у тебя MAC-адрес?", и до PPP-клиентов они, естественно, не доходят, поскольку те находятся за роутером. вот и надо роутеру указать, чтобы он ответил своим MAC-адресом на такой запрос - и впоследствии получал на себя пакеты для PPP-абонента
bear писал(а):1. можно как-то ещё (кроме фаервола) запрети доступ к локальной подсети из подсети адресов VPN?
например, безусловно отправляя все пакеты из локалки в Интернет. в таком случае из VPN пакеты смогут дойти до локалки, но в обратную сторону пролезть не смогут
bear писал(а):2. почему Proxy-ARP - это костыли?
например, потому, что и без этого можно работать, просто правильно организовав сеть (в данном случае - выделением отдельной подсети для VPN-клиентов)
Аватара пользователя
bear
Сообщения: 146
Зарегистрирован: 03 мар 2016, 18:39

Re: VPN - какой лучше выбрать

Сообщение bear »

я задаю неправильные вопросы и попадаю в дебри, из которых мне не выбраться :-)

попытаюсь описАть свою ситуацию и желаемый результат максимально точно

ситуация:
1. есть DHCP-сервер (к которому я подключаюсь) для локальной посети, который выдаёт автоматом IP в дипазоне 192.168.1.30-192.168.1.254
2. есть DHCP-сервер для подключений в гостевой wifi, который выдаёт автоматом IP в дипазоне 192.168.11.2-192.168.11.10
3. есть VPN-профиль (к которому я подключаюсь), который получает адреса в диапазоне 192.168.1.26-192.168.1.29
4. есть VPN-профиль для гостевых подключений, который получает адреса в диапазоне 10.10.10.10-10.10.10.20

желаемый результат:
1. когда я подключаюсь к своему VPN-профилю (3) у меня должен быть доступ к диапазону из 1-го пункта и у компов из этого дипазона должен быть доступ ко мне
2. диапазоны 2 и 4 не должны иметь доступ друг к другу и не должны иметь доступ диапазонам 1 и 3

что я сделал:
1. чтобы изолировать диапазон 2, я в настройках гостевой сети убрал чекбокс "Default Forward"
2. чтобы изолировать 2 и 4 от 1 и 3, я для 192.168.11.0/24 и 10.10.10.0/24 запретил в фаерволе forward на Dst. Address 192.168.1.0/24

всё :-)
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPN - какой лучше выбрать

Сообщение Chupaka »

bear писал(а):1. чтобы изолировать диапазон 2, я в настройках гостевой сети убрал чекбокс "Default Forward"
на всякий случай: это лишь запрещает клиентам этой AP слать пакеты друг другу. маршрутизация на другие интерфейсы продолжает работать, как и раньше

рекомендую всё же вынести негостевой VPN в другую подсеть и заблокировать к нему ненужный доступ в файрволе :) ибо даже при включении Proxy-ARP широковещательные пакеты от и к VPN-клиентам лететь не будут, а задействование дополнительного функционала, если можно обойтись без него - это какая-то скользкая тропка :)
Аватара пользователя
bear
Сообщения: 146
Зарегистрирован: 03 мар 2016, 18:39

Re: VPN - какой лучше выбрать

Сообщение bear »

Chupaka писал(а):
bear писал(а):1. чтобы изолировать диапазон 2, я в настройках гостевой сети убрал чекбокс "Default Forward"
на всякий случай: это лишь запрещает клиентам этой AP слать пакеты друг другу. маршрутизация на другие интерфейсы продолжает работать, как и раньше
а как лучше полностью заизолировать этих пользователей?
дропать в фаерволе доступ с 192.168.11.2-192.168.11.10 на 192.168.1.30-192.168.1.254?
Chupaka писал(а):рекомендую всё же вынести негостевой VPN в другую подсеть и заблокировать к нему ненужный доступ в файрволе
не совсем понимаю зачем это делать
пул адресов для негостевого VPN (т.е. моего VPN-аккаунта) и для домашних компов относятся к 192.168.1.0/24 и я как раз хочу, чтобы мой комп, подключенный к моему VPN-аккаунту имел доступ к локальным ресурсам

мне кажется, я что-то упускаю, или опять неправильно объяснил :-)

upd:
только что подключился к соседскому wifi, включил VPN и не смог подключиться к компам в домашней сети
похоже, действительно что-то не понимаю
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPN - какой лучше выбрать

Сообщение Chupaka »

bear писал(а):а как лучше полностью заизолировать этих пользователей?
дропать в фаерволе доступ с 192.168.11.2-192.168.11.10 на 192.168.1.30-192.168.1.254?
"заизолировать" - разрешая доступ в Интернет? тогда просто разрешить forward с wlan1 в WAN и обратно, остальное запретить
bear писал(а):не совсем понимаю зачем это делать
чтобы не ставить костыль в виде Proxy-ARP
bear писал(а):пул адресов для негостевого VPN (т.е. моего VPN-аккаунта) и для домашних компов относятся к 192.168.1.0/24 и я как раз хочу, чтобы мой комп, подключенный к моему VPN-аккаунту имел доступ к локальным ресурсам
ну, скажем так, это не совсем правильно с точки зрения дизайна сети, когда одна и та же подсеть расположена на разных интерфейсах :)
bear писал(а):включил VPN и не смог подключиться к компам в домашней сети
Proxy-ARP включен?..
Аватара пользователя
bear
Сообщения: 146
Зарегистрирован: 03 мар 2016, 18:39

Re: VPN - какой лучше выбрать

Сообщение bear »

