Видео хорошее. добавлю 5 копеек 1- чтобы не писать у пользователей руками route add -p ip_se ИТД....... поменяйте подсеть 192.168.21.1/24 хотя-бы на 172.16.21.1/24 adress mikrotik 172.16.200.1 Pool mikrotik 172.16.200.10-172.16.200.100 тогда на Windows автоматом прописывается route add 172.16.0.0 mask 255.255.0.0 172.16.200.1 и сеть пингуется и туда и обратно 2- также не забудьте поставить в настройках mikrotik на бридж-LAN (ARP=proxy-arp) это у кого прошивка 46 и выше. 3- ну и у кого есть windows server само провидение вам в руки дает Radius
А можете подсказать то и где нужно прописать у пользователя если нет возможности поменять ip-адреса и подсети, по причине того что микротике уже есть настроенная vpn и менять ее не желательно. поднята вторая и при пинге локалка самого микротика не пингуется.?
Спасибо! Единственное дополнение - правило для Firewall создается в самом низу списка, его нужно поместить выше, я сделал на 2 позиции. После этого заработало.
При создании такого впн подключения в настройках сети стоит галка "Использовать шлюз удаленной сети" или как-то так, которая с одной стороны нужна, а с другой стороны сразу пытается весь трафик интернета направить через впн сервер. А следовательно интернет у вас может отвалиться, если удаленный маршрутизатор не маскарадит трафик из сети впн. Но при отключении этой галки маршрут до сети за маршрутизатором надо будет прописывать вручную на клиентской машине или мб может как-то можно через dhcp закинуть(не пробовал)
Еще обязательно нужно активировать на Bridge функцию proxy arp - иначе не работает. Можно в Routes еще прописать целевую сетку организации и шлюз, но у некоторых и без этого работает. Главное proxy arp или local proxe arp.
в 12:55 Вы говорите что все внешние подключения пользователей идут через установленный ВПН-туннель. Это можно исключить настройками соединения на клиенте: Свойства ВПН-подключения --> на вкладке Сеть --> Выбираем протокол Интерета версии 4 --> и его Свойства --> кнопка Дополнительно --> снимаем галку "Использовать основной шлюз в удаленной сети" Далее Вы раскрываете идею как можно было бы это исключить, но я не совсем все понял - Вы не показываете снятие этой галки. По идее это как раз и должно решать проблему, но Вы упоминаете "прописывание маршурута до корпоративной сети" - тут я не понял идею.
@@ВасильМаркульчак-ф2д Запустить командную строку от имени администратора и в ней командой route print посмотреть номер vpn интерфейса и командой route add задать статический маршрут. Например: "route add 192.168.1.4 192.168.31.1 if 33 -p" . Где 192.168.1.4 это удалённый пк, 192.168.31.1 шлюз vpn, if 33 номер вашего vpn интерфейса который route print показал. -p означает что маршрут постоянный.
Добрый день\вечер. После полугода работы vpn L2tp , отвалился сервер. Ошибка при подключение "Попытка l2tp не удалась из за ошибки произошедшей на уровне безопасности во время согласования" При этом все остальное работает (проброс портов без vpn и доступ ). Настройки стандартные, добавил только vpn, обновления только с исправлением ошибок. Буду признателен за помощь.
Изначально создается VPN L2TP Site to site а после мы уже добавляем ipsec для удаленных клиентов? Почему спрашиваю - реально очень мало внятной инфы в сети (либо плохо искал) о сзднании vpn l2tp ipsec именно site to site (в вашем видео client to site ) . Либо не работает какнужно, лио работает но толко на цисках либо просто какой то сферический конь в ваккуме) Спасибо за видео.
Может быть подскажите? После настройки один клиент подключается отлично, второй подключается первый отваливается. Клиенты за NAT оба выходят через один IP учетные записи разные. Как исправить?
Никак, в микротик Вики об этом написано. Есть обходное решение - погуглите. Если найдете, то сможете реализовать, если нет - значит ещё рано и нужно набраться опыта. Но все равно решение то нестандартное, с оговорками и нюансами.
По идее маршруты можно рулить при помощи DHCP options. Но не знаю может ли такое работать, тем более на микротах. Я использую OpenVPN, да, придётся ставить отдельное ПО на клиентов, но это пожалуй единственная проблема.
