Forum

Mkauth em VPN ou Autenticando Clientes em RB Nateada na Frente da RB Central sem OSPF !!

Postado por severino euclides da silva filho em 1 de Abril de 2019 às 10:06pm

Boa há noite há todos !!

Venho aqui mostra há maneira prática e sem complicação de usar um único mk auth em vários Pops !!

Em modo VPN 

1 -  criem o serviço VPN na Central onde esta o mk auth, e não criem Nat na conexão da rede do servidor VPN isso e importante !!

https://www.youtube.com/watch?v=j7GKCDbBv1k

2 - temos que ativar e utilizar o endereço do cloud e não o ip publico da sua RB Central como ip para fechar há conexão entre os pops da nossa rede !!

3 - Não utilizar ip padrão do mkauth como 172.31.255.1/24, 172.31.255.1/30, utilizem ips como 192.168.200.0/30 e etc etc etc !! 

4 -  vc pode fechar ou mudar há porta 22 padrão do mikrotik, pois o mk auth não precisa dessa porta 22 aberta para fins de comunicação de testes com o mikrotik, o mk auth funcionará de todo jeito na sua rede !!

Vamos há explicação:

As contas do VPN no secrets devem conter ips Fixos nelas e não deixa entregar dinamicamente como fazemos com os clientes das nossas redes locais !!

O mk auth não deve-se de alguma forma usar há mesma chave para os outros pops, vc deve  criar uma chave para cada RB se comunicar com o mk auth, nisso em cada ip cliente, que cada pop pega deve-se criar uma chave com o ip que cada pop recebeu e add neles !!

Após fazer tudo isso tenham em mente que cada pop tem que trabalhar com faixas de rede internas DIFERENTES e nunca iguais, caso vc fez isso e bom trocar esses ips por range diferentes e ter o cuidado de que possar ter necessidade de subir o tamanho de ips da rede de cada RB no futuro !!

Vamos as Regras :

Suponhamos que uma RB tenha sido add no mk auth com chave e tudo certinho e essa RB tenha fixado o ip nela e ela autentica no VPN e recebe o ip 192.168.100.2 e vc consegue pingar pra ela, e ela esteja Nateada e vc não consiga pingar e nem ter acesso há rede atras dela que esta com essa range de rede local 192.168.150.0/24 onde os clientes se autenticam em PPPoE , pois o Nat não permite há comunicação nessa rede !!

Vc vai add essas Regras na sua Central e na RB onde esta Nateada há rede 192.168.150.0/24 :

/ip firewall address-list


add address=192.168.0.0/16 comment="Rede IPs Privados" list=Roteadores_Clientes

add address=172.16.0.0/12 comment="Rede IPs Privados" list=Roteadores_Clientes

add address=10.0.0.0/8 comment="Rede IPs Privados" list=Roteadores_Clientes

/ip firewall mangle

add action=accept chain=prerouting comment="*********************** ACEITAR  REDES PRIVADAS  **************************" dst-address-list=Roteadores_Clientes src-address-list=Roteadores_Clientes

Só na RB Central,  Serve tanto para o VPN como em Rede Local, no caso, RB secundaria Nateada na frente da RB Central !!

Vamos add uma rota estatica só na RB Central, para mostra ao mikrotik e ao mesmo tempo ao mk auth onde esta há rede que no caso seria há 192.168.150.0/24 

/ip route


add distance=1 dst-address=192.168.150.0/24 gateway=192.168.100.2

Espero ter ajudado !!

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Rafael Rodrigo Martins Santos 24 de Janeiro de 2021 as 11:51am

    show amigo, gostaria de saber se tem possibilidades de eu tirar algumas duvidas com voce.

  • Matheus Carvalho ✅ 24 de Janeiro de 2021 as 9:14pm

    e descomplicando a vida de todos

    mesmo deixando o mk-auth atrás de nat autenticando vários concentradores;

    basta criar essas duas regrinhas na routerboard responsável pelo snat: 

    /ip firewall raw
    add action=notrack chain=prerouting src-vidaaddress=172.31.255.2
    add action=notrack chain=prerouting dst-address=172.31.255.2

    Consultoria [CHAMAR NO WHATSAPP]

This reply was deleted.