Mikrotik RB751G a VPN do domaci site

Dobry den, rozchodil jsem v praci kde mam verejnou IP a mikrotik RB751G ke kteremu je pripojeno par pocitacu, VOIP atd... PPTP server. Chodi to, z mobilu s androidem se pripojim do pracovni site a vyuzivam internet a sit z prace. Potreboval bych ale pripojit do firmy domaci pocitac a celkove domaci sit, protoze jsem doma pripojeny pres open wifi a rad bych timhle sifrovanym tunelem resil bezpecny internet doma. Doma jsem za natem a nemam verejnou IP. Chci pouzit levny TP link, ktery uz tam mam a nastavit WAN port toho TPlinku jako PPTP / L2TP VPN ku na mikrotik v praci. Za tim TP linkem bych mel tedy uz bezpecnou sit s rozsahem IP jako v praci... Potud OK, myslim, ze by to tak slo a vyresilo by to pripojeni do firmy. ALE, jak se budou tvarit ty pocitace doma? Budou schovane za jednou IP, protoze budou fakticky za NATem toho tplinku, ze ? Takze nebudou dostupne z prace... Nerad bych zbytecne delal dalsi subnet, chtel bych, aby domaci PC dostaly skrze ten VPN tunel kazdy svoji IP z DHCP v praci a byly vzajemne dostupne v ramci jedne site. Aby se defakto domaci jevily, jako by byly zapichnute do routeru v praci. Da se to nejak jednoduse udelat? Muj skill level : Klasicke routery si nastavim, OPENvpn na pc jsem rozjel, ale nejsem sitar a v mikrotiku zatim plavu, tam jsem si nastavil akorat staticke adresy dhcp, odblokoval porty ve firewallu a rozjel PPTP server. Nastaveni je dost rozsahle. Proto prosim o nakopnuti spravnym smerem, zbytek uz si nastuduju, kdyz budu vedet co. Jde mi hlavne o to, zda bude stacit to, co jsem zamyslel, nebo budu muset domu poridit taky mikrotik, udelat pres VPN bridge a routovat? Diky moc, Petr

PPTP / L2TP ti neprojde skrz NAT nebo Firewall. Jediné řešení je OpenVPN, které umí mikrotik a ve windows na to je program. Musíš tedy na MK rozchodit OpenVPN server a pak se na něj z windows připojit. TPlink se ti k tomu (pokud nemají nové firmwary) nepřipojí.

Ale projde, nicméně záleží, jak má nastavené zařízení tvůj provider. Musí podporovat propouštění GRE protokolu. Každopádně ani tak nedoporučuji PPTP/L2TP používat pro zamýšlený účel, protože tyto protokoly nejsou určeny pro trvalé spojení dvou subsítí.Ideálním řešením je použít i u tebe doma Mikrotik, tam následně nakonfigurovat připojení buď pomocí OpenVPN nebo ještě lépe EoIP tunel (což je taková specialitka Mikrotiku) a bude to fungovat přesně tak, jak požaduješ. Plně transparentně a hlavně stabilně.

Diky za reakci, ale nesouhlasil bych... Ted tam mam PPTP a normalne jsem se na nej pripojil z domu pres mobil. Cili v praci MK s PPTP serverem, doma verejna wifi, APklient + router s NATem a wifi a pres mobil s wifinou pripojenou k tomu domacimu routeru s NATem - cili v ceste minimalne 2 NATy se normalne spoji a funguje. Podle mne je potreba aby PPTP / L2TP server byl bez NATu a mel verejnou IP, ale u klienta se na to nehraje.Open VPN mam tedka, ale neni to pro mne reseni, protoze potrebuji jednak vyuzit stavajici krabicky, ktere uz mam - nechci mit doma spusteny PC s VPN, ale chci to resit prave tou krabickou, ktera tam uz ted je... a ta se umi pripojit k PPTP / L2TP... Dalsi vec, ze bych se nepripojil do prace pres mobil s androidem - vim, ze je klient OVPN i pro androida, ale nechci rootovat. A android podporuje nativne PPTP i L2TP tak proc nevyuzit L2TP. Jen potrebuji nejak vyresit tech vice IP adres pres jedno spojeni.---------- Příspěvek doplněn 29.10.2012 v 11:08 ----------Diky za nazor... Ano, jak jsem psal, spojeni mi funguje jiz ted, s tim problem neni... Nezkousel jsem to teda primo na tom TPlinku, ale kdyz to jde pres mobil pripojenej k nemu, pujde to i primo... Jde mi to, jak pridelit ten rozsah adres.Popravde se zacinam smirovat s nakupem dalsiho mikrotiku, ale rad bych to vyresil na krabickach, ktere uz mam, pokud to jde. Vysvetli mi nekdo, proc nepouzit L2TP? to je opravdu tak mizerne co se tyka bezpecnosti ?Neni to az prilis paranoidni? Ani WPA neni bezpecne a stejne se vyuziva :-)

Napsal mytrix;863189

Ale projde, nicméně záleží, jak má nastavené zařízení tvůj provider. Musí podporovat propouštění GRE protokolu. Každopádně ani tak nedoporučuji PPTP/L2TP používat pro zamýšlený účel, protože tyto protokoly nejsou určeny pro trvalé spojení dvou subsítí.

Ideálním řešením je použít i u tebe doma Mikrotik, tam následně nakonfigurovat připojení buď pomocí OpenVPN nebo ještě lépe EoIP tunel (což je taková specialitka Mikrotiku) a bude to fungovat přesně tak, jak požaduješ. Plně transparentně.

L2TP je bezpecne, ale o to tam nejde. Jde o to, ze PPTP / L2TP jsou protokoly, které nejsou navrženy pro stálé propojení dvou sítí, ale jsou navrženy pro přístup jednotlivých klientů (tzv. road warrior) k jiné síti. V praxi se to projevuje tak, že propojení není tak stabilní, může docházet k výpadkům, což je samozřejmě pro zamýšlené užití nepříjemné.

Aha, pak mne napada, postavit tedy tunel na mikrotikach a soucasne na mikrotiku v praci spustit L2TP, ke kteremu bych se pripojoval z mobilu a obecne zarizeni, ktera OPENVPN nepodrporuji, nebo ano, ale slozite. Pokud bych mel transparentni spojeni PRACE-DOMOV, mel bych pak tim mobilem pripojenym do prace videt i na sit doma.OK, asi vystavim na prodej 3 wifi routery a poridim misto tech dvou jeden poradnej mikrotik :-) Navic, ziskam i gigovy ethernet, ktery ten tplink nema a pak take Wifi pro navstevy pomoci virtual AP.

To bude nejlepsi :)