Добрый день. Не знаете почему не работает 2tp/ipsec на роутере keenetic omni2? Служба установлена, настроена, но показывает ошибку соединения, а иногда вообще пишет что сервер не найден. Уточню что не работает только этот впн, настроенный на RouterOS. Другие l2tp\ipsec работают исправно!
Ответ на последний вопрос "как разруливаю": цепляюсь к VPN роутером и маршрутами рулю на нем. Метод не подходит, если подключаться приходится из разных мест.
Правила для Firewall: /ip firewall filter add action=accept chain=input comment="For VPN" dst-port=500,1701,4500 \ in-interface=ether1 protocol=udp Не учитывается в создании правила то что интерфейс ether1 может быть другим. В моем варианте так как подключение к провайдеру через pppoe и вместо ether1 ---- pppoe-out1
Здравствуйте, всё работает по инструкции, даже проверил через внешний ип по интернету телефона. Правило файрвола пришлось поднять в верхнюю строку т.к порты на файрволе вроде были закрыты. А в плане безопастности это надёжное решение или можно поднять что-то альтернативное кроме L2tp?
Здесь есть важный нюанс, весь вирусняк с домашних компов юзеров может пролесть в корп. сеть. Нужны правила в файрволле для ограничений. Вопрос как и куда их прописать.
21:38:17 ipsec,info respond new phase 1 (Identity Protection): IProuter[500] ip_clinet[500] 21:38:17 ipsec,error no suitable proposal found. 21:38:17 ipsec,error ip_clinet failed to get valid proposal. 21:38:17 ipsec,error ip_clinet failed to pre-process ph1 packet (side: 1, sta tus 1). 21:38:17 ipsec,error ip_clinet phase1 negotiation failed. чем может быть вызвана?
У меня пингуются всего два адреса после подключения. Это сам микрторик сервер и еще 1С сервер, не понимаю почему именно он пингуется. Есть еще файловая шара, она вот и не пингуется, а очень надо
у сервера (ВинХР в данном случае) должен быть прописан маршрут до подсети 10.123.0.1/24, в противном случае он не знает, куда ему отвечать на запросы из этой подсети и все пакеты отправит в основной гейтвей.
В данном случае вингейт и 10.123.0.1 для ВинХР этой схемы один и тот же. пакеты будут уходить согласно таблице роутинга в микротике, так что тут все верно вроде как.
Давыд, прошу подсказать. Можно ли создать vpn туннель между 2мя ноутами? Дома динамический ip, да еще подключение через wi-fi роутер. Второй ноут в поездках, в которых е работают многие сайты если за рубежом. Никакие сторонние ресурсы vpn использовать не хочу. Все хочется сделать на базе постоянно включенного домашнего ноута. Основная цель - выход в инет с домашнего локального интернета. спасибо
добрый день, подскажите а не было у вас видео по интеграции авторизации пользователей из AD через VPN, или может подскажете где посмотреть, а то у меня два домена через один мироктик, по вашему видео я так понимаю что целую толпу народу необходимо создавать для каждого пользователя в домене пользователя на микротике, огород выйдет какой то с пользователями, или есть решение!?!?
Radius server. Вот ваше решение ) РРР-профили- и там активируете radius client( нужно жамкнуть галочку ) Ну и естественно radius server включить на Windows server где установлена AD
@@arconproject я уже решил эту проблему, все же создал пользователей на микротике, тем более они уменьшились, я пробовал, как вы пишите, но авторизация при этом не работало, а так как нужно было работающее решение, то в итоге создал пользователей на микротике.
Скажите, а если я например хочу разделить на VLAN, чтобы пул адресов для VPN клиентов был в отдельном VLAN или в этом нет необходимости? И если например сервера к которым нужно получить доступ находятся в другом VLAN например 20, то этот VLAN надо помещать в bridge? Мне, кстати, на Windows 10 пришлось руками прописывать маршрут в подсеть 192.168.21.0/24
Давыд, здравствуйте. Сделал все как у вас в видео, подключение проходит, а пинги с удаленной машины не проходят, не пойму почему. Подскажите как с вами можно связаться для консультации?
Брат, у меня такая же проблема. Ты разобрался что к чему? Rx есть а Tx нет совсем. Похоже что-то с трассами но не могу понять... Помоги, если можешь, пожалуйста!!!
