Archiv rubriky: LAN a WiFi

WireGuard klient ve Windows pro ne-administrátorský účet (non-admin account)

Aplikaci pro WireGuard klienta ve Windows musíme nainstalovat pod administrátorským účtem a tam i provést konfiguraci tunelu. Ne-administrátorský uživatel nemá oprávnění vytvářet nové tunely. Popis nastavení a konfiguraci tunelu najdete v článku Instalace WireGuard klienta pro Windows a nastavení na mikrotiku.

Ve výchozím nastavení pouze Administrátoři můžou zobrazit grafické rozhraní GUI WireGuard. Aby GUI mohli otevřít i jiní uživatelé, musíme do registrů přidat proměnnou LimitedOperatorUI typu DWORD a nastavit hodnotu na 1, která se nachází v klíči HKLM\Software\WireGuard\.

Případně si vytvoříme soubor s příponou <jméno souboru>.reg a s obsahem a přidáme jej do registru:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\WireGuard]
"LimitedOperatorUI"=dword:00000001

Bez úpravy v registrech se zobrazí chybová hláška „WireGuard je spuštěn, ale uživatelské rozhraní je přístupné pouze uživatelům Builtin skupiny Administrators“ v angličtině „WireGuard is running, but the UI is only accessible from desktops of the Builtin Administrators group“:

error run gui wiregeuad for non-admin account

Dalším krokem, bude přidání uživatele do skupiny „Network Configuration Operators“. A to z toho důvodu, že běžní uživatelé nemají oprávnění nastavovat síťové rozhraní. To provedeme spuštěním lusrmgr.msc s oprávněním správce. Vybereme skupinu „Network Configuration Operators“ a do ní přidáme uživatele, který se může připojovat do tunelu.

 wireguard non-admin account

Přihlásíme se ne-administrátorským účtem, zobrazíme GUI WireGuard, vybereme tunel a kliknutím na „Aktivovat“ se připojíme.

Instalace WireGuard klienta pro Windows a nastavení na mikrotiku

Nastavení WireGuard na Mikrotiku

V mikrotiku Winbox>WireGuard>WireGuard>+ vytvoříme nový interface pro WireGuard. Tím se nám vygeneruje privátní a veřejný klíč pro server. Privátní klíč nikde nezveřejňujeme. Tunel pojmenujeme. V listen port, můžeme změnit výchozí port 13231 na jiný.

Vytvoříme rozhraní WireGuard

V Winbox>IP>Adderess nastavíme IP adresu pro Wireguard server např. 172.16.xxx.1

Přiřadíme wireguard IP adresu

Následně v Winbox>WireGuard>Peers>+ vytvoříme nový peer pro klienta. Vybereme správné rozhraní WireGuard. A nastavíme Allowed Address na IP adresu klienta. Pro nastavení musíme mít na klientu vygenerovaný privátní a soukromý klíč.

Konfigurace klíčů na mikrotiku a ve Windows

Instalace WireGuard klienta pro Windows

Instalaci WireGuard na Windows musíme provést pod účtem s oprávněním správce. Pokud bude tunel využívat uživatel, který nemá oprávnění správce, přejděte na Instalace WireGuard pro ne administrátorský účet (non-admin account).

WireGuard klienta si stáhneme ze stránek https://www.WireGuard.com/install/.

Po instalaci si otevřeme ovládací panel WireGuard. Klikneme na „Přidat tunel“ a zde vybereme „Přidat prázdný tunel“ klávesová zkratka CTRL+N.

Přidání tunelu

Automaticky se nám vygeneroval veřejný a privátní klíč. Privátní klíč nikdy nikomu nesdělujeme. Tunel pojmenujeme.

nastavení tunelu

V nastavení [Interface] přidáme adresu rozhraní a IP DNS. Kde x je stejné jako nastavíme v Mikrotiku pro daný peer.

