Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: Reg 22. 05. 2018, 13:12:22
-
Zdravím,
potřeboval bych trochu poradit
mám mikrotik RB951 na něm nastavuji PPTP server samozřejmě veřejnou IP, nastavený VPN profil a firewall. Mám ale někde chybu při připojení PC k pptp serveru dostanu sice IP adresu ale nemám přístup k vnitřní síti (nepingnu stroj za mikrotikem ani mikrotik samotný). Na bridge kde mám vnitřní síť mám nastavený arp na proxy-arp ... kde můžu dělat chybu ?
-
kde můžu dělat chybu ?
V používání "VPN", která kvůli dírám zvíci manuta žádnou VPN již léta není, ale zato jinak nabízí samé nevýhody.
-
Dobře vím že jsem nezvolil zrovna nejlepší protokol možná ten nejhorší možný z nabízených, ale pptp mi přišlo nejednoduší na nastavení a mac i windows si s protokolem dobře rozumí....
-
Dobře vím že jsem nezvolil zrovna nejlepší protokol možná ten nejhorší možný z nabízených, ale pptp mi přišlo nejednoduší na nastavení a mac i windows si s protokolem dobře rozumí....
To je bohužel pravda. Pro Windows lze dobře a jednoduše nastavit SSTP, ale L2TP potřebuje úpravu registru kvůli NAT-T.
Mac zase nemá podporu SSTP, ale zvládne rovnou L2TP, aniž by řešil takové bezpečnostní detaily, jako je NAT-T.
Osobně se kloním ke kombinaci SSTP a L2TP.
PPtP je opravdu krok hodně zpět.
BTW Mikrotiky bídně stíhají šifrovat VPN, takže pokud potřebujete víc než pár nízkých megabitů, skončíte u "šifrování" null/null.
-
Zdravím,
potřeboval bych trochu poradit
mám mikrotik RB951 na něm nastavuji PPTP server samozřejmě veřejnou IP, nastavený VPN profil a firewall. Mám ale někde chybu při připojení PC k pptp serveru dostanu sice IP adresu ale nemám přístup k vnitřní síti (nepingnu stroj za mikrotikem ani mikrotik samotný). Na bridge kde mám vnitřní síť mám nastavený arp na proxy-arp ... kde můžu dělat chybu ?
Za litr to nastavím.
-
opravuji předchozí komentář s pptp si mac od nové verze již nepovídá (protokol v iOS) úplně zavrhnul ale jde mi především o windows stanice ...
-
Ne/bezpečnost protokolů PPTP a L2TP je naprosto identická a mizerná. Proto se používá L2TP/IPsec a na nastavení NAT-T v registrech se snad od dob WinXP SP2 sahat nemusí (vyjma případu oboustranného NAT-T). :-)
Mikrotik nemá problémy ušifrovat stovky Mbps na VPN provozu nebo třeba 326 SSTP VPN tunelů naráz. Ale RB951 mezi ně nepatří, v závislosti na nastavení pár desítek Mbps dokáže dát.
Z pohledu problému tazatele je asi úplně jedno, zda to má jako PPTP, SSTP, L2TP, L2TP/IPsec.
a) hledal bych ve firewallu Mikrotiku, zda konfigurace počítá s existencí VPN připojení a má věci přicházející patřičným dynamickým interfejsem pouštět dovnitř. Pokud pustím na PC po vytočneí VPN ping -t IPuvnitřsítě a uvidím na statistice interfejsu, že tunelem něco přichází, je to signál pro chybu firewallu nebo blbě přidělené IP klientu. Pokud tulneem nepřichází nic, tak
b) podívat se do nastavení VPN klient, jak je nastavneo směrování do tunelu mezi volbami: jen IP serveru/na základě třídy adres/vše do tunelu.
c) Windows občas špatně nese, pokud IP adresa VPN serveru je zároveň i IP adresa konce uvnitř VPN tunelu (vyjma IPsec IKEv2 tunelu), pokud mám takovou konfiguraci, tak je vhodné v profilu VPN serveru nastavit, ať server používá jako vnitřní IP adresu tunelu třeba interní IP adresu z toho bridge.
-
Neexistuje nějaký "fígl", který by Windows donutil u L2TP používat náhodný source port?
-
Mám ale někde chybu při připojení PC k pptp serveru dostanu sice IP adresu ale nemám přístup k vnitřní síti (nepingnu stroj za mikrotikem ani mikrotik samotný).
pravděpodobně je to v jiném subnetu, takže bych začal přidáním rout na klientovi
-
BTW Mikrotiky bídně stíhají šifrovat VPN, takže pokud potřebujete víc než pár nízkých megabitů, skončíte u "šifrování" null/null.
Léta používám IPsec tunely na Mikrotiku a žádného bídně pomalého šifrování jsem si tedy nevšiml.
-
Ahoj, pravděpodobně nemáš nastavenou proxy ARP na LAN interfacu - bridge, master port - podle toho, co na LAN používáš. Takže nějak takhle: set [ find default-name=ether2 ] arp=proxy-arp name=ether2-local-master. Jinak pryč od PPTP, jak už tu psali kolegové výše, protože je to díra jak když zívne hroch :-)