[ Zoksyz @ 28.07.2013. 19:17 ] @
Povezao bi dve loacije koje imaju adsl-staticku ip adresu sa dva MT rb750 , na jednoj lokaciji je tri a na drugoj cetiri racunara tako da svaki racunar moze prici svakom (shareing) u celoj mrezi i da svi mogu da dobiju internet svako u svojoj grupi . Ja sam mislio ovako , prvo oba adsl modema u bridge mod a onda na oba MT podici pppoe-client i ostala podesavanja da bi dobio u lokalnoj mrezi internet uslugu. Posle sam mislio da odradim vpn IPsec na obe lokacije ali to nisam do sada radio pa bi pokusao posto ima uputstvo na mikrotik-web i na netu. Ako neko ima neki predlog ili drugu zamisao da se odradi mreza.

[Ovu poruku je menjao Zoksyz dana 29.07.2013. u 07:44 GMT+1]
[ acatheking @ 28.07.2013. 21:27 ] @
IPsec ce ti "pojesti" te plastikanere RB750, preslabi su za to. Posto imas fiskne javne ip adrese, razmotri podizanje PPTP servera na jednom i podesavanje PPTP klijenta na drugom ruteru.
Imas primere po netu, mislim da ima i na mikrotik wiki-ju.
[ Mile-Lile @ 29.07.2013. 09:22 ] @
A može i EoIP. Najmnanju zaštitu ima jer za enkapsulaciju koristi user/pass ali najbrže radi...
[ rajco @ 29.07.2013. 11:27 ] @
IPsec će raditi lagano za saobraćaj koji ćeš ti imati, tako da možeš slobodno da ga koristiš.
[ bachi @ 29.07.2013. 12:20 ] @
Ljudi, hajde da se dogovorimo da ne preporučujemo više ljudima pptp, može?

L2TP sa shared key a la kobasica može, ali pptp nikako, jer više nije siguran.

http://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
[ newtesla @ 29.07.2013. 15:26 ] @
Pošto su obe fiksne IP: glasam za EoIP.
[ Zoksyz @ 29.07.2013. 16:44 ] @
Hvala sto ste ste dali neke predloge , ja sam vise za varijantu VPN leyera3 jer kazu da je brzi i kvalitetniji saobracaj od VPN leyera2.

[Ovu poruku je menjao Zoksyz dana 29.07.2013. u 21:03 GMT+1]
[ Zoksyz @ 29.07.2013. 21:23 ] @
Odlucio sam da probam IPsec pa cu sam videti kako radi , evo po ovoj slici http://wiki.mikrotik.com/image...Site-to-site-ipsec-example.png . Pitao bi posto na svakom MT imam i internet saobracaj preko pppoe-client sa svojim statickim adresama , da li treba jos neka dodatna podesavanja.
[ acatheking @ 30.07.2013. 09:57 ] @
Mozemo mi da ga tupimo do sutra sta je sigurno, a sta nije. Niko od nas ne radi na nuklearnom projektu Severne Koreje, pa da nekom hakeru bude zanimljiv saobracaj izmedju dva RB750 :)
Nije me mrzelo, podigao sam IPSec izmedju RB450 (nemam trenutno bas RB750, ali je slican hardware) i Cisco-a, i evo sta je maximum (CPU 100% i saobracaj 500-600k).

[ djricky @ 30.07.2013. 10:29 ] @
@acatheking: apsolutno se slazem... ali ovde imamo adsl tako da ce maksimalni brzina biti ~800kbit/s, pa i nece smoriti mnogo plastikanere
da se ja pitam, ako je bas potrebna neka enkripcija koristiti pptp, a inace gre'ota ne spojiti te dve mreze kroz eoip...
[ Zoksyz @ 30.07.2013. 15:10 ] @
Hvala na iskrenim zalaganjem za moj problem , odradi cu vise nacina vpn-a a pu videti koji je najbolji za moj slucaj .Mrezu cu odraditi za par dana pa vam mogu dati neke podatke , unapred hvala.
[ djricky @ 01.08.2013. 09:30 ] @
usput, povlacim svoju preporuku za PPTP...