[Interface]
Privatekey = <privátní klíč klienta, nikdy nikomu nesdělujeme>
Address = 172.16.0.x/32
DNS = 8.8.8.8, 1.1.1.1

V sekci [Peer] nastavíme veřejný klíč serveru, povolené IP a adresu WireGuard serveru s portem.

[Peer]
PublicKey = <veřejný klíč serveru>
AllowedIPs = 0.0.0.0/0
Endpoint = <IP adresa serveru>:<port>
//volitelně
PersistentKeepalive = 10

Konfigurace klíčů na mikrotiku a ve Windows

Připojení do VPN

Kliknutím na Aktivovat se připojíte do tunelu.

Připojení do tunelu

Odpojení od VPN

Kliknutím na deaktivovat se odpojíte od tunelu.

odpojení od tunelu

Přehled síťových tříd a neveřejných rozsahů IP adres

Síťové třídy

Třídy IP adres
Třída začátek (bin) 1. bajt standardní maska bitů sítě bitů stanice sítí stanic v každé síti
A 0 0–127 255.0.0.0 8 24 27 = 128 224−2 = 16 777 214
B 10 128–191 255.255.0.0 16 16 214 = 16384 216−2 = 65 534
C 110 192–223 255.255.255.0 24 8 221 = 2 097 152 28−2 = 254
D 1110 224–239 multicast
E 1111 240–255 experimentální
Rozsahy IP adres a masky sítě
Třída 1. bajt minimum maximum maska podsítě
A 0–127 0.0.0.0 127.255.255.255 255.0.0.0
B 128–191 128.0.0.0 191.255.255.255 255.255.0.0
C 192–223 192.0.0.0 223.255.255.255 255.255.255.0
D 224–239 224.0.0.0 239.255.255.255 255.255.255.255
E 240–255 240.0.0.0 255.255.255.255

Neveřejné rozsahy

  SÍŤ ADRESA SÍTĚ BROADCAST ADRESA
A 10.0.0.0/8 10.0.0.0 10.255.255.255
B 172.16.0.0/12 172.16.0.0 172.31.255.255
C 192.168.0.0/16 192.168.0.0 192.168.255.255
speciální localhost 127.0.0.0/8 127.0.0.0 127.255.255.255
speciální zeroconf 169.254.0.0/16 169.254.0.0 169.254.255.255
speciální localhost IPv6 ::1    

Zdroj: wikipedia.org

Nejde se připojit do VPN L2tp IPsec po aktualizaci KB5009543 a KB5009566

Po aktualizaci Windows nejde se připojit do VPN. Řešením je odinstalovat aktualizace ve Win10  KB5009543 a ve Win11 KB5009566.

Při pokusu o připojení se zobrazí chyba:
The L2TP connection attempt failed because the security layer encountered a processing error during initial negotiations with the remote computer.

Odinstalaci aktualizací provedete v Start>Nastavení>Aktualizace a  zabezpečení>Windows update>Zobrazit historii aktualizací>Odinstalovat aktualizace. Nebo přes CMD s oprávněním správce:
Win10:
wusa /uninstall /kb:5009543
Win11:
wusa /uninstall /kb:5009566

MS vydal opravu řešící problémy spřipojením do VPN 20.1.2022

Tyto aktualizace se automaticky nenainstalují přes Windows update, protože jsou ve volitelných aktualizacích. Takže jejich instalaci je nutné ručně potvrdit. To provedete: Start>Nastavení>Aktualizace a zabezpečení>Windows update>vyhledat aktualizace V sekci volitelné aktualizace vybrat Kumulativní aktualizaci a potvrdit instalaci.

