Mikrotik VPN L2TP+IPSEC do MS Windows

MikroTik jako serwer VPN w oparciu o protokół L2TP z szyfrowaniem IPSEC z wykorzystaniem klucza.

Na routerze MikroTik przed przystąpieniem do konfiguracji serwera VPN stworzyłem typową konfiguracji domowego routera (NAT, DHCP, DNS, prosty firewall)

  1. W pierwszej kolejności musimy utworzyć użytkownika VPN. Aby to zrobićprzechodzimy w menu PPP do zakładki Secrects.
  2. Klikamy dodaj, w nowym oknie wpisujemy nazwę użytkownika, hasło,wybieramy rodzaj tunelu jaki będzie używany przez tego użytkownika (w tymprzypadku l2tp). Następnie podajemy Local Address (ten adres pojawi się w /ipaddress po zestawieniu tunelu) następnie podajemy Remote Address. Adresywykorzystywane w tunelu nie muszą być (chodź mogą) wykorzystywane w sieciLAN. W polu Remote Address można wybrać pulę adresów (którą wcześniejdefiniujemy w /ip pool).
    Możemy również stworzyć własny profil przechodząc do zakładki Profiles w menuPPP. Możemy m.in. nadać w profilu local adres który będzie obowiązywał dlawszystkich użytkowników korzystających z tego profilu. Dla przykładu, gdy wprofilu wpiszemy adres lokalny, a w remote adres wybierzemy pulę adresówbędziemy mogli tworzyć użytkowników podając tylko ich login i hasło reszta będzieposługiwać się danymi z profilu.

Jeżeli w konfiguracji użytkownika podamy innedane będą one ważniejsze niż te z profilu i zostaną użyte w tunelu.

/ppp secret
add local-address=192.168.50.10 name=l2tp_user password=ZAQ!2wsx
profile=default-encryption remote-address=192.168.50.1 service=l2tp

Następnie w menu PPP przechodzimy do zakładki Interface aby włączyć serwerL2TP. Klikamy w przycisk L2TP Server, zaznaczamy Enable, jako profil wybieramydefault-encryption, jako autentykację odznaczamy wszystko oprócz mschap2 (jestto algorytm dostępny w większości urządzeń i systemów operacyjnych). W poluUse IPsec wybieramy require (IPsec będzie wymagany do nawiązania połączenia),w polu IPsec Secret wpisujemy klucz szyfrujący transmisję (klucz będzie taki samdla wszystkich użytkowników).

 

/interface l2tp-server serverset authentication=mschap2 enabled=yes ipsec-secret=HasloIPSec useipsec=required

Dla tego typu tunelu na firewallu należy wprowadzić:

ACCEPT INPUT, Protocol UDP, Dst. Port 4500

ACCEPT INPUT, Protocol UDP, Dst. Port 500

ACCEPT INPUT, Protocol UDP, Dst. Port 1701

/ip firewall filter
 add action=accept chain=input dst-port=4500 protocol=udp
 add action=accept chain=input dst-port=500 protocol=udp
 add action=accept chain=input dst-port=1701 protocol=udp

 

Konfiguracja klienta na przykładzie Windows 7 wygląda następująco:

– wchodzimy w centrum sieci i udostępniania– klikamy w „Skonfiguruj nowe połączenie lub nową sieć”

– połącz z miejscem pracy– użyj mojego połączenia internetowego (VPN)

– w polu Adres internetowy wpisujemy publiczny adres IP naszego routera,ustalamy nazwę połączenia, zaznaczamy „Nie łącz teraz, tylko skonfiguruj…” iklikamy dalej

– wpisujemy nazwę użytkownika i hasło zdefiniowane w PPP/Secrets

– zamykamy kreator– wchodzimy w „Zmień ustawienia karty sieciowej”

– na utworzonym połączeniu VPN klikamy w właściwości

– wybieramy zakładkę „Zabezpieczenia”