Друзья! Ситуация такая, может кто сможет помочь. Я микрот поставил перед основным роутером домашним. Микрот получает интернет с роутера TP LINK. В рамках wi-fi VPN подключается и все работает, как только я начинаю висеть на мобильном интернете, по VPN не получается подключится. Что может быть?
Привет, помогите....задал параметры. Но ни к одной рабочей станции пользователей не могу подключиться (они получают настойки по DHCP) а к серверу(контроллеру домена) смог. Где искать проблему??? Задать статические настройки, или для ПК под управлением контроллера есть доп.настройки???
@@DaveRylenkov спасибо за ответ. Посмотрел видео. С сабинтерфейсами понятно. А как сделать чтоб компы из разных вланов общались между собой. Аксеес листы создавать. Просто 1 отдел с компами переехал физически к другому отделу. Желательно сохранить их сети, и чтоб они были доступны к друг другу.
Спасибо за видео. Всё делал точь в точь. Не хочет никак соединяться :(( Проверил удалёнку с роутера Tp Link, всё работает. Но Mikrotik не в какую. Подскажите где искать причину? Model RB951Ui, Windows 10 (22H2)
@@DaveRylenkov Решил. Нашёл на форуме /ip ipsec policy set 0 disabled=no dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes Все сразу подключилось
Такое поведение наблюдалось на очень СТАРЫХ прошивках. Решалось удалением созданной по умолчанию группы IP ->IPSec ->Groups, потом создать новую, и указать ее в IP -> IPSec -> Peers.
Важно понимать что один серт не является совместимым с другим, так что для каждого клиента нужно делать новый серт. Установка серта идёт как и любого другого серта, качаем его, и ставим просто запуская файл.
Подскажите, пожалуйста, настроил по вашему мануалу - клиенты впн не видят локальную сеть (с самого микротика пингуются как локальные хосты, так и впн хосты)
Есть задача, объединить 2 удаленных офиса, и там и там стоят микротики. На филиале получение WAN происходит по PPPoE (от Ростелеком), на центральном офисе обычная статика Произвожу настройки l2tp все вроде правильно, перепроверял 10 раз, но зараза соединение не устанавливается, куда смотреть!? и вообще возможна ли одновременная работа 2 протоколов ppp?
Здравствуйте! Всё сделал по Вашей инструкции, VPN поднялся, но у пользователя при подключении к VPN пропадает интернет. Можете что-нибудь посоветовать?
У меня задачка которую, не придумал как решить, подключаюсь через iphone к vpn, но на айфоне нет галочки использовать удаленный шлюз.., пока писал автор тоже самое озвучил в конце))
Способ годный. Но можно ведь, проще, во вкладке Nat, добавить новое правило, в chain поставить dstnat, протокол tcp6, dist port указать номер порта, in interface выбрать ether1. Далее во вкладке action пишем локальный адрес машины и порт и все. Правило должно быть выше маскарадинга если что. И все есть конект по рдп, актуально для белого внешнего.
Я все это читаю уже несколько раз, прошу прощения но пока не врубаюсь, хотя очень интересно. Можно пл подробней каждый пунтк? Вы Говорите dist port указать номер порта ... А на машине куда подключаемся нужно будет создать при этом: New Incoming connection - VPN?
@@michaeltolica3788 нет vpn не нужен, простыми словами это проброс порта, в данном случае если по стандарту, у тебя должен быть белый внешний, порт по стандарту 3389 для rdp, но потом смени его в реестре. В тех настройках что описал, ставишь локальный адрес машины. Из дома через rdp, вводишь внешний ip и порт, тебя переадресует на твою машину
@@michaeltolica3788 зайди в микротик, firewall-nat, сделай те пункты что я описал выше, локальный ip укажи свой. Vpn не нужен. Также в свойствах системы на самой ос, где вкладка удалённый доступ тоже поставь разрешения. После того как сделаешь, пробуй подключится с дома, введя внешний ip и порт, введя имя пк\имя пользователя и пароль удалённой машины. Всё должно работать, пробуй
Чтобы интернет трафик не заворачивался в туннель, всем удаленщикам ставим программу - www.draytek.com/products/smart-vpn-client/ , и рассылаем им настройки, очень удобно, там просто прописывается два маршрута, работает идеально
чушь не пишите, если не знаете о чём это видео и для чего оно. в этом видео совсем о другом речь идет, ничего общего не имеющего с вашим пониманием о VPN, даркнет и TOR.
