Mikrotik - dvije lokacije

[Guls]

Pozdrav

Imam dva RouterOS bazirana uređaja (Mikrotiki).
Jedan Mikrotik se nalazi na fiksnoj IP adresi, a drugi se nalazi na selu iza TP Link 4g MR200 routera s dinamičkom IP adresom.

Rado bi da se ta dva mikrotika vide putem VPN-a i da ovaj dinamički Mikrotik može pristupati mreži od fiksnog Mikrotika.

Na fiksnom Mikrotiku sam dignuo L2tp server s ipsecom i koliko čitam trebao bi napraviti neki ip passthrough s tog TP Linka. Tu sam stao. Ima tko kakav savjet?


p.s. poanta je da laptop kojeg imam iza dinamičkog mikrotika 24/7 pristupa jednoj bazi koja je iza fiksnog mikrotika.

[Alister]

Stao si jer ne radi ili ne znaš kako?
https://community.tp-link.com/en/hom...m/topic/240314

Koliko vidim ima problema sa firmware-om i ne želi raditi sa svakim firmware-om passthrough.
https://community.tp-link.com/en/hom...c/89471?page=3

Jesi na dinamičkom mikrotiku podesioL2tp klijenta, i isprobao? Također ako si iza CGnat-a ne bude ti radio VPN.

[Guls]

Nisam znao dalje kako.
Na dinamičkom mikrotiku sam napravio vpn klijenta i spojio se na fiksni mikrotik, ali laptop i dalje ne vidi bazu. CGnat ima veze s time? Ne bi li trebao cgnat raditi problem samo ako je dinamički mikrotik server?

[Alister]

Da si iza CGnat-a onda ti ne bi radio VPN, ne bi se mogao spojiti.

Znači, VPN ti se spoji, da li možeš pingati fiksni mikrotik (VPN IP adresu), sa laptopa i sa dinamičkog mikrotika? Koji su ti subneti na obje strane, da li možeš potvrditi da ideš na VPN kada probaš pristupiti bazi (napravi trace route)?
Da li si postavio statičku route-u (ovisno kako su ti IP adrese na obje strane)?

[Guls]

Citiraj:

Autor Alister

Da si iza CGnat-a onda ti ne bi radio VPN, ne bi se mogao spojiti.

Znači, VPN ti se spoji, da li možeš pingati fiksni mikrotik (VPN IP adresu), sa laptopa i sa dinamičkog mikrotika? Koji su ti subneti na obje strane, da li možeš potvrditi da ideš na VPN kada probaš pristupiti bazi (napravi trace route)?
Da li si postavio statičku route-u (ovisno kako su ti IP adrese na obje strane)?

VPN klijent dinamičkog mtika se spoji uredno na fiksni mtik i radi.
Fiksni mtik se nalazi na 192.168.0.0/21 (konkretno 192.168.0.2), dinamički mtik se nalazi u 172.16.0.0/16 (172.16.0.1). Uopće različite klase mreža.
VPN adresa spajanja je 192.168.30.82 (tu adresu dinamički mtik dobije kada se vpn-om spoji na fiksni mtik).

VPN radi uredno, ali samo između dva mtika. Uređaji iza se ne vide. Vjerujem da tu treba srediti route tabelu, a nisam siguran kako.
Ping prolazi s mtika, ali ne i s laptopa. Rute su defaultne, premda sam na dinamičkom mtiku dodao rutu prema subnetu fiksnog mtika uz gw adresu 4g routera. Ako dodam udaljeni fiksni mtik kao gw, onda je unreachable.

[Nikky]

Ili pokrpat nekom rutom simo - tamo (di već fali),
ili da dinamički mtik na VPN konekcija dobije IP u 192.168.0.x rangu.

Eventualno na samom Lapu postaviti VPN Client konekciju ?

Za žuntu > https://www.cloudbrigade.com/mikrotik-l2tp-vpn-setup/

[Guls]

Citiraj:

Autor Nikky

Ili pokrpat nekom rutom simo - tamo (di već fali),
ili da dinamički mtik na VPN konekcija dobije IP u 192.168.0.x rangu.

Eventualno na samom Lapu postaviti VPN Client konekciju ?

Za žuntu > https://www.cloudbrigade.com/mikrotik-l2tp-vpn-setup/

Kada na lapu postavim konekciju - radi.
Ali ciljam da ću možda imati više uređaja pa da na svakom zasebno ne postavljam vpn, neka oni svi vide fisknog mtika.

Probao sam dinamičkom mtiku dati nekoliko adresa iz 192.168.0.0/21 subneta, ali ništa nije pomoglo. Čak niti dodavanje rute. Osjećam se mnogo glupo, ali znam da ćemo na kraju nešto iskopati

[Alister]

Mogao si postaviti na statičkom mikrotiku da ti je VPN tunel na fiksnim IP adresama iz range statičkog mikrotika, znači 192.168.0.0.
I onda na dinamičkom mikrotiku staviš rule u firewall-u tipa:
add action=masquerade chain=srcnat out-interface="IME VPN INTERFACE-a"

Naravno route-a treba biti za subnet 192.168.0.0 preko VPN interface-a

[Guls]

Stavio sam PPP usera na statičku adresu u 192.168.0.xy, postavio masqueade rule na vpn interface.
Dinamički mtik, nakon uspostave VPN veze, vidi kompletnu mrežu iza fiksnog mtika, ali laptop iza dinamičkod mtika i dalje ne vidi ništa. Ćorav skroz. Tracert s laptopa me dopela do 9 koraka, zadnji je HT i tu stane.

[Guls]

E sad, jedino mi pada još na pamet da tp link ostavim da samo daje WAN, a mtik dinamički bude gateway, dhcp i dns server.
Možda to upali.
Idem probati.

[Alister]

Kako si radio trace route, na fiksnu IP adresu Mikrotika 192.168.0.2 ili ? Da li ti je trace išao na VPN tunel (ako si otišao na HT onda promet nije išao na VPN tunel - pogledaj si route na dinamičkom mikrotiku)?

[Guls]

Uspio sam napraviti permanent ipsec peer između dvije mreže.
Iz fiksnog mikrotika (i njegove mreže) vidim kompletno dinamički mtik i njegovu mrežu. Obrnuto ne vidim. Savjet?

[Alister]

A ne znam što te muči sada baš, nisam napredni mrežaš. Peer smatraš VPN tunnel ili ? Ako da onda je to normalno da radi u jednom smjeru, a Mikrotik ima opciju proxy arp koja bi ti trebala možda pomoći