[megoldva] Telekom + Mikrotik = szenvedéstörténet. +VPN beállítás

Hálózati eszközök

Kezdem a T-t megutálni de komolyan. Egy rakás Mikrotiket is konfiguráltam már, "néhány" ciscot..

Ittonra jutott egy RB2011-es MikroTik. Tökéletesen működött, amíg rezes hálózatom volt. Amióta optikára cserélték, megállt az élet.

A pppoe felhasználói nevem+jelszavam nem változott. Régen úgy nézett ki a sztori, ha beírtam a T-s routerbe, hogy passtrough enable, akkor kapott egy dummy 3play_cpe@telekom.hu vagy valami hasonló felhasználói nevet és hozzá egy jelszót, amit nem ismerek. Mögötte az én routerembe szépen be volt állítva a saját jelszavam és felhasználónevem és használtam. Volt egy nyilvános IP-m, működött a mikrotik saját ddns-e és a vpn kapcsolatom is szépen felépült.

Semmi más nem történt már fél éve, hogy lecserélték a rezet optikára. Ez már egy másik fajta ONT, de ez is érdekesen működik. Egyrészt ha bekapcsolom a passtrought, akkor mögötte a pppoe felhasználói nevem mégegyszer felcsatlakozik. De az eredetit az ONT nem dobja el, nem kap 3play-es felhasználót, mint régen. Ez úgy néz ki, hogy 1 felhasználóval 2 IP-m van... látszólag. Fogalmam sincs, hogy mi történik a háttérben, de nagyon nem tetszik. A NAT-olás tutira ki van kapcsolva, megnézettem százszor. Ha a mikrotiket el akarom érni a saját ddns-én keresztül, mondjuk megpingetném, akkor nem az ő saját pppoe1 interfészen lévő címét kapom vissza, hanem az ont-nek van egy default gateway és azt kapom meg a dns szervertől. Egyébként sem ezzel a címmel, sem pedig a pppoe-1 interfész címével nem épül fel semmilyen vpn kapcsolat (wireguard, ovpn).

Komolyan mondom, ennyit szórakozni egy ilyen dologgal... tényleg kezd kiakasztani.

A vicc az, hogy ha visszarakom a polcról a régi TP-linket, akkor annak is van saját ddns kiszolgálója, nem tudom mi történik a háttérben és hogyan, de azon keresztül menne a vpn, csak az ha jól emlékszem pptp-t tud és az új androidon az már nem működik.

Miért kell nekem a saját eszközeimet/routeremet átkönfigurálni, mikor a szolgáltató cseréli az eszközét? Azért van saját eszközöm, mert amikor ők kényükre-kedvükre cserélgetik, akkor a konfigom ne vesszen el.

Próbáltam, hogy a passtrough-t tiltom és a Mikrotik csak a LAN porton kap egy IP-t. Annyi változott, hogy a ddns már az ONT publikus címét látja. VPN kapcsolat továbbra sem épül fel. Próbáltam, hogy beledobom DMZ-be a MikroTiket, próbáltam port forwardokat is beállítani neki. Egyszerűen sehogy sem tudom felépíteni a kapcsolatot.

 

Szóval létezik ember a Földön, akinek ez hasonló konfigurációban működik?

Ha igen, akkor hogyan?

Simán lehet, hogy csak nem látom a fától az erdőt.

( thxer v | 2023. 11. 01., sze – 23:29 )

Nem írtad az ONT típusát, de nálam a a sagemcomból ki van törölve a pppoe hozzáférés és be van kapcsolva a passthrough. Így csak a MikroTik építi fel a kapcsolatot és működik vele a DDNS és VPN.

Biztos egyébként hogy publikus IP-t kapsz a pppoe csatlakozásnál és nem CG-NAT-olt 100.-al kezdődőt?

Lejjebb írtam, de amúgy nem volt beállítva DHCP kliens egyik interfészen sem, csak a pppoe1-re vonatkozott. Ennek ellenére LAN oldali címet is adott neki az ONT :) Hogy hogyan, arra azért kíváncsi lettem volna, de már inkább nem mászok bele jobban mert csak felidegesítem magam :D

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

( b10up | 2023. 11. 02., cs – 00:00 )

