Засада с VPN - Mikrotik/MacOS/L2TP

[katit]

Есть домашинй раутер с Микротик и настроеным L2TP сервером
Есть два лаптопа, мой и жены. Оба Макбуки 13, оба с идентичной версией MacOS

Мой лаптоп спокойно подключается к VPN, ее лаптоп нет - дает ошибку "сервер не отвечает". Причем внутри сетки то он подключается, т.е. адрес, пароли все ОК. А с наружи не подключается.
И где смотреть в чем проблема? Лаптопы одинаковые, все одинаковое.

[veey+]

в логе микротика в первую очередь, предварительно добавив l2tp

[Flash-04]

А ничего что сам по себе L2TP ничего не шифрует?

[katit]

А ничего что сам по себе L2TP ничего не шифрует?

Так там l2tp/ipsec. Но с другой стороны, в чем risk to? Реально для меня, простого обывателя?

[katit]

в логе микротика в первую очередь, предварительно добавив l2tp

В логах ничего нет. Пусто. Если к домашней сетке подключиться то все в логах есть, показывает что изнутри подсоединяется (ip адрес)

[Serb]

Dns or host file ?

[owld]

ну стандартно - попинговать имя/адрес и понять DNS это или что то еще

[Flash-04]

А ничего что сам по себе L2TP ничего не шифрует?

Так там l2tp/ipsec. Но с другой стороны, в чем risk to? Реально для меня, простого обывателя?

https://blog.milne.it/2017/02/24/mikrot ... 2017-6297/

Риск? Э... Ну вот сидите вы в Старбаксе, решили подключится. Дынц, дынц, connected. А mikrotik ваш IPSec не включил, и товарищ который сидел за соседним столиком с лептопом, на котором Kali Linux, с удовольствием читает весь ваш трафик. А так никаких проблем
Openvpn, и никаких гвоздей.

[veey+]

кстати Openvpn пользую на микротике, хоть он у них и кастрированный немного.

[Flash-04]

Лично себе я поставил openvpn на серваке. Но могу себе позволить
Нагружать роутер vpn по моему неразумно. У него и так железо слабое, а vpn - ресурсоемкий. На тех же Intel CPU есть hardware crypto acceleration и насколько я знаю, openvpn его использует.

[owld]

у меня тоже openvpn - работатет прекрасно на маках и iphone-ах. Роутер не грузит совсем, там вроде тоже есть hardware acceleration

[veey+]

Лично себе я поставил openvpn на серваке. Но могу себе позволить
Нагружать роутер vpn по моему неразумно. У него и так железо слабое, а vpn - ресурсоемкий. На тех же Intel CPU есть hardware crypto acceleration и насколько я знаю, openvpn его использует.

У меня раньше был сервер на кампутере. Перенес на раутер специально, т.к. в планах кампутер поменять. Пяток клиентов тянет легко. А больше мне и не надо.

[owld]

во https://mikrotik.com/product/RB750Gr3

It is affordable, small and easy to use, but at the same time comes with a very powerful dual core 880MHz CPU and 256MB RAM, capable of all the advanced configurations that RouterOS supports.

IPsec hardware encryption (~470 Mbps) and The Dude server package is supported, microSD slot on it provides improved r/w speed for file storage and Dude.

[Flash-04]

Ну если так, то тем более openvpn

[katit]

Ну если так, то тем более openvpn

В оффисе он и настроен. Хотел дома не париться, использовать что есть в Маке (встроенный клиент)

Ну а теперь обьясните мне такой "полтергейст". Я с этими маками пипец как их "люблю". К слову на моем Маке я виндой отлично пользуюсь. А вот жена пользует Мак. И я очень его люблю.

Вот имеется iPhone@Verizon. В нем есть tethering. Для тестирования того-же домашнего VPN я что делаю. Отключаю WiFI на телефоне, включаю раздавалку. На телефоне открываю браузер, в нем "my IP" показывает какой-то IPv6 адрес от Верайзона, все супер. На Макбуке подсоединяюсь к телефону и в браузере показывается мой IPv4 от кабельного провайдера. Какого хрена? Макбук втихаря таки к сетке дома коннектиться? Или айфон домашнюю вайфай сетку "раздает"?

[Palych]

Вопрос как тот сервис определяет "my IP". Скорее всего по заголовку. А заголовок ставится браузером... Уже не помню детали...

[owld]

Или айфон домашнюю вайфай сетку "раздает"?

сделайте iphone "забыть" домашнюю сеть , что бы он заново запросил пароль. Но пароль не вводить, оставить его на gsm.
Включить раздачу, подсоедениться , проверить заново.
Скорее всего он раздавал домашний wifi да. Там антенн много, почему бы и нет ?

[katit]

Скорее всего он раздавал домашний wifi да. Там антенн много, почему бы и нет ?

Нет потому что я ему отключил WiFi опцию. Но да, надо проверить и совсем сетку удалить, лень просто было

[katit]

Добил его. Ненавижу такой фигней заниматься.

В итоге про "полтергейст". К WiFI ломился "втемную" Макбук, несмотря на то что к телефону подсоединен. После удаления с лаптопа он стал четко с телефона интернет тянуть.

Поставил VPN на лаптоп. Настроил OVPN на Mikrotike. Хорошо что их у меня 2, второй настроен. После этого все вроде как заработало, лаптоп коннектится к сетке. А вот RDP не работает.
Давай смотреть что и как. В итоге вижу что к самому микротику я могу подсоединиться с браузера на 192.168.xx.1 а вот уже к FreeNas который у меня на 192.168.xx.10 он не подсоединяется.

Я когда-то нанимал человека настроить оффисный Микротик. Сейчас ну думаю 100% это в раутере. Проэкспортировал настройки обеих и построчно сравнивал. И вот в этом была разница. ЧТО это означает я не знаю но поставив вот так на домашнем все заработало.

/interface bridge
add admin-mac=4C:5E:0C:D0:82:10 arp=proxy-arp auto-mac=no fast-forward=no name=bridge-local

[Serb]

На Freenas default route либо не настроен либо неправильно указан. А прокси арп надо отключать в целях безопасности

[katit]

Freenas это я как пример привел. Без того прокси и ремот десктоп не работал к другому компу в сетке

[Flash-04]

Proxy arp нужен чтобы позволить оверлепинг зон vpn адресов и локальной сети. Это кстати известная проблема, что домашняя сетка обычно 192.168.0.*

Если вы в такой сети и хотите vpn в свою домашнюю сеть с такой же зоной, то тут вам и сюрприз.

[katit]

Proxy arp нужен чтобы позволить оверлепинг зон vpn адресов и локальной сети. Это кстати известная проблема, что домашняя сетка обычно 192.168.0.*

Если вы в такой сети и хотите vpn в свою домашнюю сеть с такой же зоной, то тут вам и сюрприз.

Да, так и есть. Адреса у меня распределены по разному для DHCP и VPN, но тем не менее

[deev_a_v]

Вам что, баб не хватает?

[katit]

Вам что, баб не хватает?

Так бабе VPN настраивал, сто лет бы не видел эту хрень