[xbuyer]

Здравствуйте всем!

 

Задачка такая: есть микротик, который висит на белом адресе и раздаёт трафик в локальную сеть после себя. Хочу сделать так, чтобы к этому микротику можно было по ВПН соединяться с целью получения доступа к локальной сети. Задача как бы тривиальная и всё как бы прозрачно. Но это на первый взгляд.

 

ВПН сам по себе снижает пропускную способность соединения в различных вариантах примерно на четверть от общей пропускной канала. А соединяться должен удалённый комп как раз таки с очень слабенького канала (с жопореза). Задача соединения - передача служебной информации (что-то вроде логов апача, чтобы было понятнее). В зависимости от того, какая будет пропускная способность соединения, я уже буду мысли думать по способу передачи инфы - то ли в чистом виде, то ли жать. Посему хочу спросить совета специалистов: как лучше организовать подключение?

Во главу угла ставлю скорость конечно же. Вторым по приоритету идёт простота настройки (вдруг нужно будет объяснять другим людям как настроить на другом объекте?). Ну и третьим - безопасность.

Посоветуйте плиз как лучше сделать.

Спасибо заранее.

[Saab95]

Для сотового модема VPN нормально, сам так подсоединяюсь к сети удаленно через ноутбук - никаких проблем, скорости хватает.

 

Настройка проста - включаете VPN сервер, создаете в секретах нужных вам пользователей, ставите им такие IP адреса, которые не пересекаются с интернетом и вашей сетью, делаете на них маршрутизацию внутри сети, чтобы иметь с них доступ куда угодно. Вот и все.

 

Если у каких-то устройств не прописаны маршруты на сервер, тогда следует использовать proxy-ARP. В этом случае у нужных сетевых интерфейсов в настройках ставится этот пункт, а адрес VPN клиента ставите любой свободный из существующей подсети.

[xbuyer]

Saab95, спасибо за ответ!

 

Хотелось бы несколько уточнить: Вы работаете с сотика, скорость соединения какая у Вас? Сильно ВПН снижает пропускную спосбность канала?

Вы ВПН подняли на сервере или на роутере?

Я хочу поднять на роутере (на микротике). Как бы за ним есть и сервер 2003 что ли, но это малоинтересно - микротик по стабильности любой виньсервер далеко за пояс заткнёт.

Хотелось бы узнать, что лучше взять за транспортную основу: L2TP, PPTP?

Как проще сделать всё это именно на микротике?

[Ivan_83]

L2TP

 

в случае винсервера точно можно будет получить сжатие, оно не плохо работает с логами.

 

Другой вариант: жать в архив под паролем и заливать хоть по фтп, тоже можно с авторизацией.

 

 

[sherwood]

а какой снижении скорости вы говорите? я например подключаюсь к серверу с коммуникатора по VNC на скорости 33Кбит\с и могу что то на нем делать, хотя и с небольшой задержкой, думаю что удаленному рабочему столу для хорошей работы хватит 100Кбит\с, для передачи файлов конечно нужно что то побыстрее.

а так конечно поднимайте на тике впн делайте маршрутизацию в сеть и юзайте.

но на мой взгляд если хотите только перебрасывать файлы, то поднимите фтр сервер, сделайте на тике проброс портов и цепляйтесь к нему и качайте, просто и сердито.

[xbuyer]

Ivan_83, спасибо за ответ!

 

Я немного неточно описал задачу: что-то навроде логов передаётся, но не вручную: одно ПО (клиент) передаёт другому ПО (серверу) логоподобного вида информацию. Как передать - в открытом виде, или пожать - это вопрос реализации. ПО моей разработки, поэтому проблем по методологии передачи нет. Я бы хотел решить именно транспортную часть - выбрать максимально правильный/удобный вариант транспорта. А там далее я буду уже тестить скорость передачи, корректировать протокол обмена (если связь окажется так себе) ну и на край буду жать дату.

 

L2TP в микторике есть, погуглю на эту тему, попробую настроиться - отпишусь.

 

Если есть какие камни подводные или тонкости (или мануал:)) - очень был бы признателен за информацию.