– wybieramy „Typ wirtualnej sieci prywatnej (VPN) jako”. Protokół L2TP/IPSec” a wpolu Szyfrowanie danych wybieramy Najmocniejsze szyfrowanie, w poluUwierzytelnianie zaznaczany „Zezwalaj na użycie tych protokołów” i zostawiamyzaznaczone Microsoft CHAP wersja 2

– wchodzimy w Ustawienia zaawansowane, zaznaczamy „użyj kluczawstępnego…” i wpisujemy nasz IPsec Secret zdefiniowany u ustawieniach serwerana routerze i klikamy OK

Podłączamy się do sieci VPN klikając podwójnie na utworzone połączenie i wpisując dane zdefiniowane w PPP/Secrets.

Urządzenie które podłączy się do VPN będzie miało komunikację L3 z hostami sieci lokalnej. Ruchem tym można zarządzać odpowiednimi regułami /ip firewall

UWAGA: Jeżeli planujesz uruchomić serwer VPN na routerze będącym za NAT’em (w sieci lokalnej) pomimo utworzenia prawidłowych reguł na routerze brzegowym(przekierowań portów 500,4500,1701) i konfiguracji serwera VPN stacje klienckie z systemami Windows mogą mieć problemy z połączeniem.

Rozwiązaniem jest edycjarejestru (polecenie CMD jako administrator):

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2

 

Autor: Wojciech Mańka

Złącza ekranu LCD Matryce

Złącze ekranu

Istnieje kilka różnych typów złącz wideo używanych w ekranach laptopów. W większości przypadków złącza nie są wymienne. Oto najczęściej spotykane typy złącz wideo, które są obecnie używane:

30-pinowy eDP 
Jest używany na ekranach o rozdzielczości do 1920 x 1080. Jeśli twój laptop został wyprodukowany po 2014 roku i ma rozdzielczość ekranu do 1080p, prawdopodobnie używa tego typu złącza.
40-pinowe złącze tego samego fizycznego złącza, ale 3 różne i niekompatybilne sygnały 

40-pinowe eDP Touch – używane na nowszych laptopach po roku 2015, dodatkowe pinezki na 30-pinowym złączu eDP są potrzebne do wbudowanej funkcjonalności ekranu dotykowego . 

40-pinowy eDP QHD + – używany na nowszych laptopach po 2015 roku, dodatkowe szpilki na 30-pinowym złączu eDP są potrzebne dla opcji wyższej rozdzielczości, takich jak QHD (2560 x 1440), a nawet wyższy (4-kanałowy eDP).

“Ekrany LCD 40-pin eDP Touch” nie mogą być zamienione na ekrany “40-pinowe eDP QHD +”. Mimo że złącza są takie same, podłączenie ekranu “40-pinowego eDP Touch” zamiast ekranu “40-pinowego eDP QHD +” nie zapewni funkcji dotykowej, i na odwrót, podłączenie ekranu QHD zamiast 40-pinowy ekran dotykowy nie zapewni wyższej rozdzielczości. 

Boot sektor Windows 7 naprawa

Automatyczna naprawa za pomocą Narzędzia do naprawy systemu podczas uruchomienia
 Naprawa MBR

Komenda 1: bootrec.exe /fixmbr
 Komenda 2: bootsect.exe /nt60 all /force /mbr
 (narzędzie znajduje się na płycie instalacyjnej w folderze x:\boot; przełącznik /force wymusza nadpisanie mbr
Te polecenia pozwalają naprawić główny rekord rozruchowy (MBR).


 Komenda 1: bootrec.exe /fixmbr
 Komenda 2: bootsect.exe /nt60 all /force /mbr
 (narzędzie znajduje się na płycie instalacyjnej w folderze x:\boot; przełącznik /force wymusza nadpisanie mbr
Te polecenia pozwalają naprawić główny rekord rozruchowy (MBR).