Defeating PPTP VPNs and WPA2 Enterprise with MS-CHAPv2


http://h-online.com/-1716768
[ newtesla @ 02.08.2013. 12:14 ] @
Ma ja VPN po difoltu koristim samo sa PAP/CHAP kombinacijom: ako će već neko da "šnjufa" saobraćaj - nek se nagleda
[ bmarkovic06 @ 02.08.2013. 16:16 ] @
Citat:
newtesla: Ma ja VPN po difoltu koristim samo sa PAP/CHAP kombinacijom: ako će već neko da "šnjufa" saobraćaj - nek se nagleda :D


Upravo tako. Inace nije bas toliko lako snifati saobracaj preko pptp sem ako se ne koristi wireless za povezivanje dve strane.
[ djricky @ 03.08.2013. 21:12 ] @
mah, naravno... samo da ne bude posle da nisam rekao
[ newtesla @ 04.08.2013. 17:56 ] @
^^Više ne možeš da me sniff-uješ
[ Zoksyz @ 12.08.2013. 18:59 ] @
Odradio sam mrezu i pustio po IPsec-u i brzina varira od 550 do 850Kbits sa opterecenjem cpu do 25% , odradjuje posao ali mi palo napamet da probam EoIP jer bi trebao da bude brzi po tudjim isustvima.
Pokusao sam da odradim podesavanja kako je na netu postavljeno, i napravim tunel koji se podigne i stabilan je ali nesto nisam dobro odradio jer ne mogu da dobijem pingovanje hostova sa kraja na kraj. Internt radi bez problema preko pppoe konekcije a pingovi ne prolaze . Pppoe-client konekcije odradjene klasicno sa podignutim dhcp-om za lan i natovao ip adrese hosta za dolaz. Da li moze da mi kazete na cega da obratim paznju.
[ djricky @ 13.08.2013. 10:29 ] @
eoip je stateless interface tunel, pa jedini nacin da budes siguran da radi, je da pingujes nesto s kraja na kraj... jesi upario ID-eve sa obe strane? stavi 2 ip adrese iz nekog privatnog /30 peer opsega direktno na eoip interface i probaj ping, ako se tunel podigao mora da prodje ping, ili barem da vidis MAC sa drugog kraja u ARP tabeli...
[ acatheking @ 13.08.2013. 10:44 ] @
Ili da se postavi IP adresa na interface bridge, pa da se tako proveri IP konektivnost izmedju dva rutera.
Ali, otkud sad EoIP u celoj prici, pitam iz aspekta sigurnosti o kojoj se drvilo ovde :)
[ Zoksyz @ 14.08.2013. 10:30 ] @
Problem sa rutiranjem -resen . Drugar mi je rekao da je eoip najbrzi za vpn-ove pa sam probao kako radi i nista posebno bar za mene i ovo je bila samo proba da se uverim. Ostajem i dalje za ipsec i hvala vam na pomoci . Pozdrav
[ Mile-Lile @ 15.08.2013. 07:35 ] @
Kad kažeš "brzina" je l misliš na odziv (latenciju) ili propusnu moć (koja je ograničena od strane isp-a)?
Ping mora da ima nižu vrednost na EoIP... prosto, jer nema enkripcije saobraćaja i uređaj ne mora da se muči da dešifruje paket, odmah zna šta je...
[ Zoksyz @ 19.08.2013. 14:47 ] @
Jeste trebalo bi da tako bude , ali nema velike razlike u brzini protoka a i gledao sam stabilnost tunela.
Da li ima neki tunel koji se izvaja od drugih da je brz po prvom odzivu odnosno upitu sa jedne strane na drugu ???