 

sherwood, если у Вас канал 100 килобит (допустим) то при подключении ВПН Вы сможете использовать канал только процентов на 80 - часть пакетов будет уходить на само ВПН соединение. В зависимости от способа реализации ВПН процент использования канала разный. Вот мне и нужно выбрать максимально удобный вариант.

 

Пы.Сы.: конечно, если у Вас скорость канала 100 мегабит то затраты на ВПН ничтожны и не подлежат обсуждению. Но в случае жопорезов это крайне значительная потеря.

[Ivan_83]

Лучше как раз и начать с жатия: любой архиватор даст вам на текстах оч приличное сжатие. Можно использовать zlib прямо в своей софтине и жать на лету, аналогично с шифрованием.

[Saab95]

В микротике лучше VPN делать, а не заморачиваться с L2TP. Он нормально работает даже с 5-10 килобит/сек, и с кратковременными потерями связи, там может что-то и съедается на накладные расходы, но лучше варианта все равно нет=) потерянных 20 процентов скорости от такого канала, это очень мало, что они есть, что их нет, разницы никакой, один фиг медленно.

 

Чтобы создать VPN на микротике нужно нажать кнопку PPP сбоку в меню, в открывшемся окне на вкладке Interface нажать вверху PPTP Server и включить галочку Enable.

 

Далее на вкладке Secrets жмете +, пишите логин и пароль, Remote Address - это адрес для выдачи клиенту, Local Address - это адрес сервера. Допустим хотите вы давать адреса 192.168.0.х для клиентов по VPN, значит Local Address будет всегда 192.168.0.1, а Remote указываете у каждого клиента свой. Local Address можно прописать в профиле, чтобы не указывать у каждого клиента, для этого на вкладке Profiles выбираете профиль Default и вписываете адрес там. Там же в профиле можно включить сжатие на канале, галочки Use VJ Compression и Use Encryption поставьте в NO. На винде при этом в настройках VPN нужно будет разрешить подключение без шифрования.

[xbuyer]

Saab95 СПАСИБО ОГРОМНОЕ ЗА ПОМОЩЬ!

 

Я уже хотел было испробовать - но не тут то было: r01 (а на нём часть сервиса завязана) лежит уже с час и фиг знает когда поднимется. Обязательно отпишусь по результатам.

 

2Ivan_83: Компрессия всё же необходима, Вы правы. У меня там такая ситуация, что либы юзать если то только свои. Процы малооборотистые, памяти мало, загрузка с флешки и т.п. Ввиду минимализации используемых ресурсов выберу что-то из руннигов и в статической связке. По-сути ведь это ещё и положительно скажется на тафике. Но в любом случае - сначала транспорт. Как только сервисы поднимутся - сразу же попробую всё, о чём писал Saab95.

[Hawk128]

В свое время решал похожую задачу. Предача через GPRS данных с GPS приемника на авто. Был написан протокол связи на основе бинарного исполнения. Очень многие параметры и данные ужались во много раз. Итого за месяц на обычном помегабайтном тарифе сотового выходит 7-9 рублей. Так что весьма неплохо. Сессия была без ВПН, просто цеплялась к серверу по своему порту.

[xbuyer]

Значится так: сделал всё ровно так, Вы сказали, Saab95 - не выходит. Утилита торч показывает подключение, эрикс есть, а тэикса нету нисколько. Может правила файрвольные нужно создать? Хотя вобщем-то по-умолчанию должен понимать, что подняли новый сервис. Странно.

Вобщем отваливается соединение с ошибкой 800.

 

Есть белый айпи, который в сеть смотрит. Есть айпи роутера в локальной сети. Нужно чтобы по ВПНу клиент получал айпишник локальной сети. Это теория.

Практика: адреса какие только не менял между собой - не пырит и всё тут.

 

Подскажите пожалуйста, как правильно сделать отладку на микротике? Как понять, что ему не нравится и почему от не отвечает клиенту на запрос впн соединения?