Megy ez.
Az van, hogy a rezes HGW-k akkor kapták a 3play_cpe@telekom.hu fiókot, ha nyomtál rájuk factory resetet. Itt annyi extra van még, ha hibát jelentesz be és emiatt resetelik a konfigodat a központi oldalon vagy csomagot váltasz, lefut egy zero-touch-provisioning nevű folyamat és lehet, hogy betolja a loginodat újra az eszközbe, de ez elég ritka.
A 3play_cpe fiók egyébként ahhoz kell, hogy a régi platformos iptv-d és a régebbi rezes hgw-k managementje elérje a szervereket. 
Optikán külön vlan van erre, itt ez nem kell. Ha bekapcsolod a passthrough opciót, legalább az adsl@test / test logint írd bele, ha nincs iptv-d, akkor már csak egyszer fog feljönni a saját címed. 
Itt plusz egy warning: Ha rossz loginnal próbálkozol, 1 percre kitilt a központ és addig a jóval sem próbálkozhatsz, vagy hosszabbítja a tiltást, ezért az ont-ben is valid login legyen, véletlenül se hibásat írj bele, mert semmi nem fog feljönni.
Passthrough módban viszont az eszköz DHCP szervere ugyanúgy aktív marad, wifit le kell lőni kézzel, ha megy, és a mikrotikben ne legyen dhcp kliens ezen a porton, csak a pppoe.
Még egy sajátosság, amit Sagemcom v2 ONT-nél tapasztalok, ha tikben disabledre teszed a pppoe kliens interfészt, ami működik, akkor teljesen random de 10-ből 3x úgy lefagy az ont hogy csak a táp ki-be hozza vissza az életbe. 

Nálam a Technicolor csodán tök üres az username/password :

PPP connection
Status: Disabled
PPPoE PT: ON
Username:
Password:

Nekem a PFSensen DHCP kliens is van mert ha van IPTV-t a szolgáltató doboza fele kell kell küldeni , hogy menjen. (A https://technicolor_ip/modals/iproutes-modal.lp segít megmutatni, hogy mégis milyen tartományt. (ha már ugye dokumentálva nincs :)))

( Adamyno | 2023. 11. 02., cs – 08:14 )

Haladtam a dologgal :)

 

Mindenesetre érdekes jelenségeket tapasztaltam.

Az történik, ha a saját pppoe be van állítva az ONT-ben is és a MT-ben is, akkor anak ellenére, hogy a whatismyip a MT publikus IP-jét adja vissza, a MT saját ddns megoldása az ONT publikus IP-jét akarja használni és azt írja ki, hogy NAT mögött vagyok. Ha saját scriptet használtam a ddns rendezésére, akkor bár a MT pppoe1 interfész címét el tudtam küldeni a no-ip felé, de az sem segített rajtam, továbbra sem tudtam elérni az eszközt. 
Ha beírok az ONT-be egy fals username/password párost, akkor nem úgy működnek a dolgok, ahogy várnám. Ezt már nem is részletezem.
Itt jön az érdekesség... Ha viszont nem írom be a felhasználói nevet, tehát teljesen üresen hagyom a mezőt, akkor azt írja ki, hogy PPPoE disabled.

Eszközök újraindítása után a MT megkapja pppoe1-re a publikus IP-t és azt is küldi el a ddns felé. Félsiker.
A böngészés nem működik. Illetve az oldalak közül 10-ből 8 nem töltődött be.
Azt találtam, hogy bár az sfp1 porton csak a pppoe kliens fut, mégis kapok LAN oldali címet, amit eldobni sem tudtam. Így hát folytattam a radírozást az ONT-ben, kikapcsoltam a DHCP szervert is rajta. Ezután beindult az élet.
Az a publikus IP-m, amit a MT a saját ddns szolgáltatója felé el is küld. Felépült az ovpn kapcsolat. A wireguard nem megy, de mindegy igazából.
Még az otthoni hálózatot nem látom, de azt már megoldom.

 

Mindezt azért, mert a szolgáltató kicserélte a routerét.
Az még a kisebbik gond, hogy utána a saját dolgaidat is konfiguráljad. De hogyan? Nincs egy épkézláb dokumentáció, hogy mi hogyan működik. Lényegében van egy fekete doboz, aztán találd ki, hogy mit csinál. Nyilván az átlag freemailes Józsikának jó'van az úgy. A lényeg, hogy a wifi kimegy a falu végére is, otthon megsüti az agyadat, a netflix hasít a gigán.

Egyébként ha el akarod érni az okosotthont vagy a nason lévő cuccokat, stb.. akkor így jártál.
Na megnyugodtam.
Csak fel tudja tolni bennem a pumpát mindig ez a sok erőltetett szarság.
Üzleti szférában ilyeneket nem tapasztaltam. Ott kérsz egy bérelt vonalat vagy egy internetet és tök egyszerűen műxik minden. Mögötte azt csinálsz amit akarsz.. OSPF, EIGRP, RIP, stb.. itt meg egyáltalán addig eljutni, hogy Layer 3 szinten úgy és arra közlekedjenek a bitek, ahogy eleve kellene neki.. 

- Indítsd újra a gépet! - Az egészet? - Nem, a felét...

( tlecso | 2023. 11. 02., cs – 14:19 )

Én nem szenvedtem ezekkel. 

Beállítottam a DMZ-t a Mikrotikra, és ennyi. Mindent a Mikrotik csinál, kivéve a PPPOE-t, az amúgy sem az erőssége :)

Cserébe nincs dupla NAT, minden elérhető amire állítottam a Mikrotiken port forwardot, WireGuard is megy rendesen.

Ha gondolod, privátban küldök egy map-et a rendszerről.