VPN - какой лучше выбрать

[bear]

У меня настроен и давно работает PPTP-сервер.
Основная цель - друзья из Европы, где запрещены торренты или какие-то специфические сервисы, используют этот сервер для обхода ограничений.

Вопрос:
имеет смысл оставить PPTP-сервер или лучше настроить L2TP или ещё что-то?

[freewood]

Вообще для таких целей лучше настраивать прокси.
Если все таки хочется vpn, то для такой мелочи pptp более чем достаточно.

[Chupaka]

по моему опыту, L2TP показывает себя получше (пинги, скорости), но чуть сложнее в настройке: для Виндамсов, например, надо либо через реестр отключать IPSec, либо вводить IPSec preshared key

поэтому настроены оба сервера, а к какому клиент подцепится - это уже его забота

[bear]

понял
устроим скайп-обсуждение и решим

[Chupaka]

Как я уже сказал, они поднимаются параллельно — и клиенту нужна лишь инструкция, как перенастроить, чтобы проверить Ни к чему не обязывающая, пусть выбирает, что ему удобнее.

Ещё, насколько помню, L2TP — единственный более-менее защищённый вариант в RouterOS, работающий поверх UDP, что важно в сетях с потерями пакетов и, возможно, высоким пингом

[bear]

L2TP — единственный более-менее защищённый вариант в RouterOS, работающий поверх UDP

отлично, значит подниму параллельно

такой вопрос ешё
допустим я в другом городе и мне надо оказаться в своей домашней сети
мне будет достаточно для своего профиля VPN-подключения указать только диапазон локальных IP или ещё что-то нужно?

[Chupaka]

для начала неплохо бы сформулировать, что значит "оказаться в своей домашней сети"

если надо оказаться именно в той же подсети, что и локалка - то придётся включать Proxy-ARP на LAN-интерфейсе

с другой стороны, никто не мешает разрешить (если до этого был запрещён) доступ с текущего адреса в VPN-профиле к локалке - тогда костылей в виде Proxy-ARP не надо

[bear]

если надо оказаться именно в той же подсети, что и локалка - то придётся включать Proxy-ARP на LAN-интерфейсе

именно это и имею в виду
Proxy-ARP надо включить, даже если я получаю IP от того же dhcp-сервера, что и компы в локальной сети?

с другой стороны, никто не мешает разрешить (если до этого был запрещён) доступ с текущего адреса в VPN-профиле к локалке - тогда костылей в виде Proxy-ARP не надо

тут два вопроса:
1. можно как-то ещё (кроме фаервола) запрети доступ к локальной подсети из подсети адресов VPN?
2. почему Proxy-ARP - это костыли?

[Chupaka]

Proxy-ARP надо включить, даже если я получаю IP от того же dhcp-сервера, что и компы в локальной сети?

ну-ка, расскажите, как это вы в тоннеле получаете IP от DHCP

а вообще Proxy-ARP нужен по одной простой причине: для работы по Ethernet компьютеры рассылают ARP-запросы вида "эй, машина с IP-адресом x.y.z.c, какой у тебя MAC-адрес?", и до PPP-клиентов они, естественно, не доходят, поскольку те находятся за роутером. вот и надо роутеру указать, чтобы он ответил своим MAC-адресом на такой запрос - и впоследствии получал на себя пакеты для PPP-абонента

1. можно как-то ещё (кроме фаервола) запрети доступ к локальной подсети из подсети адресов VPN?

например, безусловно отправляя все пакеты из локалки в Интернет. в таком случае из VPN пакеты смогут дойти до локалки, но в обратную сторону пролезть не смогут

2. почему Proxy-ARP - это костыли?