[Saab95]

А у вас сеть какая? одна подсетка? Тогда в свойствах сетевого адаптера, который смотрит в вашу локалку настраиваете пункт ARP - proxy ARP

 

 

В примере в локалке адреса 192.168.0.х

 

Вы кстати когда микротик купили/установили, отменили конфигурацию по умолчанию, которую он при первом включении спрашивал?

[xbuyer]

Saab95 я ничего не делал с микротиком и его конфигурацией. По-умолчанию он имел 192.168.88.1 и меня это вполне устроило. Я только прикрутил внеший айпи, создал несколько нат-правил (сип, ашттп, ещё чего-то там) и всё - так он работает уже чуть ли ни год и я редко о нём вспоминаю.

 

Сейчас попробую сделать настройку как у Вас на скриншотах.

[Sonne]

VPN через NAT почти ни на каком протоколе не работает. Реальный IP не каждый сотовый провайдер даст.

 

Я поднимал OpenVPN по TCP, через GPRS мегафона и МТСа работает на ура.

Задача настройки не очень тривиальная - генерация SSL ключей и т.д.

[Saab95]

Saab95 я ничего не делал с микротиком и его конфигурацией. По-умолчанию он имел 192.168.88.1 и меня это вполне устроило. Я только прикрутил внеший айпи, создал несколько нат-правил (сип, ашттп, ещё чего-то там) и всё - так он работает уже чуть ли ни год и я редко о нём вспоминаю.

 

Зря. Надо начальную конфигурацию сбросить. Т.к. в ней устройство предварительно настроено в режиме роутера с WAN портом и может что-то не работать, в итоге косяки будете искать дольше.

 

VPN через NAT почти ни на каком протоколе не работает. Реальный IP не каждый сотовый провайдер даст.

 

Не сталкивался с таким, чтобы VPN не заработал. Через сотовых всегда работает (со всех трех операторов). Да что говорить, при соединении по PPPoE на роутере в режиме ната, можно еще соединится с каким-нито сервером по VPN. Или VPN поверх другого VPN поднять. Вот если более одного соединения через NAT делать, тогда да, косяки возможны.

[xbuyer]

Saab95, мне как раз микротик как роутер и нужен. У меня вообще вся инфа по микротику только с этого форума (в наге и брал вобщем-то девайс - у них всегда чего-нибудь прикольное можно откопать на разные темы). Нигде не упоминалось по сбросу, поэтому всё по-умолчанию.

Всё что можно я перепробовал/перекрутил. Не пырит. Может нужно создать нат правила какие-то, чтобы он получая запрос на белый айпи перенаправлял на внутрениий адрес, на котором соединение возможно?

Должны же быть какие-то утилиты или методика отладки. Вот по портам есть портмонитор - сразу всё понятно что и где застряло. Трассировка какая может есть?

Ну не хочет микротик отвечать - нивкакую. Принимает пакеты и молчит.

За день я что только не перепробовал, что только не переделал. Беспользы. Счас начну файрвол разбирать. Мож он всю кашу портит.

 

Чего отрыл: в панели файрвола, на вкладке сервис портс, напротив pptp никакого порта нету (во всех остальных есть). Может тут собака зарыта?

[xbuyer]

Причину брардака я нашел! Это файрвол резал всё. Теперь могу соединяца и даже получать адрес какой хочу.

Ещё одна трабла нашлась: могу пинговать шлюз сервера с компа, который по ВПН подключился, но не из сети офисной до нового коннекта достучаться/соединиться, ни с подключившегося компа до офисных компов.

Очевидно, я что-то упустил.

 

Вся схема у меня выглядит ровно так, как на скринах, которые запослил Saab95.

[Saab95]

Сбросить надо конфигурацию и настроить все заново, чем искать что там и где заблокировано. Собственно приведенная мной настройка позволяет без проблем попадать внутрь сети так, как будто этот компьютер сам в ней находится. Если не можете попасть в сеть, используя proxy-ARP, значит не правильно что-то где-то ввели. У вас адрес на микротике и маска подсети какая? Вообще выложите скрин вкладки IP-Address. и маршрутов.