Naprawa boot sectora
 Komenda 1: bootrec.exe /fixboot
 Komenda 2: bootsect /nt60 C:\ (naprawa partycji c:)
 Komenda 3: bootsect /nt60 SYS (naprawa partycji systemowej)
 Komenda 4: bootsect /nt60 ALL (naprawa wszystkich partycji)
 Polecenia do naprawy boot sektora partycji

Polecenia do naprawy boot sektora partycji

Odbudowa magazynu BCD
Komenda: bootrec.exe /rebuildbcd
polecenie skanuje dysk w poszukiwaniu instalacji Windows 7 i pozwala dodać daną instalacje do magazynu BCD. Komunikat, że zidentyfikowano 0 instalacji oznacza, że nie znaleziono żadnych nowych instalacji oprócz tych, które już znajdują się na liście rozruchu.

Edycja i konfigurowanie BCD
Edycja jak w XP: Zakładka Uruchamianie i odzyskiwanie we Właściwościach systemu czy MSConfig.exe, karta Rozruch.
BCDEdit.exe służy do zarządzania magazynem BCD, obsługa z Wiersza poleceń, zastępuje narzędzie Bootcfg.exe z Windows XP.
bcdedit /enum – wyświetla listę wpisów w magazynie
 Lub

1. Włóż do napędu płytę i uruchom ponownie komputer.
2. Kiedy pojawi się napis “Press any key to boot from CD or DVD” wciśnij dowolny klawisz.
3. Kliknij: “Napraw komputer”
4. Pojawi się okienko w którym będzie można wybrać język. Kliknij Dalej
5. Teraz kreator spróbuje odnaleźć zainstalowany system. Upewnij się, że jest zaznaczona pierwsza opcja – “Użyj narzędzi odzyskiwania (…)” i kliknij dalej.
6. Jeżeli pojawi się okienko z zapytaniem czy chcesz przywrócić system kliknij “Anuluj”
7. Pojawi się kolejne okno. Wybierz ostatnią opcję “Wiersz poleceń”
8. W okienku które się pojawiło wpisz:

bootrec /fixmbr – jeżeli chcesz zapisać główny sektor rozruchowy zgodny z Windows 7. I/lub:
bootrec /fixboot – aby naprawić uszkodzony sektor.
 1. uruchom komputer.
2. Po wyświetleniu monitu naciśnij dowolny klawisz.
3.Wybierz język, czas, walutę, klawiaturę lub metodę wprowadzania, a następnie kliknij przycisk Dalej.
4.Kliknij opcję Napraw komputer.
5.Kliknij nazwę systemu operacyjnego, który chcesz naprawić, a następnie kliknij przycisk Dalej.
6.W oknie dialogowym Opcje odzyskiwania systemu kliknij polecenie Wiersz polecenia.
7.Wpisz Bootrec.exe, a następnie naciśnij klawisz ENTER.

Opcje narzędzia Bootrec.exe
Ta procedura gwarantuje pełną odbudowę magazynu BCD. W celu jej wykonania wpisz następujące polecenia w wierszu polecenia:

bcdedit /export C:\BCD_Backup
c:
cd boot
attrib bcd -s -h -r
ren c:\boot\bcd bcd.old
bootrec /RebuildBcd

Link https://answers.microsoft.com/pl-pl/windows/forum/windows_xp-windows_install/przywracanie-sektora-rozruchowego-windows-7/b1a02e8a-41fe-45dd-96dd-7726ed135ec2

Mikrotik-Bandwidth-Test-Server(s) Public

Dzięki planetcoop, teraz mamy dwa serwery publiczne BTEST MikroTik możemy przetestować, łącze

oba serwery działają BTEST MikroTik Chr.

oba są na połączeniach internetowych 10-Gig. To jednak nie oznacza, jesteś w stanie przetestować pełną 10-gig.

oto informacje:
 

planetcoop btest server:
Host: btest.planetcoop.com
ipv4: 50.235.23.218
ipv6: 2001:559:8062::20
user and pass: btest
traffic graph of this btest server: https://btest.planetcoop.com:10443/graphs/iface/ether1/

 

