Объявление

Свернуть
Пока нет объявлений.

VPN доступ для мобильного интернета через своего провайдера

Свернуть
X
 
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

    VPN доступ для мобильного интернета через своего провайдера

    Здравствуйте. Может чуть не в тему, но есть проблема в настройке моего микротика.
    По порядку. Есть микротик 750 модели. К нему приходит инет от провайдера со статическим белым IP. Внутри маршрутизация и за натом раздаются адреса в подсети 192.168.0.*.
    Задача: подключиться к своему микротику с любого внешнего инет канала с пом. смартфона и выходить в инет (смартфону) по защищенному соединению.

    Иллюстрация:
    Смартфон (впн клиент) --- сеть оператора --- (впн сервер) микротик --- мой провайдер ---инет

    т.е. все запросы с телефона будут идти в туннель и выходить в микротике и идти с него уже куда нужно.
    Так же надо иметь доступ с телефона на свою внутреннюю сеть (те же точки доступа проверить или шары с сервера).

    Можно ли такое реализовать? Дайте пожалуйста пример настроек для впн сервера и для настройки маршрутизации.
    (на вопрос зачем? - чтобы можно безопасно подключаться с любой открытой сети или через своего же оператора и не переживать за то, что у него в логах останутся мои куки и прочие приватные файлы, поскольку траффик будет идти на 1 мой роутер и шифроваться)

    #2
    Сообщение от deamon-dp-ua Посмотреть сообщение
    Здравствуйте. Может чуть не в тему, но есть проблема в настройке моего микротика.
    По порядку. Есть микротик 750 модели. К нему приходит инет от провайдера со статическим белым IP. Внутри маршрутизация и за натом раздаются адреса в подсети 192.168.0.*.
    Задача: подключиться к своему микротику с любого внешнего инет канала с пом. смартфона и выходить в инет (смартфону) по защищенному соединению.

    Иллюстрация:
    Смартфон (впн клиент) --- сеть оператора --- (впн сервер) микротик --- мой провайдер ---инет

    т.е. все запросы с телефона будут идти в туннель и выходить в микротике и идти с него уже куда нужно.
    Так же надо иметь доступ с телефона на свою внутреннюю сеть (те же точки доступа проверить или шары с сервера).

    Можно ли такое реализовать? Дайте пожалуйста пример настроек для впн сервера и для настройки маршрутизации.
    (на вопрос зачем? - чтобы можно безопасно подключаться с любой открытой сети или через своего же оператора и не переживать за то, что у него в логах останутся мои куки и прочие приватные файлы, поскольку траффик будет идти на 1 мой роутер и шифроваться)
    Реализовать такое не проблема, точнее, я не вижу помех. Единственное что, телефон (если андроид) должен быть под рутом чтобы работали vpn соединения, например l2tp. pptp не советую, ибо очень много операторов режут gre который в нем используется.

    Открываете ppp на микротике, далее l2tp server -> enable, аутентификацию я бы оставил mschap1 & mschap2, надежнее. Далее в вкладку secrets, там создаете пользователя и пароль, service -> l2tp. local address (адрес который будет у впн сервера), если у вас 192.168.0.* поставьте например 192.168.1.1, далее remote address (тот который клиенту будет выдаваться), ставьте 192.168.1.2 (или любой другой, только из той же подсети). В принципе все, на файерволле открываете на вход протокол udp и порт 1701. Наслаждаетесь )))

    Комментарий


      #3
      Более секьюрный вариант (при правильной настройке) - OpenVPN. Масса мануалов в интеренте про любые варианты подключения. Не знаю насчет iOS-клиента, но для Андроида вроде есть варианты, не требующие рута.

      Вне зависимости от конкретной реализации VPN: имеет смысл настроить VPN-сервер на несколько разных распространенных портов (и, соответственно, настроить клиент). Часто в публичных точках доступа запрещен исходящий трафик на порты, отличные от UDP:53, TCP:80, TCP:443. Если не держите на роутере соответствующие службы -- имеет смысл эти порты использовать для VPN. Больше вероятности подключиться. Можно, например, еще UDP:123 добавить.

      Если вдруг пользуетесь веб-хостингом с SSH-доступом - то VPN-сервер у вас, скорее всего, уже есть :-)

      Также есть бесплатные или весьма дешевые VPN-сервисы, с серверами в разных странах. Иногда имеет смысл даже при наличии бесплатного VPN на собственном роутере.

      Комментарий


        #4
        Сообщение от chukcha Посмотреть сообщение
        Более секьюрный вариант (при правильной настройке) - OpenVPN. Масса мануалов в интеренте про любые варианты подключения. Не знаю насчет iOS-клиента, но для Андроида вроде есть варианты, не требующие рута.