Это лучше объяснение! Нет ни воды, ни каких-то ненужных отступлений! Великолепное видео! Спасибо!!!
Видео хорошее. добавлю 5 копеек
1- чтобы не писать у пользователей руками
route add -p ip_se ИТД.......
поменяйте подсеть 192.168.21.1/24 хотя-бы на 172.16.21.1/24
adress mikrotik 172.16.200.1 Pool mikrotik 172.16.200.10-172.16.200.100
тогда на Windows автоматом прописывается route add 172.16.0.0 mask 255.255.0.0 172.16.200.1
и сеть пингуется и туда и обратно
2- также не забудьте поставить в настройках mikrotik на бридж-LAN (ARP=proxy-arp) это у кого прошивка 46 и выше.
3- ну и у кого есть windows server само провидение вам в руки дает Radius
А можете подсказать то и где нужно прописать у пользователя если нет возможности поменять ip-адреса и подсети, по причине того что микротике уже есть настроенная vpn и менять ее не желательно. поднята вторая и при пинге локалка самого микротика не пингуется.?
Все четко и с хорошим примером! Даже моего мозга размером с грецкий орех хватило, чтобы настроить доступ к домашней сети. Браво!
Спасибо! Единственное дополнение - правило для Firewall создается в самом низу списка, его нужно поместить выше, я сделал на 2 позиции. После этого заработало.
При создании такого впн подключения в настройках сети стоит галка "Использовать шлюз удаленной сети" или как-то так, которая с одной стороны нужна, а с другой стороны сразу пытается весь трафик интернета направить через впн сервер. А следовательно интернет у вас может отвалиться, если удаленный маршрутизатор не маскарадит трафик из сети впн. Но при отключении этой галки маршрут до сети за маршрутизатором надо будет прописывать вручную на клиентской машине или мб может как-то можно через dhcp закинуть(не пробовал)
Весь день бодался с L2TP/IPsec, ничего не получалось, сделал по вашей инструкции и сразу всё взлетело. Браво. Спасибо.
Еще обязательно нужно активировать на Bridge функцию proxy arp - иначе не работает. Можно в Routes еще прописать целевую сетку организации и шлюз, но у некоторых и без этого работает. Главное proxy arp или local proxe arp.
А возможно уточнить про какой bridge говорится? В видео про этот интерфейс не упоминали даже
о! спасибо тебе, человек! пару часов боролся. не было доступа к локальным компам через впн.
Поясни пож для чего это и где настроить?
Это самый важный комментарий под этим видео, несколько часов думал что делаю не правильно, а в итоге просто одна настройка. Спасибо вам огромное!
Провожу индивидуальные консультации по компьютерным сетям и настройке MikroTik . Пишите мне в ВК
Боже, автор просто одуванчик. Так просто, и как было написано ниже, никакой воды. Просто о сложном - признак гениальности)
В связи с последними событиями актуально)
Спасибо большое за гайд ! ТОП! Помог, от души.
видео по настройке openvpn не планируется?
в 12:55 Вы говорите что все внешние подключения пользователей идут через установленный ВПН-туннель. Это можно исключить настройками соединения на клиенте:
Свойства ВПН-подключения --> на вкладке Сеть --> Выбираем протокол Интерета версии 4 --> и его Свойства --> кнопка Дополнительно --> снимаем галку "Использовать основной шлюз в удаленной сети"
Далее Вы раскрываете идею как можно было бы это исключить, но я не совсем все понял - Вы не показываете снятие этой галки. По идее это как раз и должно решать проблему, но Вы упоминаете "прописывание маршурута до корпоративной сети" - тут я не понял идею.
Если галку снять а маршрут не прописать то не подключитесь к корпоративной сети.
@@Janglistics а где именно нужно прописать маршрут, скажите пожалуйста..
@@ВасильМаркульчак-ф2д Запустить командную строку от имени администратора и в ней командой route print посмотреть номер vpn интерфейса и командой route add задать статический маршрут. Например: "route add 192.168.1.4 192.168.31.1 if 33 -p" . Где 192.168.1.4 это удалённый пк, 192.168.31.1 шлюз vpn, if 33 номер вашего vpn интерфейса который route print показал. -p означает что маршрут постоянный.
