Mikrotik site-to-site IPSEC tunel skrz Huawei B2338-168

pelirob

Zdravím,

nemá tu náhodou někdo praktické zkušenosti s nasazením Mikrotika za LTE routerem Huawei B2338-168? Potřebuji z jedné lokality, přes T-Mobile službu Pevný internet vzduchem, natáhnout IPSEC site-to-site tunel, ale konfigurovat ten Huawei je vážně za trest. Máme zaplacenou veřejnou IP adresu a doufal jsem, že z Huaweie udělám bridge a veřejku protlačím až na WAN port toho Mikrotika, ale to se nezadařilo.

Navíc v návodu jsou napsané věci, které současný firmware buď neumí, nebo je má úmyslně zablokované, bez možnosti odblokování. A technická podpora T-Mobile mi sdělila, že režim IPv4 Passthrough nikdy nezkoušela, vlastně ani nevědí k čemu by se dal použít a k nastavování routeru není kompetentní. Že na routeru umí nastavit jen to LTE připojení a nic víc. Prý to všem zákazníkům stačí a se speciálními požadavky se mám obrátit na odborníky. No řeč jak z pohádky, lituju, že jsem si to nenahrával.

Sice mi ten tunel nakonec chodí, ale konfigurace je dost na prasáka, MK mám vystrčený do DMZ a část wifi provozu z toho Huaweie statickým záznamem v routování tlačím zpátky do Mikrotika a do tunelu.

rsaf

Tak prasácky vypadá už ta část návrhu, že za LTE modemem má být mikrotik ale wifina se má použít z toho modemu...

pelirob

Tak původně měla jít do tunelu jen komunikace ze stolních PC připojených kabelem o wifi nebyla řeč. Ke změně požadavku došlo v den instalace a wifi MK jsem s sebou neměl. Samozřejmě se to chystám předělat, ale nechci tam jezdit zbytečně několikrát - je to víc jak hodina cesty.

Otázka zůstává - dá se v některém ze čtyř možných provozních režimů, které Huawei B2338-168 nabízí, dostat veřejná IP adresa na WAN port Mikrotika? Nejvíc jsem si sliboval od IPv4 Passthrough, ale neuspěl jsem a zajímá mě, jestli něco dělám špatně, nebo to ten Huawei vážně neumí.

Tak prasácky vypadá už ta část návrhu, že za LTE modemem má být mikrotik ale wifina se má použít z toho modemu...

danielcada

Budu řešit to samé. Podařilo se vám to nastavit?

Tak původně měla jít do tunelu jen komunikace ze stolních PC připojených kabelem o wifi nebyla řeč. Ke změně požadavku došlo v den instalace a wifi MK jsem s sebou neměl. Samozřejmě se to chystám předělat, ale nechci tam jezdit zbytečně několikrát - je to víc jak hodina cesty.

Otázka zůstává - dá se v některém ze čtyř možných provozních režimů, které Huawei B2338-168 nabízí, dostat veřejná IP adresa na WAN port Mikrotika? Nejvíc jsem si sliboval od IPv4 Passthrough, ale neuspěl jsem a zajímá mě, jestli něco dělám špatně, nebo to ten Huawei vážně neumí.

Tak prasácky vypadá už ta část návrhu, že za LTE modemem má být mikrotik ale wifina se má použít z toho modemu...

pelirob

Upřímnou soustrast...... :-)

Bridge ani IPv4 Passthrough jsem nerozchodil. Jediné co jsem nakonec uchodil bylo přiřadit mikrotiku statickou IP z LAN rozsahu Huawei, tuto adresu použít v konfiguraci Huawei jako DMZ a dál už je to klasika - nastavit si všechno co potřebuju na tom mikrotiku. Akorát nemám vyřešen vzdálený managment Huawei, ale doufám že ho nikdy nebudu potřebovat, protože ten T-Mobile křáp je trochu z ruky. Navíc mám v srpnu konfigurovat dalšího, prakticky na druhém konci republiky.

