Ja sam nekada koristio OpenVPN u konfiguraciji Mikrotik kao server dok je Windows ili Mikrotik bio klijent.
Ne znam na koje licence mislis po userima, level 3 i level 4 ti podrzava 200 tunela ukupno ostale licence vise.

Ako vec znas da konfigurises iskonfigurisi jednu konekciju i probaj par minuta posla.

ne mislim na licence za mikrotik, vec za OpenVPN, posto vidim da se placa nesto po useru 9$. pa za to pitam.

Nasao sam ovaj tutorial i vidim da nigde nije napisan neki odredjeni user i pass:

openVPN configuration on Mikrotik

Mislim da se ne plaća subscription po useru jer je to Mikrotikova implementacija OpenVPN protokola. Mada ga ja ne bih koristio jer je ograničen na TCP, dosta utiče na performanse. Ako imaš neku mašinu raspoloživu iza tog Mikrotika najbolje ti je da podigneš nešto kao što je ovo pa da na tom serveru podesiš OpenVPN klon i njega koristiš. Autentikacija je na TCP nivou a podaci se šalju preko UDP protokola. To radi daleko bolje...

Aha pa moze i tako.

Jer meni u sustini treba da kad izlazim na internet da mi se vivi kao da surfujem iz Amerike. Ali samo za jednu aplikaciju. za ostalo nije bitno.
Pa sam zato mislio da na Mikrotiku podignem OpenVPN, manglujem portove koje koristi ta aplikacija i samo nju pustim da ide kroz OpenVPN.
E sad sve to moze i da se izvede i preko nekog L2TP ili IPSEC VPN tunela negde u Americi, ali ja ne znam ni jedan. Probao sam nesto sa nekim free ali mi to nije radilo.
Tako da jos uvek tragam za nekim VPN resenjem sa Americkim adresama.

Jel mogu da ti resim problem ? Zakupis server gde god hoces i dignes između njega i Tik-a PPTP za 10min i voziš.

Pa to znam i ja, samo ne znam gde da ga zakupim. I to bi mi bilo najelegantnije resenje.
Sad cu da se potrudim da nadjem, posto mi trebaju iskljucivo adrese iz Amerike.

Digital Ocean

uzmes najjeftiniji... a pptp server se podesava za 10 minuta na bilo kom linuxu...
ako se ne snadjes, javi se pa cemo napraviti...

jos jedna varijanta je da dignes tinyproxy na tom serveru, i podesis ga za "stealth proxy" mod... u slucaju da ne volis da se konektujes svaki cas...

Ma podesavanje mi nije problem, samo da vidim oko zakupa gde. A podesavanje je vise trivijalna stvar.

digital ocean... nema greske... odnos cena kvalitet je nenadjebiv

da upravo sad to gledao i nasao jos par nekih ali je stvarno najjeftiniji, a kolikovidim ima taman o sto mi treba. Neka linux masina, podignem neki vpn i vozi... Hvala puno na odgovoru i pomoci

Samo da kazem da sam ovo resio sa HotSpot Shield-om. Mali programcic i radi ok.

HotSpot Shield

Zna li neko planira li Mikrotik da konačno uvede udp za OpenVPN?

I koliko je stvarno problematično terati preko tcpa? Uzeo sam MikroTik RouterBoard RB2011iL-IN, podigao OpenVPN server i uskoro ga puštam u produkciju. Tu gde će biti je SBBova veza 80/4, a udaljena kancelarija na kome će biti openvpn klijent je isto SBB nešto DL/2Mb/ul.

Kako je SBB<>SBB i niska latencija, trebam li očekivati probleme u radu?

Biće i po neki "road warrior" preko OpenVPNa, ali tu latencija nije od značaja toliko.

Sto bas OpenVPN?

Šta drugo predlažeš, a da nije IPSec, pošto to ne želim? OpenVPN inače koristim svuda i extra sam zadovoljan, ali je mikrotikov OpenVPN server poprilično osakaćen sa opcijama. :(

A Androidi smaraju sa obaveznim pinom za vpnove, dok openvpn klijent za vnagoid ne traži obavezan pin.

@bachi , neces imati problema ukoliko nece biti nekog preteranog saobracaja, a sobzirom da imas 4mb UL, ima ti radi bez greske.


Prosle godine smo umrezili 35 apoteka, sve imaju sbb net (samo poneka telekom dsl), svi rb-ovi na klijent stranama su rb941, centralni je rb850Gx2. OVPN kod vecine, a negde i IPsec, saobracaja od 10 do 15mbps na CORE strani. Sve radi savrseno.

v7



Ni najmanje. Prolazi mi SIP i video bez problema. Samo treba pravilno podesiti QoS i nema greske.