@@Janglistics Спасибо большое! Может еще посоветуете как правильно настроить фаервол для максимальной безопасности в случае, если поднят l2tp ipsec?
Подскажите, всё сделал как написанно. Захожу с удалённого компьютера, микротик пингуется, остальные устройства в сети - нет. В чем причина?
Молодцом, отличный видос! :)
Добрый день\вечер. После полугода работы vpn L2tp , отвалился сервер. Ошибка при подключение "Попытка l2tp не удалась из за ошибки произошедшей на уровне безопасности во время согласования" При этом все остальное работает (проброс портов без vpn и доступ ). Настройки стандартные, добавил только vpn, обновления только с исправлением ошибок. Буду признателен за помощь.
Изначально создается VPN L2TP Site to site а после мы уже добавляем ipsec для удаленных клиентов?
Почему спрашиваю - реально очень мало внятной инфы в сети (либо плохо искал) о сзднании vpn l2tp ipsec именно site to site (в вашем видео client to site ) . Либо не работает какнужно, лио работает но толко на цисках либо просто какой то сферический конь в ваккуме)
Спасибо за видео.
Может быть подскажите? После настройки один клиент подключается отлично, второй подключается первый отваливается. Клиенты за NAT оба выходят через один IP учетные записи разные. Как исправить?
Никак, в микротик Вики об этом написано. Есть обходное решение - погуглите. Если найдете, то сможете реализовать, если нет - значит ещё рано и нужно набраться опыта. Но все равно решение то нестандартное, с оговорками и нюансами.
@@nzrz3090 решили просто сделали на Cisco ASA 5006
По идее маршруты можно рулить при помощи DHCP options. Но не знаю может ли такое работать, тем более на микротах. Я использую OpenVPN, да, придётся ставить отдельное ПО на клиентов, но это пожалуй единственная проблема.
А що у вас там трапилось, до віддалені роботи у людей почались ?
Добрый день. Не знаете почему не работает 2tp/ipsec на роутере keenetic omni2? Служба установлена, настроена, но показывает ошибку соединения, а иногда вообще пишет что сервер не найден. Уточню что не работает только этот впн, настроенный на RouterOS. Другие l2tp\ipsec работают исправно!
Ответ на последний вопрос "как разруливаю": цепляюсь к VPN роутером и маршрутами рулю на нем. Метод не подходит, если подключаться приходится из разных мест.
Правила для Firewall:
/ip firewall filter
add action=accept chain=input comment="For VPN" dst-port=500,1701,4500 \
in-interface=ether1 protocol=udp
Не учитывается в создании правила то что интерфейс ether1 может быть другим. В моем варианте так как подключение к провайдеру через pppoe и вместо ether1 ---- pppoe-out1
подскажите а возможно ли в l2tp туннели отключить нат? а точнее что бы маршрут по умолчанию не юзался ?
Чётко, доходчиво.
Спасибо!
Здравствуйте, всё работает по инструкции, даже проверил через внешний ип по интернету телефона. Правило файрвола пришлось поднять в верхнюю строку т.к порты на файрволе вроде были закрыты. А в плане безопастности это надёжное решение или можно поднять что-то альтернативное кроме L2tp?
Здесь есть важный нюанс, весь вирусняк с домашних компов юзеров может пролесть в корп. сеть. Нужны правила в файрволле для ограничений. Вопрос как и куда их прописать.
Можно в файрволе микротика написать запрет форварда всего со стороны пула клиентов, кроме rdp ( выставить ограничение по порту)
@Светлодарск 1) add chain=forward protocol=tcp dst-port=3389 in-interface=all-ppp action=accept
2) add chain=forward in-interface=all-ppp action=drop
Как-то так
21:38:17 ipsec,info respond new phase 1 (Identity Protection): IProuter[500]
ip_clinet[500]
21:38:17 ipsec,error no suitable proposal found.
21:38:17 ipsec,error ip_clinet failed to get valid proposal.
21:38:17 ipsec,error ip_clinet failed to pre-process ph1 packet (side: 1, sta
tus 1).
21:38:17 ipsec,error ip_clinet phase1 negotiation failed.
чем может быть вызвана?
1. Обновить MIT до актуальной прошивки. 2. Временно отключить firewall. 3. Проверить настройки Authentication на сервере и клиенте.