например, потому, что и без этого можно работать, просто правильно организовав сеть (в данном случае - выделением отдельной подсети для VPN-клиентов)

[bear]

я задаю неправильные вопросы и попадаю в дебри, из которых мне не выбраться

попытаюсь описАть свою ситуацию и желаемый результат максимально точно

ситуация:
1. есть DHCP-сервер (к которому я подключаюсь) для локальной посети, который выдаёт автоматом IP в дипазоне 192.168.1.30-192.168.1.254
2. есть DHCP-сервер для подключений в гостевой wifi, который выдаёт автоматом IP в дипазоне 192.168.11.2-192.168.11.10
3. есть VPN-профиль (к которому я подключаюсь), который получает адреса в диапазоне 192.168.1.26-192.168.1.29
4. есть VPN-профиль для гостевых подключений, который получает адреса в диапазоне 10.10.10.10-10.10.10.20

желаемый результат:
1. когда я подключаюсь к своему VPN-профилю (3) у меня должен быть доступ к диапазону из 1-го пункта и у компов из этого дипазона должен быть доступ ко мне
2. диапазоны 2 и 4 не должны иметь доступ друг к другу и не должны иметь доступ диапазонам 1 и 3

что я сделал:
1. чтобы изолировать диапазон 2, я в настройках гостевой сети убрал чекбокс "Default Forward"
2. чтобы изолировать 2 и 4 от 1 и 3, я для 192.168.11.0/24 и 10.10.10.0/24 запретил в фаерволе forward на Dst. Address 192.168.1.0/24

всё

[Chupaka]

1. чтобы изолировать диапазон 2, я в настройках гостевой сети убрал чекбокс "Default Forward"

на всякий случай: это лишь запрещает клиентам этой AP слать пакеты друг другу. маршрутизация на другие интерфейсы продолжает работать, как и раньше

рекомендую всё же вынести негостевой VPN в другую подсеть и заблокировать к нему ненужный доступ в файрволе ибо даже при включении Proxy-ARP широковещательные пакеты от и к VPN-клиентам лететь не будут, а задействование дополнительного функционала, если можно обойтись без него - это какая-то скользкая тропка

[bear]

1. чтобы изолировать диапазон 2, я в настройках гостевой сети убрал чекбокс "Default Forward"

на всякий случай: это лишь запрещает клиентам этой AP слать пакеты друг другу. маршрутизация на другие интерфейсы продолжает работать, как и раньше

а как лучше полностью заизолировать этих пользователей?
дропать в фаерволе доступ с 192.168.11.2-192.168.11.10 на 192.168.1.30-192.168.1.254?

рекомендую всё же вынести негостевой VPN в другую подсеть и заблокировать к нему ненужный доступ в файрволе

не совсем понимаю зачем это делать
пул адресов для негостевого VPN (т.е. моего VPN-аккаунта) и для домашних компов относятся к 192.168.1.0/24 и я как раз хочу, чтобы мой комп, подключенный к моему VPN-аккаунту имел доступ к локальным ресурсам

мне кажется, я что-то упускаю, или опять неправильно объяснил

upd:
только что подключился к соседскому wifi, включил VPN и не смог подключиться к компам в домашней сети
похоже, действительно что-то не понимаю

[Chupaka]

а как лучше полностью заизолировать этих пользователей?
дропать в фаерволе доступ с 192.168.11.2-192.168.11.10 на 192.168.1.30-192.168.1.254?

"заизолировать" - разрешая доступ в Интернет? тогда просто разрешить forward с wlan1 в WAN и обратно, остальное запретить

не совсем понимаю зачем это делать

чтобы не ставить костыль в виде Proxy-ARP

пул адресов для негостевого VPN (т.е. моего VPN-аккаунта) и для домашних компов относятся к 192.168.1.0/24 и я как раз хочу, чтобы мой комп, подключенный к моему VPN-аккаунту имел доступ к локальным ресурсам

ну, скажем так, это не совсем правильно с точки зрения дизайна сети, когда одна и та же подсеть расположена на разных интерфейсах

включил VPN и не смог подключиться к компам в домашней сети

Proxy-ARP включен?..

[bear]

"заизолировать" - разрешая доступ в Интернет? тогда просто разрешить forward с wlan1 в WAN и обратно, остальное запретить

на данный момент у меня в фаерволе drop forward from 192.168.11.0/24 (гостевой wifi) to 192.168.1.0/24 (негостевые/домашние адреса)
этого недостаточно?

ну, скажем так, это не совсем правильно с точки зрения дизайна сети, когда одна и та же подсеть расположена на разных интерфейсах

понял, переделаю
что нужно сделать чтобы "разрешить доступ" из новой подсети в основную домашнюю подсеть?

