Sepsal jsem pár poznatků, jak jsem na MikroTiku zprovoznil virtuální AP (VirtualAP) se sekundárním SSID (například pro návštěvníky), přičemž veškerý tento provoz běhá přes VPNku. Třeba se to někomu může hodit, i když jde o dost specifickou konfiguraci. :-)
Nejprve objasním, proč jsem nad podobnou konfigurací vůbec začal přemýšlet. Doma mám běžné připojení k Internetu - jednu statickou veřejnou IPv4 adresu od svého poskytovatele Internetu a celkem rychlou linku, jak to dneska nebývá ničím výjimečným. Před pár dny tu vedle v bytě bydlela krátce jedna slečna, která nevěděla, jak moc dlouho zde bude bydlet, ale věděla jistě, že chce Internet. ;) Zřizovat Internet na dobu neurčitou by se jí příliš nevyplatilo, tak mne požádala, zda bych nemohl nasdílet své internetové připojení. Napřed se mi to jevilo celkem reálně, ale pak jsem začal přemýšlet nad negativama takového rozhodnutí. Jak mohu zaručit, že si slečna nepřipojí zavirované PC, které začně spamovat a má veřejná IP adresa se brzo neobjeví na nějakém blacklistu, případně neutrpí na reputaci? A co když bude vyhrožovat panu prasidentovi? Nebo agentu Babišovi? O podobné aktivity za svým routerem nestojím. Chce to nějaké jiné řešení.
Právě díky dostatečné konektivitě a chytrému routeru MikroTik (doma mám hAP lite) mne napadlo, že bych Internet nakonec sdílet přece jen mohl, ale bude to chtít pořádné zabezpečení a speciální konfiguraci - vlastní SSID (a podsíť) - s tím, že veškerý provoz bude přesměrován přes VPNku k nám do firmy, kde se jiný MikroTik už teď stará o Internet pro naše návštěvníky. Geniální, že? A dotyčná bude prostě jen další kapka v moři, která bude muset dodržovat stejná pravidla jako všichni ostatní návštěvníci ve firmě. Kéž by vše bylo tak snadné, jak se řekne. Zabralo mi to pěkných pár dnů, než se mi podařilo uvést myšlenku v realitu. Nejvíc jsem, čert ví proč, bojoval s routováním a VPN. Nechtělo to šlapat a nechtělo, návody na internetech selhávaly. Když už jsem opravdu vyčerpal všechny možnosti a logika šla směle do háje, rozhodl jsem se sepsat dotaz na ispforum.cz pro radu od zdejších ostřílených síťařů. Během psaní příspěvku jsem ale tento urputný problém nějakým zázrakem vyřešil.
Napřed si v domácím MK vytvoříme bezpečnostní profil a k existujícímu wlan rozhraní (wlan1 v mém případě) virtuální AP:
/interface wireless security-profiles add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \ name=GUEST_SECRET supplicant-identity="" wpa2-pre-shared-key=tajne+heslo /interface wireless add default-forwarding=no disabled=no keepalive-frames=disabled master-interface=wlan1 \ multicast-buffering=disabled name=GUEST_WLAN security-profile=GUEST_SECRET \ ssid=GUEST wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
Novému rozhraní přiřadíme IP adresu. Pro návštěvníky budeme používat podsíť 192.168.77.0/24:
/ip address add address=192.168.77.1/24 interface=GUEST_WLAN network=192.168.77.0
Vytvoříme IP POOL pro DHCP a DHCP nastavíme:
/ip pool add name=GUEST_POOL ranges=192.168.77.100-192.168.77.200 /ip dhcp-server add address-pool=GUEST_POOL disabled=no interface=GUEST_WLAN lease-time=2h name=GUEST_DHCP /ip dhcp-server network add address=192.168.77.0/24 dns-server=192.168.77.1 gateway=192.168.77.1 netmask=24
Pokud má naše nastavení sítě (firewall, maškaráda) poměrně volná pravidla, teoreticky by se s tímto nastavením či s malými obměnami ve firewallu měli návštěvníci dostat do Internetu. Tahle konfigurace však nemá být předmětem tohoto zápisku - my chceme, aby návštěvníci běhali do Internetu přes VPNku v práci, kde v tomto mém konkrétním případě je také MK s poněkud striktním nastavením firewallu.
Teď si v práci v druhém MK vytvoříme naslouchající PPTP server:
/ppp profile add local-address=192.168.76.1 name=PPTP /ppp secret add name=GUEST password=tajne profile=PPTP remote-address=192.168.76.2 \ routes="192.168.77.0/24 192.168.76.2 1" service=pptp
No a pak (v závislosti na stávajících pravidlech firewallu) můžeme povolit maškarádu, například takto:
/ip firewall nat add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.77.0/24 to-addresses=0.0.0.0
To by bylo nastavení PPTP serveru, teď nastavíme PPTP klienta v domácím MK (MKIP je veřejná IPv4 MK v práci):
/interface pptp-client add allow=mschap1,mschap2 connect-to=MKIP disabled=no name=PPTP_GUEST password=tajne user=GUEST
Provoz návštěvníků omarkujeme a v routovací tabulce řekneme, že má jít ven přes PPTP spojení:
/ip route rule add dst-address=0.0.0.0/0 interface=GUEST_WLAN src-address=192.168.77.0/24 table=GUESTTAG /ip route add distance=1 gateway=PPTP_GUEST routing-mark=GUESTTAG
Ten předposlední příkaz mi dal pěkně zabrat. Dříve jsem totiž markoval v MANGLE pravidlech a to se mi nejevilo jako funkční. Doteď nevím proč, když ostatním to údajně funguje. Takhle se tedy mé návštěvy dostanou do Internetu. Router v práci má navíc omezování rychlosti i služeb (portů), ale meze fantazii se v případě vlastního nastavení nekladou. Třeba směrovat provoz návštěv na nějaké to VPSko. Jo a mimochodem - ta slečna v úvodu se už odstěhovala...
Tweetštítky: anonymita bezpečnost Internet mikrotik traffic tunel VirtualAP VPN
5605x přečteno
6. 9. 2017 v 13:38 Pavel napsal(a)
Moc zajímavé. Řeším ale trochu jinou situaci. Možná to pomocí tohoto návodu zvládnu upravit. Situace je opačná. Blokování portů v práci. Doma zvládnu spustiti Free proxy třeba na Orange Pi na portu 80 nebo 443. (Může být i na Mikrotiku ale ten musím domů dokoupit). V práci přes Mikrotik protáhnout neomezenou konektivitu. Pokračování.......
6. 9. 2017 v 13:40 Pavel napsal(a)
Motám tady trochu tvoje řešení pomocí ppp a můj problém pomocí pomocí proxy ale je tu ještě jeden problém. Použít jako zálohu některou z nabídky veřejně dostupných free proxy a ne jednu ale třeba i víc pro případ výpadku. Myslím si že mikrotik to zládne jen moje znalost Mikrotiku ne. V každém případě diky alespoň za tento návod.
7. 9. 2017 v 9:54 Martin napsal(a)
Pavel: jsem rád, že článek někoho inspiroval :-)
Copyright © 2015-2025 SOCL.cz, RSS 2.0
Všechna práva vyhrazena, nebo tak nějak.