а подскажите плиз на счет pool откуда они беруться какие ip ишники нужно задавать
У меня пингуются всего два адреса после подключения. Это сам микрторик сервер и еще 1С сервер, не понимаю почему именно он пингуется. Есть еще файловая шара, она вот и не пингуется, а очень надо
Подскадите, если мткротик стоит за роутером провайдера то с роутера прова пробросить порты на микротик 500,1701, 4500 для подклбчения по vpn?
у сервера (ВинХР в данном случае) должен быть прописан маршрут до подсети 10.123.0.1/24, в противном случае он не знает, куда ему отвечать на запросы из этой подсети и все пакеты отправит в основной гейтвей.
В данном случае вингейт и 10.123.0.1 для ВинХР этой схемы один и тот же. пакеты будут уходить согласно таблице роутинга в микротике, так что тут все верно вроде как.
+1 тоже не понял каким чудом клиент впн из 10-й подсети увидел Рдп на 192,168,21,253 ps. у меня сей метод не заработал
Не работает данный метод, подключение не проходит
Давыд, прошу подсказать. Можно ли создать vpn туннель между 2мя ноутами? Дома динамический ip, да еще подключение через wi-fi роутер. Второй ноут в поездках, в которых е работают многие сайты если за рубежом. Никакие сторонние ресурсы vpn использовать не хочу. Все хочется сделать на базе постоянно включенного домашнего ноута. Основная цель - выход в инет с домашнего локального интернета. спасибо
VPN подключился и ходит в инет, но к локальной офисной сети и RDP конекта нет. куда копать фаервол или маршрут? буду благодарен за помощь
Сделал точно так же как на видео но у меня почему то пишет без доступа к сети, подскажите пожалуйста в чем причина
Возможно ли данную настройку реализовать в виртуальных машинах и произвести проверку?
добрый день, подскажите а не было у вас видео по интеграции авторизации пользователей из AD через VPN, или может подскажете где посмотреть, а то у меня два домена через один мироктик, по вашему видео я так понимаю что целую толпу народу необходимо создавать для каждого пользователя в домене пользователя на микротике, огород выйдет какой то с пользователями, или есть решение!?!?
RADIUS
ruclips.net/video/8tdI3VAss4k/видео.html
Radius server. Вот ваше решение ) РРР-профили- и там активируете radius client( нужно жамкнуть галочку )
Ну и естественно radius server включить на Windows server где установлена AD
@@arconproject я уже решил эту проблему, все же создал пользователей на микротике, тем более они уменьшились, я пробовал, как вы пишите, но авторизация при этом не работало, а так как нужно было работающее решение, то в итоге создал пользователей на микротике.
@@Olegek79 ну и зря. я сделал и все получилось. очень удобно. VPN+radius server. На просторах интернета много мануалов. рекомендую почитать.
Скажите, а если я например хочу разделить на VLAN, чтобы пул адресов для VPN клиентов был в отдельном VLAN или в этом нет необходимости? И если например сервера к которым нужно получить доступ находятся в другом VLAN например 20, то этот VLAN надо помещать в bridge? Мне, кстати, на Windows 10 пришлось руками прописывать маршрут в подсеть 192.168.21.0/24
подскажите откуда беруться pool адреса
Давыд, здравствуйте. Сделал все как у вас в видео, подключение проходит, а пинги с удаленной машины не проходят, не пойму почему. Подскажите как с вами можно связаться для консультации?
Можете в вк мне написать
Брат, у меня такая же проблема. Ты разобрался что к чему? Rx есть а Tx нет совсем. Похоже что-то с трассами но не могу понять... Помоги, если можешь, пожалуйста!!!
@@kostantinsilko5865 нужно маршруты прописывать с обеих сторон
@@АртурПирожков-з8ы да сенкс брат. Уже разобрался. Или можно включить прокси Арп. На худой конец
Если использовать в качестве удаленного шлюза, то какую скорость он выдаст максимум?
Друзья! Ситуация такая, может кто сможет помочь. Я микрот поставил перед основным роутером домашним. Микрот получает интернет с роутера TP LINK. В рамках wi-fi VPN подключается и все работает, как только я начинаю висеть на мобильном интернете, по VPN не получается подключится. Что может быть?