Chupaka писал(а):"заизолировать" - разрешая доступ в Интернет? тогда просто разрешить forward с wlan1 в WAN и обратно, остальное запретить
на данный момент у меня в фаерволе drop forward from 192.168.11.0/24 (гостевой wifi) to 192.168.1.0/24 (негостевые/домашние адреса)
этого недостаточно?
Chupaka писал(а):ну, скажем так, это не совсем правильно с точки зрения дизайна сети, когда одна и та же подсеть расположена на разных интерфейсах :)
понял, переделаю
что нужно сделать чтобы "разрешить доступ" из новой подсети в основную домашнюю подсеть?
Chupaka писал(а):
bear писал(а):включил VPN и не смог подключиться к компам в домашней сети
Proxy-ARP включен?..
нет, не включал
на моём старом роутере было достаточно, чтобы адреса были в одной подсети, думал и тут так получится
HA3APET
Сообщения: 22
Зарегистрирован: 03 мар 2016, 20:14

Re: VPN - какой лучше выбрать

Сообщение HA3APET »

Не обязательно включать Proxy-ARP
Можно просто в NAT указать не интерфейс, а диапазон IP адресов в Src Адрес, что бы IP VPN клиента входил в этот диапазон.
http://savepic.ru/9009858.png
Аватара пользователя
bear
Сообщения: 146
Зарегистрирован: 03 мар 2016, 18:39

Re: VPN - какой лучше выбрать

Сообщение bear »

HA3APET писал(а):Не обязательно включать Proxy-ARP
Можно просто в NAT указать не интерфейс, а диапазон IP адресов в Src Адрес, что бы IP VPN клиента входил в этот диапазон.
http://savepic.ru/9009858.png
спасибо, попробую
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPN - какой лучше выбрать

Сообщение Chupaka »

bear писал(а):
Chupaka писал(а):"заизолировать" - разрешая доступ в Интернет? тогда просто разрешить forward с wlan1 в WAN и обратно, остальное запретить
на данный момент у меня в фаерволе drop forward from 192.168.11.0/24 (гостевой wifi) to 192.168.1.0/24 (негостевые/домашние адреса)
этого недостаточно?
в данный момент - видимо, достаточно. при появлении других подсетей их придётся дописывать. я за более универсальные методы из-за своей человеческой лени :)
bear писал(а):что нужно сделать чтобы "разрешить доступ" из новой подсети в основную домашнюю подсеть?
знаю только, что делать НЕ надо на чистом конфиге: не надо этот доступ запрещать. а чтобы разрешить, если он не работает - надо знать, как запретили :)
bear писал(а):на моём старом роутере было достаточно, чтобы адреса были в одной подсети, думал и тут так получится
сложно комментировать сферический роутер в вакууме :)
HA3APET писал(а):Не обязательно включать Proxy-ARP
Можно просто в NAT указать не интерфейс, а диапазон IP адресов в Src Адрес, что бы IP VPN клиента входил в этот диапазон.
можно и так. только всё компьютеры из локалки будут видеть обращения не с адреса VPN-клиента, а от самого роутера, и "общение" возможно только в одну сторону, т.е. из локалки подключиться к VPN-клиенту всё равно не получится
Аватара пользователя
bear
Сообщения: 146
Зарегистрирован: 03 мар 2016, 18:39

Re: VPN - какой лучше выбрать

Сообщение bear »

ясно, что ничего не ясно :-)
не хватает мне знаний
буду разбираться
спасибо
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPN - какой лучше выбрать

Сообщение Chupaka »

Спрашивайте, предлагайте, разберёмся :)
Mirolub
Сообщения: 1
Зарегистрирован: 07 июн 2016, 10:25

Re: VPN - какой лучше выбрать

Сообщение Mirolub »

Добра и света!

Нужна помощЬ! От слова ОЧЕНЬ, выбран VPN сервис платный, там файлы ovpn со списком серверов + сертификаты 2048бит -значит нужны скрипты но какие?, есть RB2011 с вафлей, но, как настроить это всё???
Маны курил, простые вещи - да, но, как сделать чтобы трафик не выходил из локалки от слова ВАЩЕ в инет к провайдеру пока не поднимется VPN ? Как при отвале одного канала wan1, поднимался чтобы 4Ж и после того, как он поднимится - поднимался VPN и только потом разрешался трафик из локалки наружу? Как при этом еще и одновременно сделать чтобы микротик был еще и сервером ipsec +l2tp на 3 клиента(это вроде настроил сам) но роутинг и фаерволл как правильно и главное в каком порядке правила? Как попадать в сеть локалки через 4Ж(wan2), когда поднят VPN и вся локалка в нём? Как видеть других пользователей l2tp в одной сети чтобы например напрямую чатиться? Помогите, плиз, готов дать за оперативность денег ибо микротик для меня даже после цисок - оказался непосильной задачей :( Чупака, помоги плиз не обижу, Андрей о тебе очень хорошо отзывался и заранее благодарю и жду, оч. надо. Мыло простое stakhanovbeer@гмылтчкком.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: VPN - какой лучше выбрать

Сообщение Chupaka »

под такие вопросы лучше создавать отдельные темы (даже не одну, наверное) :)

и проблема может быть уже на самом старте: OVPN-клиент в RouterOS не поддерживает, насколько знаю, авторизацию только по ключам (необходимо имя пользователя + ключ). ещё он не поддерживает режим UDP (только TCP), что тоже может быть важно

чтобы трафик не выходил к провайдеру вообще - достаточно либо не добавлять маршрут через провайдера, либо запретить в фильтре файрвола forward в интерфейс провайдера

по умолчанию пользователи l2tp друг друга и так видят, если это не запретить правилами фильтра файрвола

ну и далее по тексту :)
Ответить