        Вне зависимости от конкретной реализации VPN: имеет смысл настроить VPN-сервер на несколько разных распространенных портов (и, соответственно, настроить клиент). Часто в публичных точках доступа запрещен исходящий трафик на порты, отличные от UDP:53, TCP:80, TCP:443. Если не держите на роутере соответствующие службы -- имеет смысл эти порты использовать для VPN. Больше вероятности подключиться. Можно, например, еще UDP:123 добавить.

        Если вдруг пользуетесь веб-хостингом с SSH-доступом - то VPN-сервер у вас, скорее всего, уже есть :-)

        Также есть бесплатные или весьма дешевые VPN-сервисы, с серверами в разных странах. Иногда имеет смысл даже при наличии бесплатного VPN на собственном роутере.
        Дополню, OpenVPN не работает по UDP (в микротике), соответственно подходит только для l2tp. У меня было много разных ситуаций, вариантов подключения и т.д. и ни в одном разе не резался l2tp, подключался через очень большое количество точек доступа, хотя, OpenVPN я как то не сильно люблю, всетаки он вырос от самоделкиных а l2tp эт стандартизированный протокол и совместная разработка циско и майкрософта, а это о чем то да говорит. И у OpenVPN нет ниодного упоминания про rfc, тоесть не стандартизирован ниразу. Еще минус опенвпна - необходимость устанавливать доп. драйверы (tun/tap), у Л2ТП не надо.

        Комментарий


          #5
          Забыл... Не нужно использовать UDP:53 ибо многие маршрутизаторы могут подумать про ддос на днс (кстати очень распространено) и тупо обрубят вас от интернету :)

          Комментарий


            #6
            Сообщение от KpblcuK Посмотреть сообщение
            Дополню, OpenVPN не работает по UDP (в микротике)
            Если это так - мой теоретический личный рейтинг микротика несколько падает. На практике я как-то линуксовыми роутерами пока обхожусь.

            Сообщение от KpblcuK Посмотреть сообщение
            l2tp эт стандартизированный протокол и совместная разработка циско и майкрософта, а это о чем то да говорит.
            Мне лично говорит о том, что объединились две насосные конторы. Майкрософт особенно любит писать стандарты совершенно не ради всеобщего блага, а токмо ради собственного бизнеса. С циской я, наверное, просто меньше сталкиваюсь..

            Мне лично достаточно посмотреть на количество и качество серверов и клиентов под эти протоколы.

            Сообщение от KpblcuK Посмотреть сообщение
            OpenVPN я как то не сильно люблю, всетаки он вырос от самоделкиных
            .. написано на форуме самоделкиных :-)

            Сообщение от KpblcuK Посмотреть сообщение
            И у OpenVPN нет ниодного упоминания про rfc, тоесть не стандартизирован ниразу..
            Пытаюсь воспринять как проблему, но никак не получается.
            Есть исходники, есть документация, есть куча реализаций для разных платформ. С несовместимостями я лично не сталкивался (кроме сознательно введенных).

            Сообщение от KpblcuK Посмотреть сообщение
            Еще минус опенвпна - необходимость устанавливать доп. драйверы (tun/tap), у Л2ТП не надо.
            Это, наверное, в Windows их надо устанавливать. У ТС такой ОС вроде нет в вопросе...

            С блокированием UDP:53 никогда не сталкивался. Может, просто повезло.

            Уважаемый Крысик, не обижайтесь. Предлагаю рассматривать как легкий воскресный холиварчик, без перехода на личности :-)

            Комментарий


              #7
              Спасибо за ответы. Перед отпуском пытался настроить нечто и оно не пожелало работать. Ошибся оказывается в настройках адресов. Надо будет в рабочее время проверить. А клиент - стандартный клиент встроенный в андроид 4 ветки. Там не так густо с настройками. А ставить доп. софт не очень хотелось. Нашел пару неких впн клиентов, но названия уж не помню. Если родной не заведется, то буду пробовать другое.

              Кстати, в споре рождается истина:) Но холивар устраивать не обязательно.

              Комментарий


                #8
                Сообщение от chukcha Посмотреть сообщение
                Если это так - мой теоретический личный рейтинг микротика несколько падает. На практике я как-то линуксовыми роутерами пока обхожусь.


                Мне лично говорит о том, что объединились две насосные конторы. Майкрософт особенно любит писать стандарты совершенно не ради всеобщего блага, а токмо ради собственного бизнеса. С циской я, наверное, просто меньше сталкиваюсь..

                Мне лично достаточно посмотреть на количество и качество серверов и клиентов под эти протоколы.