А это можно на любом роутере настроить? У меня TP link archer 6
Привет, помогите....задал параметры. Но ни к одной рабочей станции пользователей не могу подключиться (они получают настойки по DHCP) а к серверу(контроллеру домена) смог. Где искать проблему??? Задать статические настройки, или для ПК под управлением контроллера есть доп.настройки???
Добрый день! Как на одном интерфейсе fe 0/0 маршрутизатора cisco2811 подключить две локальных сети? Может был уже урок, скиньте ссылку.
Вы имеете в виду сабинтерфейсами через vlan? У меня есть про это видео ruclips.net/video/AWCagiMb5iw/видео.html
@@DaveRylenkov спасибо за ответ. Посмотрел видео. С сабинтерфейсами понятно. А как сделать чтоб компы из разных вланов общались между собой. Аксеес листы создавать. Просто 1 отдел с компами переехал физически к другому отделу. Желательно сохранить их сети, и чтоб они были доступны к друг другу.
@@РоманБлинков-б6м делаешь роутинг через те же сабинтерфейсы и все будет работать
Спасибо за видео. Всё делал точь в точь. Не хочет никак соединяться :(( Проверил удалёнку с роутера Tp Link, всё работает. Но Mikrotik не в какую. Подскажите где искать причину? Model RB951Ui, Windows 10 (22H2)
А как же проброс портов для rdp?
как открыть локалки для клиентов, т. е. чтоб клиенты могли заходить друг на друга?
Спасибо! ПОДПИСЫВАЮСЬ ОДНОЗНАЧНО!!!!!
Привет. После всего выше проделанного появляется ошибка failed to pre-process ph2 packet Подскажи в чём может быть касяк?
Версия прошивки какая на Mikrotik?
@@DaveRylenkov 6.46.4 Сама последняя на данный момент. Справедливости ради скажу что така я же ошибка на прошивке 6.42 была
@@DaveRylenkov Решил. Нашёл на форуме
/ip ipsec policy
set 0 disabled=no dst-address=::/0 group=default proposal=default protocol=all src-address=::/0 template=yes
Все сразу подключилось
Такое поведение наблюдалось на очень СТАРЫХ прошивках. Решалось удалением созданной по умолчанию группы IP ->IPSec ->Groups, потом создать новую, и указать ее в IP -> IPSec -> Peers.
почему внешний адрес /24 ? а не /32 ?
Спасибо, а как быть если нужно подключаться через OpenVPN, что с настройками и сертификатами для подключения к Mikrotik?
Важно понимать что один серт не является совместимым с другим, так что для каждого клиента нужно делать новый серт. Установка серта идёт как и любого другого серта, качаем его, и ставим просто запуская файл.
А если ip адрес внешний (провайдера) не статический, какой есть вариант VPN ?
DDNS
@@alexandergreat6192 и то, если он динамический, а не серый
Подскажите, пожалуйста, настроил по вашему мануалу - клиенты впн не видят локальную сеть (с самого микротика пингуются как локальные хосты, так и впн хосты)
такая же фигня. если разобрались - подскажите пожалуйста, как)
решение оставил смотрите выше
@@СергейШевяков-б4о решение оставил смотрите выше
Максим Воеводин спасибо
если сервер vpn (mikrotik) находится за nat реально сделать l2tp+ipsec ?
Нет. только белый IP
Денис а ddns у микротик в пункте cloud? Почему так категорично про белый ip?
@@ИванВасильев-ю6у да, cloud должен работать
А в меню IPSec настраивать ничего не нужно?
нет не нужно, если вам только не нужен чистый IPSec.
Сделал все по примеру, но не работет:(
Есть задача, объединить 2 удаленных офиса, и там и там стоят микротики.
На филиале получение WAN происходит по PPPoE (от Ростелеком), на центральном офисе обычная статика
Произвожу настройки l2tp все вроде правильно, перепроверял 10 раз, но зараза соединение не устанавливается, куда смотреть!?
и вообще возможна ли одновременная работа 2 протоколов ppp?
Смотреть в логи, потом в снифер. Смотря о каких протоколах семейства ppp вы говорите?
Здравствуйте! Всё сделал по Вашей инструкции, VPN поднялся, но у пользователя при подключении к VPN пропадает интернет. Можете что-нибудь посоветовать?
Нужно в Firewall разрешить сеть которую создали для VPN.
@@ITgti весь интернет трафик пользователя идёт через роутер офиса! как разделить?