[Sonne]

VPN через NAT почти ни на каком протоколе не работает. Реальный IP не каждый сотовый провайдер даст.

 

Не сталкивался с таким, чтобы VPN не заработал. Через сотовых всегда работает (со всех трех операторов). Да что говорить, при соединении по PPPoE на роутере в режиме ната, можно еще соединится с каким-нито сервером по VPN. Или VPN поверх другого VPN поднять. Вот если более одного соединения через NAT делать, тогда да, косяки возможны.

 

На каком протоколе VPN ? С шифрованием или без ?

[Saab95]

На простом VPN(PPTP) без шифрования. Да и с шифрованием работает. В роли VPN сервера бывал микротик и винда 2003.

[xbuyer]

Saab95, всё заработало как нужно!

Спасибо всем за помощь!

Средняя скорость обмена на простом VPN через жорорез составляет 70 килобит. Этого вполне достаточно для реализации моей задачи.

Буду пробовать стабильность работы с шифрованием а так же с применением компрессии.

[denio]

А у вас сеть какая? одна подсетка? Тогда в свойствах сетевого адаптера, который смотрит в вашу локалку настраиваете пункт ARP - proxy ARP

 

 

В примере в локалке адреса 192.168.0.х

 

Вы кстати когда микротик купили/установили, отменили конфигурацию по умолчанию, которую он при первом включении спрашивал?

 

Огромное спасибо! Всё работает! Даже специально зарегистрировался чтоб поблагодарить!!!!

[xbuyer]

Отчитываюсь по работоспособности (время тестирования - чуть больше месяца):

Микротик рулит. Это если в двух словах.

На качество соединения никак не влияют сжатие/шифрование. Что с ними что без них - всё стабильно (птьху-птьху-птьху))))

Скорость жопорезов для моей задачи оказалась вполне достаточна (избыточна, если быть точнее).

Траблы провайдера конвекс неожиданно влились в проект - конвекс при отрицательном балансе показывают свою страничку

"а нука заплатите", с кодом ответа 200, в результате чего моя система перестаёт функционировать

(ведь ответ от сервера как бы есть, только это козий конвекс написал свои письмена).

 

Сейчас думаю, как микротик заставить опознавать страницу, которую подсовывает конвекс и каким то макаром при её обнаружении давать свой ответ или свою страницу.

[pubuser]

А у вас сеть какая? одна подсетка? Тогда в свойствах сетевого адаптера, который смотрит в вашу локалку настраиваете пункт ARP - proxy ARP

 

 

В примере в локалке адреса 192.168.0.х

 

 

Здравствуйте, прошу помощи вот с чем.

 

Имеется микротик, внешний интерфейс eth1 без ip адреса, через него ходит pppoe клиент, получая инет от провайдера, интерфейсы eth2,eth3,eth4,eth5 объединены в локалку, eth2 мастер порт и имеет ip 192.168.1.1. Создаю VPN сервер, адреса беру для него из той же сети, что и на eth2, Сервер 192.168.1.100 и клиенту даю 192.168.1.101. Всё извне нормально подключается, обычным виндовым vpn клиентом. Сделал согласно скриншотам, установил arp proxy на eth2, теперь клиент подключеный по vpn, может получить инет через мое pppoe подклчюение, да и без arp прокси в принципе инет у клиента vpn был доступен, но локальные адреса сети ему не доступны, пинг на локальные адреса не идет, пингуется только шлюз vpn соединения - 192.168.1.100. Прочитал всю тему, но так и не ясно как кто конкретно что сделал, чтобы у клиента vpn заработал доступ к локальной сети. С машин из локалки тоже не могу пингануть ip клиента vpn, 192.168.1.101 Подскажите пожалуйста что прописать чтобы у клиента стала доступна локалка? Нужна схема как на картинке, не для того чтобы удаленные клиенты получали интернет а именно для доступа к внутренним компам в LAN. Заранее спасибо!!!

Изменено 4 января, 2012 пользователем pubuser

[Saab95]

Если у вас Ether2-3-4-5 объединены в бридж, то IP адрес надо ставить на этот же бридж, и на нем включать proxy-arp.