Pokud přijdete na nějaké jiné řešení, rád se přiučím.

dlouhy_97

Taky jsem to již řešil, ale ještě složiteji než všichni tady, jelikož jsem neměl po ruce mikrotika co bych dal na vzdálenou stranu a dokonce jsem na tom B2338-168 neměl ani veřejku... a znáte tu situaci, když už včéra bylo pozdě a musí to jen za každou cenu... tak jsem to vyřešil pěkně hnusně na prasáka... k mému udivění jsem v nastavení WANu mohl zvolit režim L2TP... tak jsem mu nastavil na LAN první náš další volný subnet, pro příklad řekněme 192.168.81.1/25 (ale jelikož ten shit nepodporuje L2TP/IPsec, tak jsem si na straně serveru povolil čistý L2TP na jednoho usera a nastavil mu statickou remote IP z VPN rozsahu, řekněme 192.168.255.126/25)... rozsah na straně serveru je řekněmě 192.168.80.0/24..... vyzkoušel se připojit a k mému překvapení se spojení opravdu navázalo... pak již stačilo do routovací tabulky

na straně serveru přidat statickou routu 192.168.81.0/25 GW 192.168.255.126 (na mtiku nejdřív zvolil jako GW namísto IPpřímo L2TP interface, nicméně po každém restartu remote strany se routa zneplatnila, proto vůbec došlo na statickou remote adresu z VPN rozsahu) ... ping do remote i po restartu již OK a na straně klienta B2338-168 obdobnou statickou routu 192.168.80.0/24 GW 192.168.255.1 (na shitu jsem taky původně jako GW nastavil interface tunnel, tam už ta routa přežije restart server strany... nicméně na IP to funguje stejně) .... ping z remote na local taky OK... pak už při potřebě přístupu do dalšího rozsahu se přidá pouze další routa na remote straně... problém prozatím provizorně vyřešen...

Jako PLUS na tom vidím následující:

+ není potřeba další zařízení (mtik)

+ není potřeba mít na remote straně veřejnou IP (problém by to mohl být pokud by byl VPN server i klient pod stejným ISP a interní rozsahy by se směrovaly pouze v rámci CGN, na WAN rozhrání VPN serveru by se tehdy objevil neveřejný rozsah z CGN)

+ vzdálený managment z remote rozsahu B2338-168 (shit má managment přístupný pouze pod svou LAN IP a nepřišel jsem na to jak to změnit, takže ani přes IP, kterou dostal jako klient VPN si na něj nešáhnete)

Oproti tomu jak obrovské MÍNUS na tom vidím:

- všechna data tečou večejně čístým L2TP bez jakéhokoliv šifrování

- velice krkolomné řešení, které by se podle mě standardně nasazovat nemělo

- nemožnost použití local DNS serveru pro remote klienty (nepovedlo se mi nastavit na DHCP shitu DNS parametr na local stranu a ikdyž jsem ho na PC nastavil ručně, tak DNS odpověd jsem prostě nedostal, tak jsem vyplnil hosts file na těch 3 PC těma 4 - 5 záznama co tam jsou potřeba.... možná, že by to šlo vyřešit nějakým hardcore portforwardingem, nicméně na to už jsem neměl nervy a odjel pryč)