@@ОлегМоскаленко-й9ч получилось разделить трафик?
@@andreyosss4352 нет (
Давыд благодарю за видео .
тю, так снимаешь "шлюз по умолчанию" и прописываешь маршрут, мол только запросы к корп. сетке через vpn, остальное по умолчанию в интернет
Как всегда все супер Давыд!!!!
Спасибо за видео ✌️👌 без воды.
Есть видео в этой же тематики про коммерческий сертификаты ?! Заранее спасибо !
У меня задачка которую, не придумал как решить, подключаюсь через iphone к vpn, но на айфоне нет галочки использовать удаленный шлюз.., пока писал автор тоже самое озвучил в конце))
Спасибо!
Благодарю!
Чтобы в тоннель шёл только корпоративный трафик, надо использовать в корп сети сеть 172.16.0.0/16 (ruclips.net/video/4wW9rPoDi_k/видео.html)
Эм, ну 10.0 .0.0/8 тут ничем не отличается же от предложенного вами, это на вкус и цвет. Погуглите private ip pools
Звук в видео необязательно задирать.
Звук в видео - идеален!
смущает 2007 год на винде 7))
Батарейка для биос слетела
@@DaveRylenkov из-за этого первый раз и соединение не устанавливалось.
может проще (для клиентов) проброс порта и поткнокинг?
VPN добавляет дополнительное шифрование в этом плюс. Про Port knocking не всегда это проще
2007 или всё таки 2020?
Способ годный. Но можно ведь, проще, во вкладке Nat, добавить новое правило, в chain поставить dstnat, протокол tcp6, dist port указать номер порта, in interface выбрать ether1. Далее во вкладке action пишем локальный адрес машины и порт и все. Правило должно быть выше маскарадинга если что. И все есть конект по рдп, актуально для белого внешнего.
Я все это читаю уже несколько раз, прошу прощения но пока не врубаюсь, хотя очень интересно. Можно пл подробней каждый пунтк? Вы Говорите dist port указать номер порта ... А на машине куда подключаемся нужно будет создать при этом: New Incoming connection - VPN?
@@michaeltolica3788 нет vpn не нужен, простыми словами это проброс порта, в данном случае если по стандарту, у тебя должен быть белый внешний, порт по стандарту 3389 для rdp, но потом смени его в реестре. В тех настройках что описал, ставишь локальный адрес машины. Из дома через rdp, вводишь внешний ip и порт, тебя переадресует на твою машину
@@michaeltolica3788 зайди в микротик, firewall-nat, сделай те пункты что я описал выше, локальный ip укажи свой. Vpn не нужен. Также в свойствах системы на самой ос, где вкладка удалённый доступ тоже поставь разрешения. После того как сделаешь, пробуй подключится с дома, введя внешний ip и порт, введя имя пк\имя пользователя и пароль удалённой машины. Всё должно работать, пробуй
ага, а потом добрые люди за считанные часы поломают такой rdp выставленный голым задом в интернет.
@@cybernetek так себе решение, особенно если на домашнем компьютере динамический ip адрес
актуально)
Хоть кто-то из благодарных пробовал по этой инструкции настроить? Не работает же))
красава!
спосибо -создал подключение-
Не понял восторгов в отзывах. Обычный ролик на хороший туториал не тянет.
Чтобы интернет трафик не заворачивался в туннель, всем удаленщикам ставим программу - www.draytek.com/products/smart-vpn-client/ , и рассылаем им настройки, очень удобно, там просто прописывается два маршрута, работает идеально
Вот так можно передавать маршруты, чтобы не прописывать их внучную ruclips.net/video/p9_9fumNDYM/видео.html
+
алканавты
впн в россии запрещен ) одного чувака за него посадили
Это не касается случая с подключением сотрудников к инфраструктуре филиала. Если вы не понимаете вообще о чем речь, не пишите.
Никого за впн не посадили... Он не запрещен
чушь не пишите, если не знаете о чём это видео и для чего оно.
в этом видео совсем о другом речь идет, ничего общего не имеющего с вашим пониманием о VPN, даркнет и TOR.
А белый ip адрес внешний как его получить? У провайдера получать?
да, на офф сайте провайдера поищи, как его подключить, обычно нужно им позвонить. У меня уфанет даже через приложение можно подключить