TomjNorthIdaho btest server:
ipv4: 207.32.195.2
user and pass: btest
traffic graph of this btest server: http://207.32.195.2/graphs/iface/ether1/

Mikrotik Failover przykłady 2 WAN

Przykład 1

/ip address
    add address=192.168.0.1/24 disabled=no interface=LAN network=192.168.0.0
    add address=192.168.1.2/24 disabled=no interface=WAN1 network=192.168.1.0
    add address=192.168.2.2/24 disabled=no interface=WAN2 network=192.168.2.0
    /ip dns
    set allow-remote-requests=yes cache-max-ttl=1w cache-size=5000KiB \
    max-udp-packet-size=512 servers=208.67.222.222,202.141.224.34
    # Or use your ISP's DNS
    /ip firewall nat
    add action=masquerade chain=srcnat disabled=no out-interface=WAN1
    add action=masquerade chain=srcnat disabled=no out-interface=WAN2
    #### Following is ROUTE section where we will be using check-gateway function to monitor external hosts from each wan
    /ip route
    add dst-address=8.8.8.8 gateway=192.168.1.1 scope=10
    add dst-address=221.132.112.8 gateway=192.168.2.1 scope=10
    add distance=1 gateway=8.8.8.8 check-gateway=ping
    add distance=2 gateway=221.132.112.8 check-gateway=ping
Przykład 2

Dual Wan Load balacing with failover mikrotik
Introduction
Let us suppose that we have two WAN links, and we want load balance the two WAN links and do a fail-over if one of the WAN links fails ( eg: traffic redirected to the link which is up ) . the problem is to monitor, whether the Internet is accessible through each of them. The problem can be everywhere.
If your VPN cannot connect – then there’s no problem, your default route with gateway=that-vpn-connection will be inactive.
If your ADSL modem is down – then check-gateway=ping is on stage, and no problem again.
But what if your modem is up, and telephone line is down? Or one of your ISP has a problem inside it, so traceroute shows only a few hops – and then stops…
Some people use NetWatch tool to monitor remote locations. Others use scripts to periodically ping remote hosts. And then disable routes or in some other way change the behaviour of routing.
But RouterOS facilities allow us to use only /ip routes to do such checking – no scripting and netwatch at all!
Implementation
Basic Setup
Let’s suppose that we have two uplinks: GW1, GW2. It can be addresses of ADSL modems , DSL modems , a satic ip and a local ip (like 192.168.1.1 and 192.168.2.1), or addresses of PPP interfaces (like pppoe-out1 and pptp-out1). Then, we have some PCC Load balancing rules in ip > firewall > mangle and in ip > routes , so all outgoing traffic is marked with ISP1 (which goes to GW1) and ISP2 (which goes to GW2) marks and using mangle PCC method the traffic will be splited to both WAN links evenly. And we want to monitor Host1 and Host2 via GW1, and Host3 and Host4 via GW2 – those may be some popular Internet websites, like Google, Yahoo, etc.
First Add ips to the interfaces : ( don’t forget to rename the interface names accordingly )

/ip address
add address=192.168.10.1/24interface=Local
add address=192.168.1.2/24 interface=WAN1
add address=192.168.2.2/24 interface=WAN2

Since some most of the ISP’s does not allow dns request’s outside of there network. it’s better to run our own dns server on mikrotik
or simply use opendns or google dns servers
/ip dns set allow-remote-requests=yes cache-max-ttl=1w cache-size=5000KiB max-udp-packet-size=512 servers=8.8.4.4,8.8.8.8
The mangle rule set for distributing the traffic evenly to both links

/ip firewall mangle
add chain=input in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_mark
add chain=input in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_mark
add chain=output connection-mark=WAN1_mark action=mark-routing new-routing-mark=to_ISP1
add chain=output connection-mark=WAN2_mark action=mark-routing new-routing-mark=to_ISP2
add chain=prerouting dst-address=192.168.1.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=192.168.2.0/24 action=accept in-interface=Local
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=WAN1_mark passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=WAN2_mark passthrough=yes
add chain=prerouting connection-mark=WAN1_mark in-interface=Local action=mark-routing new-routing-mark=to_ISP1
add chain=prerouting connection-mark=WAN2_mark in-interface=Local action=mark-routing new-routing-mark=to_ISP2