Po nějaké době jsem začal zvažovat nová řešení co by přišla v úvahu, jelikož jě nepřípustný, aby tekly ty data nešifrovaně dlouhodobě, to můžu použít maximálně na připojení mojí chaty do domací LANku, ale určitě ne nikde u klienta, tak jsem začal uvažovat o úplně standardním připojování poboček, respektive objednat veřejnou, přepnout ten shit do bridge, dát mu IP z jiného rozsahu, a cvaknout za něj mikrotika na něj nastavit tu veřejku a standartní IPsec, ještě s jednou statickou routou na IP shitu (aby se na ten shit dalo šáhnout ze vnitř i potom v bridgi - na local straně mám UPC modem v bridgi s IP 192.168.100.1 a na mtiku za ním mám na tu adresu statickou routu s GW na WAN a můžu si na něj taky vždy šáhnout) nicméně po přečtení téhle diskuze a pár dalších koukám, že to taky nebude až taková sranda... já právě taky počítal s tím, že IPv4 Passthrough funguje jako bridge, pokud ne, tak je tenhle způsob připojení k internetu pro firemní pobočky téměř úplně k ničemu... pokud to T-Mobile technik při rozhovoru nepochopí.... vypovím to ..... a uteču k O2, kde místo toho shitu dávají trošičku lepší TP-LINK Archer MR200, který má LTE přijmač přijmo v sobě, žádná kráva na zdi... nemluvě o novějších standardech jako WiFi již v ac s až 750Mbps oproti Huawei s jeho 150Mbps, dvojnásobnému počtu LAN portů.... ale co je to hlavní je firmware... měl jsem ho možnost vyzkoušet a byl jsem oproti HUAWEI příjemně překvapen, tento LTE modem již má Site-To-Site IPsec implementován v základu... další úžasnou výhodou je možnost přepnutí do bridge... který fakt funguje.... a prakticky je to vše při podobné, možná i lepší ceně tarifu... pokud se mi to s TMCZ podaří nastavit, tak se ozvu jak

pelirob

Dobrý den,

koukám že jdete podobnou cestou jako před časem já. ten TP-LINK Archer MR200 je možná o fous lepší, ale rozhodně nečekejte od technické podpory O2, ani od "speciální" placené technické podpory O2 žádnou pomoc. Ušetřím Vaše nervy a cca 4 a 1/2 hodiny volání ("... aha vy chcete site-to-site IPSEC VPN tunel? A můžete mi prosím hláskovat, jak se to píše? " - to nekecám, tohle jsem vážně slyšel na placené (99 Kč bez DPH za zavolání) lince podpory a mám na to 3 svědky) - ten Archer MR200 proti Mikrotiku uchodil jde. Asi před 14 dny jsem poslouchal prezentaci pána z české podpory TP-LINKu a jmenovitě na tenhle případ jsem se ho ptal, má to vyzkoušené a jde to. Jestli máte zájem, pošlete SZ a já Vám na něj dám kontakt.

Pelirob

....nicméně po přečtení téhle diskuze a pár dalších koukám, že to taky nebude až taková sranda... já právě taky počítal s tím, že IPv4 Passthrough funguje jako bridge, pokud ne, tak je tenhle způsob připojení k internetu pro firemní pobočky téměř úplně k ničemu... pokud to T-Mobile technik při rozhovoru nepochopí.... vypovím to ..... a uteču k O2, kde místo toho shitu dávají trošičku lepší TP-LINK Archer MR200, který má LTE přijmač přijmo v sobě, žádná kráva na zdi... nemluvě o novějších standardech jako WiFi již v ac s až 750Mbps oproti Huawei s jeho 150Mbps, dvojnásobnému počtu LAN portů.... ale co je to hlavní je firmware... měl jsem ho možnost vyzkoušet a byl jsem oproti HUAWEI příjemně překvapen, tento LTE modem již má Site-To-Site IPsec implementován v základu... další úžasnou výhodou je možnost přepnutí do bridge... který fakt funguje.... a prakticky je to vše při podobné, možná i lepší ceně tarifu... pokud se mi to s TMCZ podaří nastavit, tak se ozvu jak

machca

Vytrhnul bych simku a pořídíl lte kit od MK. Než se někde dohadovat

rhoracek

Zdravím, též se hrozně trápím s nastavením 🙂
Mohl bych Vás poprosit o přesný popis nastavení rout v Huawei? Já to nedám...
Mám Huawei v bridgi s IP 10.10.10.1, který přes DHPC s rozsahem 10.10.10.2-100 přiděluje WAP IP routeru UBNT USG na kterém je první sít.
První Sít s UBNT USG v pevnou veřejnou IP a s vnitřním rozsahem 192.168.1.1. je propojená přes Site to site VPN do druhé sítě s UBNT USG v neveřejnou dynamickou IP s vnitřním rozsahem 192.168.3.1.
Sítě se vidí, ale nepingnu na zařízení do druhé sítě.
Podle stránek UBNT není třeba nic nastavovat, jen vytvořit v obou USG nové sítě VPN.
Děkuji za radu