[ Zoksyz @ 22.08.2013. 09:14 ] @
Samo da dodam , imam drugara u telekomu koji mi je podesavao profile na portovima za ove dve staticke ip adrese (nisu na istoj centrali , na razlicitoj lokaciji dela grada ).
Sada kada pingujem sa jedne strane mreze na drugu sranu dobijam od 15-17mS a ranije je bilo od 35-55mS a sada brzina protoka podataka je od 0,95-1Mbps . Na obe lokacije
je statika 5/1Mbps telekom .
[ nikolic.aca @ 11.12.2013. 11:15 ] @
Možda je offtopic, ali nisam znao kome pisati...

Početnik sam u korišćenju Mikrotik rutera, pa mi je pomoć dobrodošla...pokušaću da što detaljnije objasnim "zadatak" koji sam dobio od drugara.

Drugar ima 2 telefonske linije sa 2 ADSL modema (Telekom). Jedan modem se koristi za internet i za lokalnu mrežu (povezan je na CISCO svič 3560). Za sada se koriste dinamičke adrese ali je u planu zakup statičke zbog potreba.
Takođe, postoji i PBX Ericsson centrala preko koje idu pozivi na lokale.
Ideja je da se preko Mikrotik VPN RB2011iL-IN napravi tunel do kancelarije u Crnoj Gori, i na njega postavi GSM gateway za pozive preko lokala (smanjenje troškova) i još nekoliko računara. U CG bi se koristila dinamička IP adresa a u ovde bi se zakupila statička, kao što sam pomenuo.
IP adresa prvog ADSL je 10.2.0.254, dok se drugi ADSL ne koristi pa bih ga iskoristio da iztestiram rutiranje na Mtik-u. Da li treba na njemu postavljati novu adresu ili se može koristiti default 192.168.1.1?

Šta je potrebno napraviti da bi ovo radilo? Kako kažu...sve je meni jasno u teoriji, ali odakle da počnem ?!?

Za sve detaljnije info, pitajte pa ću odgovarati, jer ne znam šta sve da stavim od podataka.

HVALA!
[ bmarkovic06 @ 11.12.2013. 11:32 ] @
Obe adrese sto si naveo su adrese iz prvatne mreze, nemaju veze sa javnim ip adresama...


Ono sto bi bilo pozeljno da uradis je da prebacis adsl modem u bridge mode kako bi podigao pppoe client na mikrotiku i dobio na njemu javnu ip adresu od provajdera, ili postavi ip adresu mikrotika kao DMZ adresu na samom adsl modemu, ili pak propusti portove na adresu mikrotika koji ti trebaju, kako god ti je lakse...



Iskreno najbolje da zamolis nekoga da ti resi taj problem ko ima malo vise znanja ili sedi sam pa guglaj malo vise o VPN-ovima, mikrotiku i sl...
[ nikolic.aca @ 11.12.2013. 12:59 ] @
Da, adrese su iz privatne mreže jer je to trenutno stanje...
Javnu i statičku adresu bi zakupili za potrebe realizacije ovog scenarija.

Da budem malo jasniji...
- da li je dovoljan 1 Mtik VPN ruter da bi se napravio tunel između 2 kancelarije ako na jednoj strani imam dinamičku a na drugoj statičku i javnu IP adresu ili moraju biti 2 Mtik-a, na svakoj strani po jedan? Mislim, da ako imam statičku i javnu IP, dovoljan je 1 Mtik...zar ne?
- koji protokol koristiti za tunelovanje...IPSec ili nešto drugo?
Ovde mi je problem da stvorim sliku u glavi, gde je šta i gde se šta kači...:-( i zbog toga sam se obratio za pomoć na forumu.

ps-iskreno, ne poznajem nikoga ko je radio sa ovim stvarima da bi pitao za pomoć, a sa druge strane hteo bi da naučim nešto novo, jer do sada sam se bavio isključivo mobilnom telefonijom (bazne stanice, radio-relejni linkovi i sl.) a mreže samo za tzv. kućnu radinost

Hvala, u svakom slučaju!




