Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 54
Поиграть то получилось ?) или уже было не так интересно )
Проще настраивать не от сети а от каждого адреса в одной дефолтной сети через WiFi guest portal. Не знаю как на микроте а на ubiquity такое довольно легко реализовать. И пусть пользователь сам выбирает в вебе к какому туннелю пробрасываться.
Туннель же это когда, твой белый адрес цепляется к такому же белому провайдера, че то я не понял, в чем вообще был, какие там Xbox Masquerade и пр. фиганта. Адрес же белый прибит гвоздями, или чего я не вкурил.
Во-первых, на вашей стороне туннеля у вас очень редко белый IP-адрес, хотя бывает по-всякому конечно же.
Во-вторых, автор настраивает роутер. У него есть (потенциально) целая сеть устройств со своими серыми адресами, которые должны ходить в интернет через туннель. Знает ли оборудование на той стороне туннеля про эти серые адреса? Если не знает - то оно не сможет правильно направить ответные пакеты, а значит микротику надо эти серые адреса "спрятать". В линуксовых файерволах это делается через команду "masquerade".
Tunnel делается для проброса своего не белого адреса, т.е. серого - к такому же серому с той стороны, но через ( through) белые адреса (через общедоступную сеть Интернет) . Через серые адреса туннели не делаются, потому что смысла нет. Masquerade это технология подмены выхода серого адреса в Интернет, когда выходной белый адрес (т.е. through ) может меняться (динамический) . Если постоянный белый адрес, т.е. вместо Masquerade применяется NAT.
Во-первых, Masquerade - это и есть часть реализации NAT.
Во-вторых, нет никаких причин избегать его использования при наличии статического адреса.
В-третьих, кто вообще сказал что у туннеля статический адрес?
Tunnel делается для проброса своего не белого адреса, т.е. серого - к такому же серому с той стороны, но через ( through) белые адреса (через общедоступную сеть Интернет) . Через серые адреса туннели не делаются, потому что смысла нет.
Туннели делаются не "через адреса", а через некоторую сеть. Если вы будете использовать стандартную терминологию, то и понимать вас будет легче.
Свитч периодически начал терять коннект к интернету. Видимо, скоро тоже так развлекаться придётся.
Лично у меня свич второй интернет ловит и все загружает, но вот когда нужно в ешоп зайти - подключаю через телефон с работающей "кошка-по-японски коробка". Но, в отличии от тс, у меня андроид (самсунг, оффициальная прошивка, one ui). И без всяких рутов, само предложение прекрасно работает с раздельной маршрутизацией (что то прямо, что то по долгой дороге), и позволяет оборачивать внешний трафик с точки доступа
Наивные попытки активировать VPN на iphone и через iphone, как через wifi роутер, завернуть трафик Xbox, проваливаются (исходящий трафик с самого iphone проходит через VPN туннель, а forward трафик от Xbox или любого другого wifi устройства нет).
android так не подвёл)))
а вообще я не понимаю этой нерациональной траты времени пытаться приземлить впн на конечные устройства <место для мема про телевизор филипс>, с первого дня как появилась необходимость стал терминировать впн на роутере, довольно очевидно что это удобнее всего.
А что если, взять один из подобных MikroTik'ов, загрузить туда кучу VPN профилей, поднять на нем 2-3, 10-50 виртуальных wifi точек доступа (далее, просто AP), объединить каждую AP со своим VPN профилем, и переключаться между странами просто подключившись к нужной AP? Звучит как план.
а что если нарулить маршрутизацию с geoip по vpn интерфейсам и фаерволом заворачивать трафик от нужного устройства только в конкретный впн меняя это правило фаервола хоть голосовой командой хоть сообщением в телегу и не менять wifi ap а сидеть с одной?
для моего VPN провайдера
хороший впн провайдер - сам себе впн провайдер))
а вообще я не понимаю этой нерациональной траты времени пытаться приземлить впн на конечные устройства
Решаем проблемы по мере их появления
а что если нарулить маршрутизацию с geoip по vpn интерфейсам
Не совсем понял. По geoip определять в какой стране ты находишься и автоматически переключать VPN в любой другой стране?
Или речь про сегментацию, т.е. на один ресурс из инетернета идти через один VPN, на другой - через второй VPN?
Таких задач не стояло
меняя это правило фаервола хоть голосовой командой хоть сообщением в телегу и не менять wifi ap а сидеть с одной?
MikroWorld AP как раз по такому приципу и работает. Только там не firewall, а марштуризация
DNS-роутинг самый адекватный вариант для раздельного туннелирования. Прописываем в dnsmasq перехват доменов, выдаем им IP из специального списка и заворачиваем в туннель, остальное идет напрямую
Микро тик он такой:) Сам иногда придумаю что-нибудь и зависнуть с ним на несколько вечеров. У меня роутер + пара точек доступа.
Идея переключения через смену wifi подключения очень красивая!
Что то мне подсказывает, что можно было попроще. Например, на основе мака xbox подсунуть нужный VPN. Но это не так увлекательно:)
Почитал про левайс. Ну такое себе. Только N как то не вдохновляет. Если дом многоквартирный, то удручает.
Эта железка, она как Морган Фриман - уже родилась старой. Больше, чтобы повесить на ключи или подключиться по wifi к цисковской консоли на последовательном порту.
Для дома у них недавно вышел 3х диапазонный монстр с be стандартом, кучей ресурсов и магазином приложений на базе docker
Я вообще удивлен, что данная железка смогла в принципе вытянуть эту задачу, вытянуть, закрыв глаза на скорость, т.к. мой домашний микрот для wg туннелей выдает 200-300 мбит на минимальных нагрузках, пробовал до гигабита, но там уже сложности на другой стороне были
Для дома у них недавно вышел 3х диапазонный монстр с be стандартом
Так бы и сделал, если бы мне нужен был роутер для дома
мой домашний микрот для wg туннелей выдает 200-300 мбит
Что за модель, интересно?
RB4011iGS+5HacQ2HnD-IN, со стороны локалки 10Г DAC кабель, на провайдеров eth1-2
Интересно получается, RB4011iGS+5HacQ2HnD-IN в 10 раз быстрее mAP lite на шифровании, в 10 раз производительнее cpu, в 10 раз дороже и ~ в 30 раз тяжелее ;)
Я брал его в свое время за 14к или около того, может до 16
mAP имеет очень слабый проц, и вообще не имеет аппаратного шифрования, современные "взрослые" модели включают в себя отдельный ускоритель шифрования, на сайте прикладываются отчеты по тестировании ipsec, тот же RB4011 у них выдает "до" 1283.5 мбит/сек. Я не ipsec не смог протестировать на этих скоростях т.к. конечные точки захлебывались раньше, тот же ubiquity упирался в 100% загрузки процессора, а RB4011 держался в районе 15-20%
Собственно, предыдущий свитч в роли роутера на этом же процессоре (вроде бы) я сменил после того, как он перестал вытягивать гигабит на ipv6 (тогда оно только появлялось и fastpath/fasttrack еще не поддерживался)
Очевидно, эти протоколы не для РФ.
Что с человеком ни делай, он в своей жизни обязательно напишет очередной генератор отчётов по базе данных. Да-да, если надо сгенерить кучу однотипных конфигов с различными параметрами типа реквизитов подключения к VPN-концентратору, соответствующему ему имени точки доступа и параметров PBR — это в чистом виде частный случай получения отчёта по базе данных тех самых параметров.
И вот казалось бы, кругом полным-полно совершенно бесплатных генераторов отчётов вроде Mail Merge из любого офисного пакета, но нет, каждый норовит написать свой собственный генератор отчётов, теперь ещё и на языке RouterOS!
Обязательно воспользуюсь Mail Merge когда он появится в RouterOS!
Обязательно воспользуюсь Mail Merge когда он появится в RouterOS!
Mail Merge уже есть в любом офисном пакете, который наверняка установлен в операционной системе компьютера/ноутбука, который Вы используете для обслуживания маршрутизатора с RouterOS.
Сколько Вы там времени потратили на написание и отладку скрипта, которым делали немного отличающиеся конфигурации для разных профилей VPN по направлению "страна-город"? А могли бы это время не тратить, вместо этого собрать сведения об этих профилях в электронную таблицу, потом сделать шаблон конфигурации для слияния, подключить к нему эту таблицу в качестве источника данных, вставить в нужные места шаблона поля данных из таблицы, нажать кнопку слияния и получить документ со всеми конфигурациями. Час времени.
Это будет работать пока РКН не заблочит wg. Так что надо было брать что-то на openwrt - туда можно поставить и другие впн.
Cascade.express подключи и настрой на роутере и не забивай себе голову
По-моему решение с множеством AP изначально мертворожденное. Я бы попробовал скриптом пинги высчитывать до разных серверов и автоматически переключать туннели, или что-то в этом роде.
Winbox не осилил автор?
Так и не понял зачем второй роутер, почему на первом роутере не поднять ВПН и маршрутизировать трафик по гео/клиенту/wifi сети
А на gl.inet и подобные поделки китайского производителя из-за спортивного интереса не смотрели? :)
Вот только хотел спросить то же самое
Что-то подобное попадалось в интернетах. Правда позже покупки mAP lite.
Есть даже очень похожие девайсы по размерам и железу. Например https://www.gl-inet.com/products/gl-ar300m/
Минусы для меня следующие:
долгое время доставки (из штатов или европы)
цена - скорее всего обошелся бы раза в 2-3 дороже, а если устройство классом выше и современнее - в 5+ раз
и самое главное, я не знаю его возможностей, и как следствие сможет ли оно без прошивки на dd-wrt/openwrt смочь поднять несколько AP с маршрутами через WG? И можно ли их вообще прошить на dd-wrt/openwrt? И будет ли оно потом стабильно работать на этих прошивка?
И можно ли их вообще прошить на dd-wrt/openwrt?
[OpenWrt Wiki] Table of Hardware
PS:
[OpenWrt Wiki] Techdata: MikroTik RBmAPL-2nD (mAP lite) rev1, rev2
[OpenWrt Wiki] Techdata: MikroTik RBmAP-2nD (mAP)
GL.iNet построен на OpenWRT. Например, тот, что у меня на полочке лежит - "Runs on OpenWrt 21.02 (Kernel version 5.4)".
Да, прайс дороже в 3 раза, но начинка отличается во много раз больше.
Кстати, mAP lite вышел почти с 10 лет назад. При этом железо было устаревшим уже на момент выхода, аналогичные чипы использовались ещё раньше. Так что мне видится этот девайс очень нишевым сейчас. Я подобный по теххарактеристикам брал Nexx WT3020 в те годы (лежит сейчас прямо передо мной с оторванным microUSB, к большому сожалению, хотя с удовольствием поковырялся бы ещё в нём, но паяльник остлся на родине), и сейчас ему на замену взял GL.iNet. Что-то мне подсказывает, что переплата в лишние 50 баксов сэкономила бы вам некоторое кол-во времени на приключения с mAP, но тогда бы не появилась эта статья. :)
Купил роутер размером с зажигалку, загрузил туда 100 VPN-профилей и удивляется, что проц ушел в сотку. Вы бы на нем еще кубернетес попробовали развернуть!)
Вы плохо читали. 100 профилей это просто загруженный конфиг. Из них только несколько VPN активны. И они не грузят проц. Утилизация проца в 100% когда либо идет реальная работа, т.е. шифруется трафик на 30Mbps, либо когда идет активная запись/чтение конфигурации RouterOS. Именно последняя ситуация является аномалией
Нет чтоб купить Cudy TR3000
R3S - то размеру такой же, но гигабит прожуёт и любые ос/протоколы vpn
В один из вечеров , В очередной раз как перестал работать для клиентов из РФ один из сервисов .
Родилась мысль , о том что нужен канал в интернет без каких либо ограничений и блокировок .
Позже получилось вот это.
INTERNET
│
│
┌────────▼────────┐
│ ISP (WAN1) │
│ Main provider │
└────────┬────────┘
│
│ port5
▼
┌────────────────────────────────┐
│ MikroTik │
│ │
│ WAN1 port5 → ISP │
│ WAN2 port3 → Linux tunnel │
│ LAN1 port2 → 192.168.60.0/24 │
│ │
│ bridge / WiFi → Clients │
└───────────┬───────────┬────────┘
│ │
│ └───────────► WiFi / LAN clients
│
│ port2
▼
┌──────────────────────────┐
│ Linux PC │
│ │
│ eth1 → 192.168.60.x │
│ LAN access / management │
└──────────────────────────┘
======================== WAN2 / TUNNEL NETWORK ========================
┌──────────────────────────┐
│ Linux PC │
│ │
│ eth2 → 192.168.80.1 │
│ Tunnel gateway │
└──────────────┬───────────┘
│
│
▼
┌────────────────────────┐
│ autossh │
│ SOCKS5 :1081 │
│ redsocks :12345 │
│ iptables redirect │
└─────────────┬──────────┘
│
│ SSH tunnel (port 22)
▼
┌─────────────────┐
│ Ip адрес │
│ VPS gateway │
└────────┬────────┘
│
▼
INTERNET
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
MikroTik, MultiVPN и все такое