Meni je kasnjenje stabilnih 24ms preko tri drzave i 16 hopova. I kao sto rekoh nema nikakvih problema...

Odlično, to me je zanimalo da mogu mirno da spavam. :D

Radi se o udaljenoj prodavnici koja je zakačena na glavni server i u pitanju je sql baza, dakle klijent server. Ponekad se udaljeno gledaju kamere, ali ne toliko često. Kako nekih 70% stvari ne znam oko Mikrotika, doći će na red i to ograničavanje protoka, pa ću smarati ovde za pomoć.

P.S. Ako sam dobro video, taj v7 se najavljuje već 5 godina? :D

Sve dok je trenutni protok < max protok sve ce da bude u redu. Onog momenta kada dodje do "vece ili jednako" pocinje haos ako nije QoS podesen kako treba (ili ako nije uopste podesen).



Zato sam i bio veoma precizan sa odgovorom :)

Kako da vežbam ovaj Mikrotik u VM kada probna licenca traje čitav jedan dan?

Snašao sam se, moraš da se registruješ na njihovom sajtu i onda napraviš demo key koji nije vremenski ograničen.

Maybe EoIP bolje rešenje. Nešto kao provajder L3vpn.

Hint: CHR

EoIP ne kriptuje saobracaj. Mora IPSec ispod.

zar ne bese od pre par (pod)verzija da moze da kriptuje i EoIP?

Koliko ja znam ima samo integraciju sa IPSEC ali ne znam da sam moze da radi crypt...

Skinuo sam neku, doduše blago bajatu, knjigu pa sam koliko toliki sada upućen u osnove. Treba mi bukvalno ta level 1 licenca da bih mogao da se igram oko firewalla, QoSa i rutiranja, ništa mi ne znači broj tunela.

offtopic:

Da sam u Srbiji pozajmio bih ti jedan da vezbas :).

Ću da ga kupim preko preduzetja. :D Biće zanimljivo praviti site2site vpn između njega i pfsense-a. :D

Pa sa CHR verzijom mozes sve to samo sto je brzina na portovima ogranicena na 10Mbps ako koristis trial licencu... ili tako nekako.

CHR je za virtualne mašine? Ako da - probaću, hvala.

Ta kombinacija provereno dobro radi.

Ali IPSec... mada to i radi, ali Cisco (pogotovo ASA) - Tik IPSec site2site je muka nevidjena... ne znam da li su resili. Neke bivse kolege su testirali i kao sad radi.. mozda u lab uslovima pola sata i radi :).

Ma jok, OpenVPN, eventualno L2TP/IPSec. 15 udaljenih lokacija mi je vezano OpenVPNom na pfsense-u, što site2site, što road warrior i radi kao sat, pu, pu.

Ali kako je ograničen budžet, na pojedinim lokacijama su pc računari na 600 - 1000MHz i to kao radi, ali vuče to ipak struju, a osnovni mikrotik routerboard je oko 9k, a troši 5w, što je stvarno super cena.

Vidim da i ruteri bez wifi interfejsa imaju hotspot deo, dakle mogao bih da na na primer port5 uklonim iz bridgea, i da na taj interfejs dodelim hotspot i na njega utaknem wifi ap i to će da radi?

Takođe, na pfsenseu imam vaučere gde generišem razne tipove vaučera koji su vremenski ograničeni, da li MT ima isto to? Dakle da ne ide na username i password, već preko vremenskih vaučera?

Radi. Skoro ja nameštao. Sve novije verzije ROS-a rade stabilno. One ranije (5.x) su bile katastrofa ali su sad ispeglali.

www.google.rs
mikrotik chr
klik na prvi link
prvi pasus:

"Cloud Hosted Router (CHR) is a RouterOS version intended for running as a virtual machine. It supports the x86 64-bit architecture and can be used on most of the popular hypervisors such as VMWare, Hyper-V, VirtualBox, KVM and others. CHR has full RouterOS features enabled by default but has a different licensing model than other RouterOS versions."

E baš ti hvala na uputstvu za Googlanje, aj' sad Gojko gasi forum, ne treba nam kad je tu Google.

Umesto što si napisao poruku Hint: CHR, mogao si da napišeš, imaš i imidž za vmware, Mikrotik CHR i stvari bi bile dosta jasnije, a sama tema korisnija kako po mene, tako i za buduće ljude kojima bi ta informacija zatrebala, ili svi da googlaju, ko ih hebe?

pa mora malo i da se nahrani sujeta, šta misliš zašto ljudi posećuju forume i vole virtuelni život...

Pušteno u rad i za sad, pu, pu sve lepo radi.