[ Aleksandar Đokić @ 11.12.2013. 22:35 ] @
Na obe strane moras imati ruter koji podrzava tip VPN-a koji zelis.
[ nikolic.aca @ 12.12.2013. 10:43 ] @
Meni je logično da imam 2 Mtika, na obe strane, ali drugara su u Netiksu, gde je i uzeo Mtika, ubedili da je dovoljno 1 Mtik ako ima 1 statičku i javnu adresu...e sad mi ništa nije jasno.

Ja sam za sada ovaj scenario ostavio po strani i krenuo sa nečim lakšim, a ujedno da iztestiram rutiranje na Mtik...ali mi i tu treba pomoć...

Ovako, imam 2 ADSL modema (Telekom)...jedan ima adresu 10.2.0.254 a drugi default 192.168.1.1.
Hoću da povežem ove 2 mreže preko Mtik rutera...Šta je potrebno uraditi??? Hardverski, softverski...
[ bmarkovic06 @ 12.12.2013. 12:46 ] @
Citat:
nikolic.aca: Meni je logično da imam 2 Mtika, na obe strane, ali drugara su u Netiksu, gde je i uzeo Mtika, ubedili da je dovoljno 1 Mtik ako ima 1 statičku i javnu adresu...e sad mi ništa nije jasno.

Ja sam za sada ovaj scenario ostavio po strani i krenuo sa nečim lakšim, a ujedno da iztestiram rutiranje na Mtik...ali mi i tu treba pomoć...

Ovako, imam 2 ADSL modema (Telekom)...jedan ima adresu 10.2.0.254 a drugi default 192.168.1.1.
Hoću da povežem ove 2 mreže preko Mtik rutera...Šta je potrebno uraditi??? Hardverski, softverski...



Dovojno ako ce se praviti tunel od racunara ka mikrotiku a ne od mreze do mreze. Za ono sto ti hoces trebaju ti 2 uredjaja.


Izguglaj malo, bilo je dosta tema u vezi sa tim poslednjim sto ti treba. Kucaj raspodela saobracaja na vise internet linkova od kolege Pedje sa foruma.

Al ajd evo ti link, ne treba ni 5 sek da se izgugla :) https://www.google.rs/url?sa=t...CNHKgSDq3y0fsCDU5WUXNxIj2aRiPA
[ nikolic.aca @ 12.12.2013. 13:07 ] @
Hvala bmarkovic06, na vremenu i strpljenu.
Upravo čitam tekst za koji si ostavio link. Ako zapnem javiću...;-)
Pozz
[ nikolic.aca @ 17.12.2013. 09:16 ] @
Evo već par dana se zezam sa rutiranjem ali bez rezultata :-(, pa mi treba pomoć...

Nisam u postavci napisao da je ADSL modem sa adresom 10.2.0.254 povezan na loakalnu mrežu gde već ima PBX centrala, MSACN (koristi se kao maketa) i 5 računara...sve to ide preko cisco switch-a. E sad, kako taj modem vezati na Mtik ruter a da mreža ostane da radi kako treba jer on ima adresu mreže 10.2.0.X? Da li će biti konfilikta između adresa? Ako sledim primer Peđe S, to bi izgledalo ovako:
- internet link sa adresom 10.2.0.254 (ADSL modem)
- internet link sa adresom 192.168.1.1 (ADSL modem)
- lokalnu mrežu sa adresom 10.2.0.X
- Mikrotik ruter sa adresom ??? (njebu bih dodelio adresu iz mreže 10.2.0.X)

U njegovom slučaju je internet linkove vezao na WAN interfejse Mtik, a na LAN interfejs postavio lokalnu mrežu. Pokušao bih isti scenarijo, ali se plašim da ne napravim neki problem zbog toga što su LAN i ADSL modem u istoj mreži...
[ Aleksandar Đokić @ 17.12.2013. 13:29 ] @
Nisam te najbolje razumeo ali ja bih stavio modem na drugi port na Tiku i onda bi on bio "border", bez obzira dupli nat ili bridge. Opseg koji ces staviti na tom portu (izmedju modema i mikrotika) je ne bitan sve dok je razlitit od svih koji postoje.