                .. написано на форуме самоделкиных :-)


                Пытаюсь воспринять как проблему, но никак не получается.
                Есть исходники, есть документация, есть куча реализаций для разных платформ. С несовместимостями я лично не сталкивался (кроме сознательно введенных).


                Это, наверное, в Windows их надо устанавливать. У ТС такой ОС вроде нет в вопросе...

                С блокированием UDP:53 никогда не сталкивался. Может, просто повезло.

                Уважаемый Крысик, не обижайтесь. Предлагаю рассматривать как легкий воскресный холиварчик, без перехода на личности :-)
                А я и не обижаюсь, насчет холиварчика согласен :)))
                У микротика это единственная проблема (насчет овпн по удп), согласен, не приятная но не критичная, он умеет для своей цены на несколько порядков больше чем должен :)))
                По поводу стандартов майкрософта - частично согласен, но циско это практически "законодатель" сетевых стандартов, можете глянуть на вики ее основных клиентов в России, не просто так, давно с ними работаю :)
                Ну, на форуме самоделкиных тоже что-то хорошее есть и появляется, я не к тому, почти во всех серьезных организациях не используют не стандартизированные методы и средства для чего либо, считаю это правильным :) Ибо не стандартизированность, не сертифицированность может повлечь очень много проблем, включая с законом.
                Кстати, а что вы скажете о том, что клиент овпна работает в юзер спэйс а л2тп и пптп в кернел спэйс? Все же, время латентности не последний показатель, далеко не последний ;)
                Насчет удп:53 - один из самых распространенных видов ддоса, в основном ботнетами, поэтому многие железки нативно рубят такое если включена функция антиддос или что-то подобное.

                Комментарий


                  #9
                  Серьезным организациям тут не место :-)

                  Насчет проблем с законом - так наше законодательство отстает лет на 20 от технологических реалий. Где-то меньше, где-то больше. И местами до сих пор напрямую запрещает то, что используется повсеместно.

                  Насколько помню, тот же OpenVPN прошел сертификацию как средство шифрования (с ГОСТовскими алгоритмами). Деталей не помню, но легко найти.

                  Комментарий


                    #10
                    Сообщение от chukcha Посмотреть сообщение
                    Серьезным организациям тут не место :-)

                    Насчет проблем с законом - так наше законодательство отстает лет на 20 от технологических реалий. Где-то меньше, где-то больше. И местами до сих пор напрямую запрещает то, что используется повсеместно.

                    Насколько помню, тот же OpenVPN прошел сертификацию как средство шифрования (с ГОСТовскими алгоритмами). Деталей не помню, но легко найти.
                    Почему это не место? :( Я то не представляю организации, я сам - как есть.
                    Ну, ФЗ 152 нормальный закон, к примеру.
                    Кстати, сам опенвпн если не ошибаюсь не проходил сертификацию, сертифицированны только сами алгоритмы шифрования.
                    Запрещать то, что используется повсеместно - нормально, к примеру, компания работает с гос. тайной (или подобным, как напр. персональные данные из того же ФЗ) и поверьте, никто не разрешит использовать то, что никто не проверял на закладки и иже с ними, это нормальная практика.

                    Комментарий


                      #11
                      И... Да, лучше отставать от неких "реалий", чем потом расхлебывать утечки везде и всюду.
                      Кстати, работал как-то в одной немецкой компании, так по нашей стране все работало на овпн, никто не запрещал, потом пришел регламент и стандартизация из головной компании, теперь l2tp/ipsec. Как то так.
                      Заранее прошу прощения что отошел от основной темы, но холиварчик же :-D

                      Комментарий


                        #12
                        По поводу законодательства - признаюсь, я слабо представляю себе ситуацию в настоящий момент.

                        Лет 7, кажись, назад, я поковырял нормативку - было запрещено все, что не сертифицировано ФАПСИ. Т.е. фактически все бесплатное и доступное. Не только VPN - вообще весь софт, в т.ч., например, разные браузеры (кроме нескольких сертифицированных версий Internet Explorer). Далее я общался с ФАПСИ, пытался получить от них бумажку о том, что организация может использовать повсесестно распространенные алгоритмы шифрования (типа AES, Blowfish и пр.). По телефону сказали - используйте (и, видимо, взяли организацию на заметку 8-/ , но на бумаге это писать отказались наотрез.

                        Т.е. использование нелегальной криптографии как нарушение закона можно было вменять всем подряд.

                        Законодательные "гайки" с тех пор не "расслаблялись", по крайней мере, мне новостей об этом не попадалось. Если кто-то меня просветит и убедит, что сейчас все совсем не так и гораздо лучше - я буду очень, очень рад..

                        Комментарий

                        Обработка...
                        X