Aktualizace které jsou dostupné přes Windows update jako volitelné aktualizace:

  • Windows 11, version 21H1 (original release): KB5010795
  • Windows Server 2022: KB5010796
  • Windows 10, version 21H2: KB5010793
  • Windows 10, version 21H1: KB5010793
  • Windows 10, version 20H2, Windows Server, version 20H2: KB5010793
  • Windows 10, version 20H1, Windows Server, version 20H1: KB5010793
  • Windows 10, version 1909, Windows Server, version 1909: KB5010792
  • Windows Server 2019: KB5010791 (Released on 1/18/22)
  • Windows 10, version 1607, Windows Server 2016: KB5010790
  • Windows 10, version 1507: KB5010789
  • Windows 7 SP1: KB5010798
  • Windows Server 2008 SP2: KB5010799

Aktualizace které je nutné stáhnout ručně Microsoft Update Catalog, případně pokud se Vám aktualizace nezobrazí ve volitelných aktualizacích:

Více informací na:
https://support.microsoft.com/cs-cz/topic/11-ledna-2022-kb5009543-buildy-opera%C4%8Dn%C3%ADho-syst%C3%A9mu-19042-1466-19043-1466-a-19044-1466-b763552f-73bd-435a-b220-fc3e0bc9765b

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-fixes-for-windows-server-vpn-bugs/

https://www.bleepingcomputer.com/news/microsoft/new-windows-kb5009543-kb5009566-updates-break-l2tp-vpn-connections/

https://borncity.com/win/2022/01/12/windows-vpn-verbindungen-l2tp-over-ipsec-nach-januar-2022-update-kaputt/

Priorita síťové karty aneb nastavení metriky

V případě, že potřebujeme upřednostnit provoz na síťové kartě před ostatními lze k tomu využít parametr metrika síťové karty. Čím nižší hodnota metriky je, tím má vyšší prioritu.

Pomocí powershell

Spustíme powershel (powershell.exe) s oprávněním správce a do příkazového řádku zadáme:

//vypíšeme seznam síťových karet
Get-NetIPInterface

//na rozhraní s interfaceindex 21 nastavíme metriku 10
Set-NetIPInterface -InterfaceIndex 21 -InterfaceMetric 10

//výchozí nastavení
Set-NetIPInterface -InterfaceIndex 21 -AutomaticMetric enabled

V příkazu Set-NetIPInterface se ujistěte, že jste změnili hodnotu -InterfaceIndex tak, aby byl vybraný správný síťový adaptér, kterému chcete určit prioritu. Hodnotu -InterfaceMetric změňte tak, aby byla adaptéru přiřazena požadovaná priorita. Nezapomeňte, že nižší číslo metriky znamená vyšší prioritu a vyšší číslo metriky značí nižší prioritu.

Pomocí nastavení síťového adaptéru

Změnu můžeme udělat i v nastavení síťového adaptéru ve windows. Klikneme na:
Start>Nastavení (ozubené kolečko)>síť a internet>Změnit možnosti adaptérů>klikneme pravým tlačítkem na myši na požadovaný adaptér>vlastnosti>Protokol IP verze 4 nebo 6>Upřesnit>a dole nastavíme metriku.

změna metriky síťového adaptéru ve windows

změna metriky síťového adaptéru ve windows

Povolení starší verze sdílení SMB v1 SMB v2

Z důvodu bezpečnosti byla vypnuta podpora SMB1. Pokud jste si vědomi rizika a přesto potřebujete povolit SMB1 tak to provedeme pomocí aplikace powershell spuštěné s oprávněním správce.

Povolení a zakázání ve SMB Windows 10 a Windows 8.1

SMB v1 ve

//stav služby smb1
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
//povolení služby smb1
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
//zakázání služby smb1
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

SMB v2/v3

//stav služby smb2
Get-SmbServerConfiguration | Select EnableSMB2Protocol
//povolení služby smb2
Set-SmbServerConfiguration -EnableSMB2Protocol $true
//zakázání služby smb2
Set-SmbServerConfiguration -EnableSMB2Protocol $false

Povolení a zakázání SMB ve Windows 8 a server 2012

SMB v1

//stav
Get-SmbServerConfiguration | Select EnableSMB1Protocol
//povolení
Set-SmbServerConfiguration -EnableSMB1Protocol $false
/zakázání
Set-SmbServerConfiguration -EnableSMB1Protocol $false