[ nikolic.aca @ 17.12.2013. 14:46 ] @
Citat:
Aleksandar Đokić: Nisam te najbolje razumeo ali ja bih stavio modem na drugi port na Tiku i onda bi on bio "border", bez obzira dupli nat ili bridge. Opseg koji ces staviti na tom portu (izmedju modema i mikrotika) je ne bitan sve dok je razlitit od svih koji postoje.


Da skratim priču...kako najlakše proveriti da rutiranje na mikrotiku radi kako treba između dve mreže?

Na jednoj strani imam LAN mrežu (10.2.0.X) i okviru nje ADSL modem (10.2.0.254) a na drugoj strani ADSL modem (192.168.1.1) i na njega bi spojio računar da budu u istoj mreži. Tada imam 2 mreže i potrebno je npraviti rutiranje pomoću mikrotika između ove 2 mreže...KAKO?
Da li računare spojiti eth kablom na mikrotik i ako ping između njih prolazi rutiranje radi kako treba ili neki drugi način?!?

ps-znam da sam konfuzan ali, kao što rekoh, početnik sam i sve me ovo zbunjuje a hoću da se igram sa mikrotikom (najgora kombinacija :-)) i pokušam da napravim ovaj scenario...

HVALA!


[ bmarkovic06 @ 17.12.2013. 19:04 ] @
Kao sto ti Aleksandar kaze nebitne su ti adrese mreza na ADSL modemima sve dok se razlikuju na mikrotikovima. Moras imati 2 mikrotika na obe strane, podignut tunel izmedju, i na oba mikrotika stavi neki svoj opseg (10.0.X.0/24) i najjednostavnije uradi staticko rutiranje da se mreze vide. Ako radis pptp onda dodaj neke adrese pptp-client interfejsima (lokalna i remote), lokalna adresa na jednom ce ti biti gateway za tu mrezu a remote adresa na drugom za drugu mrezu.


[ Aleksandar Đokić @ 17.12.2013. 22:07 ] @
Citat:
Tada imam 2 mreže i potrebno je npraviti rutiranje pomoću mikrotika između ove 2 mreže...KAKO?


Poslednja recenica sto je bmarkovic06 napisao je odgovor na ovo tvoje pitanje. Krajevi tunela su ti gateway-i u statickim rutama za mreze.

Uglavnom, "remote" deo tunela dobije IP iz istog opsega koji ima LAN, i onda ti za drugu mrezu to bude "next-hop", "gateway" - kako god.
[ nikolic.aca @ 18.12.2013. 10:24 ] @
Niste me razumeli...meni treba da testiram rutiranje između 2 mreže, bez pravljenja tunela. Kontam da mi je za to potreban jedan ruter...slično kao što ADSL modem radi rutiranje između LAN mreže i Interneta.
1) Da li je to moguće napraviti na sledeći način:
povezati mikrotik između 2 računara koji se nalaze u različitim mrežama i ako ping između njih radi onda je i rutiranje napravljeno kako treba...

2) Što se tiče pravljenja tunela, scenario je sledeći (možda se ponavljam, ali...)
Pbx centrala,se nalazi u LAN-u u kancelariji u BG i treba tunelom spojiti sa lokacijom u CG gde se nalazi Mikrotik VPN ruter na koji je vezan GSM gateway. U kancelariji u BG postoji ADSL modem na kom bi se od Telekoma zakupila statička javna IP adresa, dok u CG bi se koristile dinamičke i Mikrotik ruter bi "gađao" tu javnu adresu modema. Znači da pojasnim, Telekom nudi ovu uslugu http://www.open.telekom.rs/bus...?temp=0&sid=274&id=277, ali su cene visoke ako uzimate njihovu opremu tako da je rešenje oprema korisnika,ali naravno nju konfiguriše sam korisnik.
Evo i slika...