FAIL OVER WITH ROUTING the wan Links
For checking the remote address i am using these hosts
8.8.8.8 Google-DNS host1A
72.30.2.43 Yahoo host1B
8.8.4.4 Google-DNS host2A
199.59.148.82 Twitter host2B
first we need routes to our checking hosts:

/ip route
add dst-address=8.8.8.8 gateway=192.168.1.1 scope=10
add dst-address=72.30.2.43 gateway=192.168.1.1 scope=10
add dst-address=8.8.4.4 gateway=192.168.2.1 scope=10
add dst-address=199.59.148.82 gateway=192.168.2.1 scope=10

Następnie stwórzmy cele do “wirtualny” chmiel do wykorzystania w dalszych trasach. Używam 10.1.1.1 i 10.2.2.2 jako przykład:

/ip route
add dst-address=10.1.1.1 gateway=8.8.4.4 scope=10 target-scope=10 check-gateway=ping
add dst-address=10.1.1.1 gateway=72.30.2.43 scope=10 target-scope=10 check-gateway=ping
add dst-address=10.2.2.2 gateway=8.8.8.8 scope=10 target-scope=10 check-gateway=ping
add dst-address=10.2.2.2 gateway=199.59.148.82 scope=10 target-scope=10 check-gateway=ping

And now we may add default routes for clients:

/ip route
add distance=1 gateway=10.1.1.1 routing-mark=to_ISP1
add distance=2 gateway=10.2.2.2 routing-mark=to_ISP1
add distance=1 gateway=10.2.2.2 routing-mark=to_ISP2
add distance=2 gateway=10.1.1.1 routing-mark=to_ISP2

And masquerade both wan interfaces

/ip firewall nat
add chain=srcnat out-interface=WAN1 action=masquerade
add chain=srcnat out-interface=WAN2 action=masquerade
TP SA (Orange) blokuje “zhackowane” modemy routery

TP SA (Orange) blokuje “zhackowane” modemy routery

Tak naprawdę Orange wcale nie blokuje konkretnych klientów, a po prostu wycięło routing wyłącznie do adresów IP, pod którymi przestępcy postawili fałszywe serwery DNS. Dzięki temu, żadne oprogramowanie na komputerze klienta (np. przeglądarka internetowa) nie będzie w stanie rozwiązywać nazw domenowych, jeśli klient korzysta ze złośliwych DNS-ów. Dla większości przeciętnych użytkowników te symptomy są oczywiście równoznaczne z “brakiem internetu”, chociaż nie jest to prawda.

 

Lista fałszywych DNS-ów — sprawdź, czy z nich korzystasz

 

Oto lista wszystkich znanych nam, fałszywych DNS-ów, które pojawiają się na “zhackowanych” roterach:

 

  • 5.45.75.36
  • 5.45.75.11
  • 95.211.241.94
  • 95.211.205.5
  • 95.211.156.101
  • 37.252.127.83
  • 69.85.88.100
  • 62.113.218.106

Jeśli zaobserwowaliście inne fałszywe DNS-y, dajcie znać:

Jak sprawdzić, z jakiego DNS-a korzystam?

Jeśli korzystasz z systemu Windows, wydaj polecenie:

Start -> Uruchom -> cmd.exe -> ipconfig /all

Jeśli korzystasz z systemu Linux bądź Mac OS X, wydaj polecenie w konsoli:

cat /etc/resolv.conf

Kielceserwis  pomożemy sprawdzić czy twoja siec jest bezpieczna.

Zadzwoń 691 928 403

Podobne :

Blokady routerów TP-link miliony routerów podatne na atak

 

 

 

Teks  pochodzi z  niebezpiecznik.pl

WordPress Themes