включил VPN и не смог подключиться к компам в домашней сети

Proxy-ARP включен?..

нет, не включал
на моём старом роутере было достаточно, чтобы адреса были в одной подсети, думал и тут так получится

[HA3APET]

Не обязательно включать Proxy-ARP
Можно просто в NAT указать не интерфейс, а диапазон IP адресов в Src Адрес, что бы IP VPN клиента входил в этот диапазон.
http://savepic.ru/9009858.png

[bear]

Не обязательно включать Proxy-ARP
Можно просто в NAT указать не интерфейс, а диапазон IP адресов в Src Адрес, что бы IP VPN клиента входил в этот диапазон.
http://savepic.ru/9009858.png

спасибо, попробую

[Chupaka]

"заизолировать" - разрешая доступ в Интернет? тогда просто разрешить forward с wlan1 в WAN и обратно, остальное запретить

на данный момент у меня в фаерволе drop forward from 192.168.11.0/24 (гостевой wifi) to 192.168.1.0/24 (негостевые/домашние адреса)
этого недостаточно?

в данный момент - видимо, достаточно. при появлении других подсетей их придётся дописывать. я за более универсальные методы из-за своей человеческой лени

что нужно сделать чтобы "разрешить доступ" из новой подсети в основную домашнюю подсеть?

знаю только, что делать НЕ надо на чистом конфиге: не надо этот доступ запрещать. а чтобы разрешить, если он не работает - надо знать, как запретили

на моём старом роутере было достаточно, чтобы адреса были в одной подсети, думал и тут так получится

сложно комментировать сферический роутер в вакууме

Не обязательно включать Proxy-ARP
Можно просто в NAT указать не интерфейс, а диапазон IP адресов в Src Адрес, что бы IP VPN клиента входил в этот диапазон.

можно и так. только всё компьютеры из локалки будут видеть обращения не с адреса VPN-клиента, а от самого роутера, и "общение" возможно только в одну сторону, т.е. из локалки подключиться к VPN-клиенту всё равно не получится

[bear]

ясно, что ничего не ясно
не хватает мне знаний
буду разбираться
спасибо

[Chupaka]

Спрашивайте, предлагайте, разберёмся

[Mirolub]

Добра и света!

Нужна помощЬ! От слова ОЧЕНЬ, выбран VPN сервис платный, там файлы ovpn со списком серверов + сертификаты 2048бит -значит нужны скрипты но какие?, есть RB2011 с вафлей, но, как настроить это всё???
Маны курил, простые вещи - да, но, как сделать чтобы трафик не выходил из локалки от слова ВАЩЕ в инет к провайдеру пока не поднимется VPN ? Как при отвале одного канала wan1, поднимался чтобы 4Ж и после того, как он поднимится - поднимался VPN и только потом разрешался трафик из локалки наружу? Как при этом еще и одновременно сделать чтобы микротик был еще и сервером ipsec +l2tp на 3 клиента(это вроде настроил сам) но роутинг и фаерволл как правильно и главное в каком порядке правила? Как попадать в сеть локалки через 4Ж(wan2), когда поднят VPN и вся локалка в нём? Как видеть других пользователей l2tp в одной сети чтобы например напрямую чатиться? Помогите, плиз, готов дать за оперативность денег ибо микротик для меня даже после цисок - оказался непосильной задачей Чупака, помоги плиз не обижу, Андрей о тебе очень хорошо отзывался и заранее благодарю и жду, оч. надо. Мыло простое stakhanovbeer@гмылтчкком.

[Chupaka]

под такие вопросы лучше создавать отдельные темы (даже не одну, наверное)

и проблема может быть уже на самом старте: OVPN-клиент в RouterOS не поддерживает, насколько знаю, авторизацию только по ключам (необходимо имя пользователя + ключ). ещё он не поддерживает режим UDP (только TCP), что тоже может быть важно

чтобы трафик не выходил к провайдеру вообще - достаточно либо не добавлять маршрут через провайдера, либо запретить в фильтре файрвола forward в интерфейс провайдера

по умолчанию пользователи l2tp друг друга и так видят, если это не запретить правилами фильтра файрвола

ну и далее по тексту