[Ovu poruku je menjao nikolic.aca dana 18.12.2013. u 11:40 GMT+1]


[Ovu poruku je menjao nikolic.aca dana 18.12.2013. u 11:44 GMT+1]
[ Aleksandar Đokić @ 18.12.2013. 11:53 ] @
Citat:
povezati mikrotik između 2 računara koji se nalaze u različitim mrežama i ako ping između njih radi onda je i rutiranje napravljeno kako treba...


Pa to i nije neko rutiranje, to su "directly-connected" mreze. To ne moras ni da testiras.
[ nikolic.aca @ 19.12.2013. 13:30 ] @
Neke stvari sam složio u glavi (nadam se...) i sad mi opet treba pomoć.

Rešio sam da scenarijo povezivanja 2 lokacije odradim podizanjem tunela između ADSL modema i mikrotik rutera.
Podigao bih PPTP server na jednom od uređaja a na ostalim podesio PPTP klijente, jer mislim da je dovoljno imati statičku javnu adresu na jednoj strani (za IPSec moram na obe strane, a to je u CG nešto skuplje nego ovde pa gazda traži jeftiniju varijantu).

Da li PTPP server podizati na uređaju koji ima statičku javnu adresu ili nije bitno?
[ Aleksandar Đokić @ 19.12.2013. 18:20 ] @
Ne mora da ima staticku javnu, ali mislim da ti ipak mislis na poziciju uredjaja u samoj mrezi tj. da li je prica svic, i onda sve na njega ukljucujuci i ruter sa pptp serverom i ADSL modem. Ili je prica ADSL modem, pa on na ruter, pa ruter u svic i racunari na svic.
[ nikolic.aca @ 20.12.2013. 08:34 ] @
Pitam iz razloga što nisam siguran da na ADSL modemu može da se podigne PPTP server (tj na modelu Huawei 532e), a on će imati statičku javnu adresu...

Priča je sledeća...u BG će biti ADSL modem, koji je vezan na switch i onda dalje idu ostali uređaji u LAN-u firme (PBX, MSAN, računari, video nadzor...), a na drugoj strani u CG bi bio Mikrotik ruter, na njega povezan GSM gateway...
Na ADSL modemu podignut PPTP klijent, na Mikrotiku PPTP server i to bi trebalo da radi...bar se nadam ili imaš neki savet?!?

[ bachi @ 20.12.2013. 09:47 ] @
Pa Huawei ADSL modem premesti u Bridge mode, a onda sa Mikrotika pravi PPOE konekciju na WAN strani i onda ti Mikrotik dobija statičku javnu IP i preko njega onda radi NATovanje ka LAN klijentima i diži VPN server.
[ nikolic.aca @ 20.12.2013. 11:32 ] @
Citat:
bachi: Pa Huawei ADSL modem premesti u Bridge mode, a onda sa Mikrotika pravi PPOE konekciju na WAN strani i onda ti Mikrotik dobija statičku javnu IP i preko njega onda radi NATovanje ka LAN klijentima i diži VPN server.


@bachi
To znači da na ADSL modemu ne može da se podigne PPTP klijent?
Ne znam da li sam te razumeo dobro ili ti nisi pročitao celu poruku, ali meni je potrebno da ne narušim stanje LAN mreže kakvo je sada (ima dosta uređaja kojima ne može da se menja IP opseg...PBX, MSAN, itd. zbog zahteva šefova) a da uspem da povežem ADSL modem i Mikrotik, tj. podignem VPN tunel između njih.
Ssamo ako možeš da budeš malo precizniji, šta tačno dobijam ovim što si napisao...;-)

[ nikolic.aca @ 20.12.2013. 13:09 ] @
Mikrotik mora fizički postavljen u CG kako bih ga spojio sa GSM gw, a ti kažeš da ga spojim sa svičem u BG...kako da to izvedem? Taj deo ne razumem.
[ Aleksandar Đokić @ 20.12.2013. 16:21 ] @
Ok, onda na njemu dignes PPTP server, a konektuj se sa na racunarima gde ti treba pristup. Ne moze na modemu.