Link je 80/4 kod SBBa, ping u OpenVPN tunelu za 2 - 4ms veći nego ping spolja, kada kopiram neki backup od par giga, piči maksimalnom brzinom u tunelu i tunel ne puca. Ovo sve za sada bez ikakvog traffic shaper-a, u planu (kad porastem i naučim) da stavim simple queue čisto da kada računari šalju dugačak email da ne uzmu ceo upload, dosta im je ukupno ~2Mb uploada.

Ono što me brine jesu performanse tunela. Naime, isti je AES-128-CBC, upload je 4Mb i kad tunel radi punom parom, cpu ide na 20%. Što znači da jednog dana kad džiberski SBB poveća upload brzine da će to onda biti problem, ali otom potom, šta i ja očekujem od arm na 600MHz. :D

E da, jedno pitanje... Ako bih želeo da pustim netbios za OpenVPN klijente, trebao bih da umesto arp stavim proxy-arp, međutim, LAN interfejs je u stvari bridge od 7 lanova i šta će se desiti ako na bridge interfejsu stavim proxy-arp?

imaćeš puno broadcast overhead-a...

https://community.openvpn.net/openvpn/wiki/BridgingAndRouting

Znam za to, na nekim lokacijama gde je OpenVPN server Windows XP pa na dalje mašina, obično koristim bridge i ono, radi ok. Idealno za male mreže bez mrežne infrastrukture (čitaj: tp-link ruter od 20€).

Ideja je da na Mikrotiku ostane routing mode za OpenVPN (mislim, mora da ostane), ali da se ipak koristi netbios za rešavanje netbios imena. To se inače postiže tako što se za LAN interfejs umesto arp stavi proxy arp i onda on lepo prosleđuje arp sa OpenVPNa na LAN. Međutim, pošto je routerboard u pitanju, lan interfejs u stvari nije jedan port, već bridge od 9 portova i tom logikom, ako ne grešim, trebao bih za taj bridge interfejs da stavim proxy arp. E mene zanima šta će da se desi ako to uradim? Da li postižem to što želim ili ću imati negde druge probleme?

U suštini ono što sam sada uradio jeste da sam ključnim računarima odradio dhcp rezervaciju i na mikrotikovom DNS forwarderu dodao statičke podatke koji razrešavaju nešto.domen.loc na ip adresu i to lepo radi.

I planiram da ostaje tako ukoliko mi ne budu kukali, mada za sad nema razloga, ali čisto unapred da znam ako bude.

_{[Ovu poruku je menjao bachi dana 25.09.2016. u 21:31 GMT+1]}

U netwatch namesti da ti šibne mail kad mu je nedustupan udaljeni sajt. I obratno.

Korisno je a jednostavno za nsmestiti.

Otvorila mi se firma za Mikrotik hAP lite :D :D :D :D: :D Bogme, ozbiljna mašina sa ozbiljnim performansama. :D :D

Anyway, u direkciji nam je pfsense ruter i podignuto je više VPNova i sve radi kako treba, međutim, kada sam napravio site2site OpenVPN između pfsense <> mikrotik, sve lepo radi dok ima protoka, ali kada je idle, veza puca posle par minuta i ponovo se sama uspostavi posle par sekundi.

Problem sam rešio tako što sam na pfsenseu pod gatways namestio da pinguje ip adresu mikrotika unutar vpn tunela i veza nije pukla ni posle 10 sati, ali postoji li neko elegantnije rešenje na samom mikrotiku, jer se inače održavanje veze rešava direktivama unutar samog config fajla za openvpn, ali to kod Mikrotika nisam našao, pogotovo što je u MT slučaju implementacija OpenVPNa išla nekom logikom popij deset ekstazija pa drmni po kodiranju.

Probao sam na samom ppp interfejsu za openvpn client u MT da stavim session time i idle time, ali nije pomoglo.

Neka ideja?


I jedno kratko n00b pitanje: da li se upgradeom boot loadera, oni to zovu RouterBOOT gubi konfiguracija uređaja?


Edit: Na kraju malo više što se wifija samog uređaja tiče. Iako je uređaj veličine dve pakle cigara, wifi uspeva da mi pokrije prostor od 65kvm... Doduše živim u w00kohebini gde nije gužva u etru, ali opet prijatno iznenađenje.

Podigao sam dva ssid u dva vlana i sve radi stabilno.

Edit: Da, radi stabilno dok se u prečniku od 5 metara od rutera, posle toga brzina pada. :D Dakle ovaj uređaj pokriva wifijem kako treba max 20 - 30kvm, no koliko para toliko muzike.

_{[Ovu poruku je menjao bachi dana 15.04.2017. u 10:05 GMT+1]}