SMB v2/v3

//stav
Get-SmbServerConfiguration | Select EnableSMB2Protocol
//povolení
Set-SmbServerConfiguration -EnableSMB2Protocol $true
//zakázání
Set-SmbServerConfiguration -EnableSMB2Protocol $false

Povolení a zakázání SMB ve Windows 7 a server 2008

SMB v1

//stav
Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
//povolení
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 1 -Force
//zakázání
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

SMB v2/v3

//stav
Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}
//povolení
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 1 -Force
//zakázání
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB2 -Type DWORD -Value 0 -Force

Odkazy:

https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3
https://support.microsoft.com/cs-cz/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server

Nejde se připojit k VPN serveru za NAT

Pokud provozujete VPN server, který je umístění až za NATem, tak se můžete mít problémy s připojením k síti. Při pokusu k připojení se zobrazí chyba: „The network connection between your computer and the VPN server could not be established because the remote server is not responding…“. Je to upůsobeno tím, že ve výchozím nastavení neumožňují přidružení zabezpečených síťových adres k serverům umístěným za NAT.

Chyba při připojení VPN serveru za NAT

Chyba připojení k VPN server

Pokud musí být server VPN za zařízení NAT a používáte protokoly IPsec NAT-T, tak můžete povolit komunikaci změnou hodnot v registrech. Řešením je přidání proměnné AssumeUDPEncapsulationContextOnSendRule do registru. To provedeme následovně:

//spustíme s oprávněním správce
regedit.exe
//přejdeme do klíče
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
//zde vytvoříme proměnnou DWORD (32 bit) s názvem
AssumeUDPEncapsulationContextOnSendRule
//hodnotu nastavíme hexidecimálně na
2
//restartujeme PC

 

Mikrotik: změna WAN z DHCP na statickou IP adresu

Zakážeme DHCP klienta v IP>DHCP client>ether1-gateway. Pokud by jsme to neudělali a v síti by běžel DHCP server, tak se bude mikrotik snažit načíst adresu z DHCP serveru.

Pro rozhraní ether1-gateway přidáme pevnou IP adresu v IP>Addresses>+

Hodnoty vyplníme dle údajů od poskytovatele připojení.

Dále nastavíme výchozí bránu IP>Routes>+

Dst. Address 0.0.0.0/0
Gateway 188.246.98.97

Dále nastavíme DNS v IP>DNS a zde nastavíme hodnoty dle poskytovatele. Případně můžeme přidat free DNS servery od společnosti Google 8.8.8.8 a 8.8.4.4.

Statické nastavení DNS IP>DNS>Static>Settings pro přidání svých zařízení pro překlad adres.

Mikrotik: LAN jako DHCP server

V našem příkladu budeme chtít, aby nám DHCP server běžel na adrese 192.168.2.1. To provedeme následovně.

  1. změníme rozsah přiřazovaných adres DHCP serverem v IP>POOL>POOLS
    proměnou default-dhcp nastavíme na 192.168.2.200-192.168.2.229

  2. změníme adresu DHCP serveru IP>DHCP server>Networks
    proměnou Adress na 192.168.2.0/24
    Gateway 192.168.2.1
    DNS server 192.168.2.1

  3. teď můžeme změnit adresu rozhraní ether2-master-local na 192.168.2.1
    to provedeme v IP>Addresses
    Address 192.168.2.1/24
    Network 192.168.2.0

Pokud máme vytvořený bridge (např. LAN+WiFi) a chceme na všech rozhraních použít stejný DHCP server, tak musíme nastavit proměnnou interface v IP>DHCP server>DHCP><název DHCP serveru> na bridge.

Nastavení DHCP serveru na bridge

Nastavení DHCP serveru na rozhraní bridge

Privátní rozsahy IP adres

Prefix

První adresa

Poslední adresa

Počet adres

10.0.0.0/8

10.0.0.0

10.255.255.255

16,777,216

172.16.0.0/12

172.16.0.0

172.31.255.255

1,048,576

192.168.0.0/16

192.168.0.0

192.168.255.255

65,536