pptp Mikrotik-Linux

30.5.2016 18:22 | Přečteno: 3202× | Sítě | | poslední úprava: 30.5.2016 18:22

Můj milý deníčku,

dlouho jsem do tebe nic nezapsal, ale cítím, že nyní je ta pravá chvíle napsat něco pěkného o Fríských konících. Takže chutě do toho.

Na chalupě vyrábím připojení přes místního komerčního poskytovatele, s kterým jsem se domluvil na instalaci vlastního HW. Na jeho APčku tak bude mikrotik, ke kterému budou mít obě strany admin práva a mně tam bude končit bezpečný tunel do mé domovské CzF sítě. V následujících odstavcích si probereme jak na to a podíváme se i na různé hvězdičky a poznámky pod čarou.

Šifrovaný tunel Mikrotik-Linux

Motto:

• Američan: "My když začnem kopat tunel, začnem z obou dvou stran kopce a střetnem se ve středě na centimetr."
• Čech: "To nic není, my češi taky začnem kopat z obou dvou stran, když Bůh dá, tak se to ve středě potká a když nedá, tak máme za stejný peníze dva tunely."

Původně jsem si říkal, že když už mi na Debianím serveru běží openvpn, tak když mikrotik umí openvpn, tak to spojím tudy. Ale chyba lávky - i když OVPN je zkokumentované a funkční, není podporované UDP a nikdy nebude, protože podporu openvpn chlapci hodili přes palubu. Doporučované řešení je použít metarouter a vedle RouterOSu nahodit openWRT. Hmm, to tam už pak ten routeros vlasně nepotřebuju vůbec... Navícmi Mikrotik odmítl "sežrat" vygenerované klíče. Nu dobrá, další věc, co v tom fóru psali je SSTP. Na cizí dotaz byla odpověd, že pod Bubuntu funguje SoftEther. Návod jak to zbuildovat v Debianu jsem našel tady, ale nějak se mi nechtělo na "produkční" byť domácí server tahat celé vývojové prostředí. Copak mi Debbie nic k svačině nezabalila abych to nemusel vařit sám ? Odpověd zní OpenSwan. Existují o tom blogisky (a další) i diskuze a to i v češtině na rootu i návod od mikrotiků.

Nakonec jsem z útrob internetu vytáhnul porovnání jednotlivých vpn pro Mikrotik a uvědomil si, že kdo nedělá nic nelegálního nemusí nic skrývat a rozhodl se na ipsec vykašlat a použít pptp.

"Šifrovaný" spoj

Motto - jaké má kdo heslo:
BFU: Lehké, např. Zuzana, odkud by někdo věděl, že jeho žena se jmenuje Zuzana?
H4XXOR: Těžké, např. 8#st07_fc39 a každý týden ho zapomene.
Opravdový hacker: Lehké, např. Zuzana, je mu jedno jestli ho někdo hackne.

Pro ty, ke kterým se to ještě nedoneslo, i Micosoft prohlásil, že je MS-CHAPv2 děravé (další čtení tady a tady). Nicméně, stejně jsem zvyklý v rámci svobody a CzFree mít i doma nešifrované APčko, tak proč si najednou hrát na nějaké zabezpečení. Na něčem tak banálním jako je pptp snad nemohou nic zkazit ani litevci. Takže šupky na návod, default by měl být OK, pptpd na server, v konfiguráku opravit localip remoteip, kontrola /etc/ppp/pptpd-options a do /etc/ppp/chap-secrets napsat "banka * Banka123 *" (narážím na toto)a mělo by to běžet. Jenže neběží. Zapomněl jsem zmínit, že za pptp spojem mám jednu podsíť, což by bylo vhodné šetrně sdělit Linuxovému routeru. V ideálním světě s dostatkem času bych nakonfiguroval OSPF, s ohledem na časovou tíseň jsem to udělal "na prase", takže na obě strany statiky. Jenže na Linuxu se ty statiky po pádu ppp0 vymažou. Co s tím ? Do spustitelného souboru /etc/ppp/ip-up.d/mojeRouty jsem dal toto:

#!/bin/bash
for ip in 10.X.Y.0/24 10.X.0.Y/32; do 
	ip route add $ip dev ppp0
	ip route add $ip dev ppp0 table 20
	ip route add $ip  dev ppp0 table 10
	ip route add $ip dev ppp0 table 12
done
ip route add 10.X.0.0/16  dev eth2.vlanaWL table 12
ip route add default via localip table 12
ip rule add from localip table 12

Používám totiž tabulky 10 a 20, 12ku si vytváříme pro pptp spojení. Spuštěno a pingy pingají, hotovo, hurá. Tak si ještě jen tak pro test zkusím stáhnout stránku z jednoho našeho APčka. Navazuje spojení, naváže, ale data nikdy nedorazí. Kroutím hlavou, bádám ...
nic mne nenapadá ...
furt nic ...
už si říkám, že na to dlabu
...
A pa se konečně zeptám na googlu. Padající spojení řešil na Ubuntu i na mikrotyčím fóru chlapík, co zveřejnil fungující nastavení. Bingo. MTU. Pak jsem našel obrázkový návod pro debily, přidal do svého skriptu ifconfig ppp0 mtu 1400 nastavil MRU a MTU na 1400, dal apply a začalo to fungovat a přestalo se to rozpadat.

Proč to nefungovalo ? Mikrotik se tváří, že MTU ethernetu je 1500 (což je asi i pravda), ale poskytovatel provozuje pppoe. Je možné, že toto stojí nějaký byte navíc, nicméně Mikrotik se tváří, že ne. Tudíž, MTU 1450 vypadalo jako velmi rozumné číslo (40bytů režije ppp, 10 "rezerva dne" na vlany a podobnou verbež). Nicméně, přátelé, kamarádi, není tomu tak. Prostě to prasí. Ale s 1400 to chodí jak z praku.

P.S.: až budu mít čas, stejně chci rozjet to openvpn

       

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru