VPN na MK, propojení dvou sítí (NAT vs. veřejná IP)

_luky_

Prosím o nakopnutí, kterým směrem se vydat.

Na chalupě mám připojení přes LTE (tzn. bez veřejné IP adresy) a je zde IP kamera. Rád bych se na tuto kameru dostal i z domova. Teď mám jen fotku jednou za hodinu (kamera nahrává na veřejný FTP server).

Jako (poučeného) laika mě napadlo využít "domácího" připojení s veřejnou adresou a tyto dvě LAN propojit VPN tunelem. Trochu ale tápu, kterou možnost zvolit (EoIP/PPTP/L2TP/IPsec...?) a jak potom nastavit firewall/routy... aby skutečně byly obě sítě propojené a na IP kameru se dalo dostat z domácí sítě nebo ještě lépe i z internetu. Samozřejmě při zachování funkčnosti obou připojení i při nějakém výpadku (vlastní DHCP, traffic do internetu přes vlastní GW). Tady na foru jsem přečetl leccos, ale nejsem z toho moudrej.

Za tímto účelem mám teď na stole dva kusy RB hAP lite. Ale podle dostupných návodů se mi to nedaří rozchodit.

Aktuální "testovací" stav:

IPcam <> MKclient <> MKserver <> PC

Cílový stav:

IPcam <> MKclient <> LTE modem <> internet <> MKserver <> PC

Předem díky za rady.

mirek_k

Myslím, že pro začátečníka je mnohem jednodužší použít Port forwarding.

Příslušný('é) porty a protokoly přicházející na veřejnou IP adresu se pošlou na vnitřní IP adresu kamery.

Většinou stačí jedno pravidlo v IP > firewall > NAT.

Mirek

_luky_

No jo, ale já na chalupě veřejnou IP adresu nemám a nikdy mít nebudu. Jediné možné připojení je přes LTE. A podle vyjádření Vodafonu veřejná adresa nelze. Jinak bych tu šílenost s VPN nevymýšlel. Však to píšu hned v druhé větě.

mirek_k

No jo, ale já na chalupě veřejnou IP adresu nemám a nikdy mít nebudu. Jediné možné připojení je přes LTE. A podle vyjádření Vodafonu veřejná adresa nelze. Jinak bych tu šílenost s VPN nevymýšlel. Však to píšu hned v druhé větě.

Omlouvám se - nepozorně jsem četl a viděl jsem tam až tu část, kde se o veřejce píše.

V takovém případě je samozřejmě jediná možnost VPN.

Na chalupě bude klient a doma server.

Na googlu je spousta návodů ne VPN Mikrotik - Mikrotik. Stačí jeden vybrat. Nedoporučuji jen kombinovat více zdrojů informací.

např: http://wiki.mikrotik.com/wiki/VPN_(any_type)_between_2_Mikrotik_routers_and_no_static_IP_addresses

Mirek

_luky_

Nechtěl se mi spojit L2TP tunel. Nakonec pomohla změna WAN adresy Mikrotiků z Automatic na Static.

Dále jsem postupoval podle tohoto návodu a na stole to chodí. Zítra si jdu pro LTE modem, tak to vyzkouším i skrz Vodafone. Odvoz na chalupu bude až další fáze.

_luky_

Takže tunel funguje perfektně i přes LTE modem Vodafonu.

Ke spokojenosti už mi chybí poslední věc - zpřístupnit IP kameru přes mojí veřejnou adresu.

Aktuálně tedy:

IPcam (192.168.89.100) <> MKclient (LAN 192.168.89.1) <> LTE modem <> internet <> MKserver (WAN veřejná IP, LAN 192.168.88.1)

L2TP tunel je vytvořený mezi Mikrotiky. Adresy konce tunelu jsou shodné s LAN adresou Mikrotiků.

Z PC uvnitř sítě 192.168.88.X se na kameru dostanu. Když však na kameru chci přistupovat zvenku, nefunguje mi to. Port forward mám nastavený na IP adresu kamery, tj 192.168.89.100. (Správnou funkci forwardu jsem ověřil zapojením kamery do sítě 192.168.88.X).

Podle diskuse zde: https://ispforum.cz/viewtopic.php?f=5&t=12514 je patrně potřeba nastavit src-nat, aby odpověď šla zpět tunelem a nikoli rovnou do internetu. Autor píše, že to vyřešil tímto:

chain=srcnat action=src-nat to-addresses=192.168.2.1 protocol=tcp dst-address=192.168.19.200 dst-port=3389

Bohužel jsem nerozklíčoval, které adresy tam mám zadat. Možná je problém, že adresa konce tunelu je shodná s adresou LAN routerboardu?

Otázka č.2: Je samotný L2TP tunel bezpečný nebo je třeba tam pustit ještě IPsec?

_luky_

Moje řešení, na Mikrotiku s veřejnou IP:

;;; IP kamera

chain=dstnat action=dst-nat to-addresses=192.168.89.100 to-ports=80

protocol=tcp dst-address=adresa_WAN dst-port=81 log=no log-prefix=""

2 chain=srcnat action=src-nat to-addresses=192.168.88.2

dst-address=192.168.89.100 log=yes log-prefix=""

88.1 je LAN Mikrotiku s veřejnou IP, adresa_WAN je jeho adresa WAN

88.2 je konec tunelu

89.1 je LAN Mikrotiku na vzdálené straně

89.2 je vzdálený konec tunelu

89.100 je IP kamera ve vzdálené síti

Na veřejné adrese otvírám port 81, který je přesměrovaný na 80 na kameře.

Propojení L2TP tunelem je jednoduché a mnohokrát popsáno. Pozor na můj problém a adresou - s DHCP to nechodí, je třeba mít statické IP.

joker

No jo, ale já na chalupě veřejnou IP adresu nemám a nikdy mít nebudu. Jediné možné připojení je přes LTE. A podle vyjádření Vodafonu veřejná adresa nelze. Jinak bych tu šílenost s VPN nevymýšlel. Však to píšu hned v druhé větě.

Kamery (nejen, ale treba i GSM brany atp.) obvykle umeji vytvorit vpn tunel, tedy pripojit se vestavenym VPN klientem k Vpn serveru, typicky PPTP klientem k PPTP serveru (neni to asi extra nejbezpecnejsi, ale lepsi nez dratem do oka), nebo ne?

Takze podle me neni nutne potreba ani verejnou IP na site s kamerou a ani nejaky konkretni router...

maartinek

Mohl bys mi prosím doporučit nějaké kamery, které mají PPTP? Já vím jen o čínách Dongja, které umějí PPTP. Např. Hikvision to neumí. Takže když připojuju kameru od někud domu, musím před kameru připojit Mikrotik (mAP) a z toho jde PPTP.