Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: ondrej 16. 11. 2018, 18:36:27

Název: Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: ondrej 16. 11. 2018, 18:36:27
Ahoj,

ve firmě mám Mikrotik jako router a z domu a přes Vodafone se k němu přes PPTP bez problému připojím. Ale když se připojuje kolega přes T-Mobile tak cca minutu se to pokouší spojit a po minutě to oznámí že se nelze přihlásit ať se obrátíme na správce sítě.

PPTP je nastaveno dle oficiální Wiki Mikrotku (https://wiki.mikrotik.com/wiki/Manual:Interface/PPTP)

Napadá někoho kde by mohl být zakopaný pes? Přitom ping na Mikrotik proběhne úspěšně ze všech sítí.

Ondrej
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: Lo 16. 11. 2018, 18:49:07
Zakopaný pes je v tom, že používáš PPTP. ::)
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: ondrej 16. 11. 2018, 18:51:16
PPTP má nejlepší kompatibilitu mezi klientskými zazářeními.

A proč myslíš že PPTP je problém? A nebo jenom trolíš?
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: Lo 16. 11. 2018, 19:09:20
PPTP je z hlediska zabezpečení naprosto nefunkční již roky (ten router můžeš rovnou vystavit do Internetu, vyjde to naprosto nastejno). Celou dobu bylo neuvěřitelně problematické s jakýmkoliv NATem/firewallem a nasazovat to může dnes skutečně akorát úplný zoufalec a ignorant.
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: Stop lopatám 16. 11. 2018, 19:21:33
A kdybys ses ještě furt divil, že to nefunguje u mobilních operátorů, tak např. z Cisco dokumentace: "The PPTP ALG will not work in Carrier Grade Network Address Translation (NAT) mode, when the NAT client and server use the same call ID."

P.S. Ta wiki Mikrotiku to je taky dílo, teda... secure tunnel. Boha mojho... (https://isc.sans.edu/diary/End+of+Days+for+MS-CHAPv2/13807)  ::) ::) ::)
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: ZAJDAN 16. 11. 2018, 19:24:09
A kdybys ses ještě furt divil, že to nefunguje u mobilních operátorů, tak např. z Cisco dokumentace: "The PPTP ALG will not work in Carrier Grade Network Address Translation (NAT) mode, when the NAT client and server use the same call ID."

P.S. Ta wiki Mikrotiku to je taky dílo, teda... secure tunnel. Boha mojho... (https://isc.sans.edu/diary/End+of+Days+for+MS-CHAPv2/13807)  ::) ::) ::)
jsem ochotnej připravit na nějaké veřejné IP Mikrotika s PPTP a vyzkoušeli by jsme, zda se ti podaří ten protokol prolomit
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: Lol Phirae 16. 11. 2018, 19:32:10
jsem ochotnej připravit na nějaké veřejné IP Mikrotika s PPTP a vyzkoušeli by jsme, zda se ti podaří ten protokol prolomit

Uaaaaaaa, další. Kdyby sis přečetl ten odkaz, tak prolomeno to je od roku 2012. Po odchycení paketů to rozlousknout trvá asi sekundu a úspěšnost je 100%.
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: ZAJDAN 16. 11. 2018, 19:50:59
Uaaaaaaa, další. Kdyby sis přečetl ten odkaz, tak prolomeno to je od roku 2012. Po odchycení paketů to rozlousknout trvá asi sekundu a úspěšnost je 100%.
jenže Ti co to dokážou, těch je málo a ty mezi ně nepatříš
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: Lol Phirae 16. 11. 2018, 20:10:57
Ano, pustit wireshark je obrovský problém, to chce opravdu přinejmenším PhD.
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: ZAJDAN 16. 11. 2018, 20:44:53
Jo, ale to by jsi ten wireshark musel pustit na nějakém nodu v pozici ISP a ne jako nejakej louda co sedí doma.
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: potulny zveroklestic 16. 11. 2018, 21:06:17
Tos mel rict, ze hledas ochranu proti tem, co sedi doma.

Jinak jako ochrana proti tem, co sedi doma staci i IPinIP, presto zatim nikoho nenapadlo zaradit IPinIP mezi VPN. Mas sanci, honem.
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: ondrej 16. 11. 2018, 23:27:41
A kdybys ses ještě furt divil, že to nefunguje u mobilních operátorů, tak např. z Cisco dokumentace: "The PPTP ALG will not work in Carrier Grade Network Address Translation (NAT) mode, when the NAT client and server use the same call ID."

P.S. Ta wiki Mikrotiku to je taky dílo, teda... secure tunnel. Boha mojho... (https://isc.sans.edu/diary/End+of+Days+for+MS-CHAPv2/13807)  ::) ::) ::)

Děkuju
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: ondrej 16. 11. 2018, 23:29:13
PPTP je z hlediska zabezpečení naprosto nefunkční již roky (ten router můžeš rovnou vystavit do Internetu, vyjde to naprosto nastejno). Celou dobu bylo neuvěřitelně problematické s jakýmkoliv NATem/firewallem a nasazovat to může dnes skutečně akorát úplný zoufalec a ignorant.

chci nasadit IPsec ale pokud nefunguje ani PPTP tak nebudu nasazovat nic složitejšího
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: ondrej 16. 11. 2018, 23:38:23
jsem ochotnej připravit na nějaké veřejné IP Mikrotika s PPTP a vyzkoušeli by jsme, zda se ti podaří ten protokol prolomit

Uaaaaaaa, další. Kdyby sis přečetl ten odkaz, tak prolomeno to je od roku 2012. Po odchycení paketů to rozlousknout trvá asi sekundu a úspěšnost je 100%.

WPA/2 je taky prolomený a taky ho používáš... a to se nebudeme bavit o tom kolik děr má tvůj procesor který zrovna používáš.

Je rozdíl pokud se bavíš o připojení VPN do nějaké kritické infrastruktury a tím kdy se připojuješ do normální kanceláře normálního smrtelníka kdy potřebuješ hlavně aby to fungovalo... a potom tam je další vrstva TLS 1.2 která pokud vím zatím prolomena nabyla pokud je správně nakonfigurována
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: Lol Phirae 16. 11. 2018, 23:59:07
pokud nefunguje ani PPTP

Nic blbějc fungujícího než PPTP není... Člověk by si myslel, že se toho lidi konečně rádi zbavěj, protože to neskutečně omezeně fungovalo z obou stran (prostě to není protokol, který by se snášel s NATem), ale evidentně ne... furt tu příšernou rozbitou zombie bude někdo vykopávat.

Jestli je s normálním IPSec-em takový nepřekonatelný problém, tak si nekupujte Mikrotiky a zprovozněte si OpenVPN na něčem normálním, kde to bude chodit přes UDP.
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: MasoxCZ 17. 11. 2018, 14:05:34
Jo, ale to by jsi ten wireshark musel pustit na nějakém nodu v pozici ISP a ne jako nejakej louda co sedí doma.

Myslíš asi na APčku, poskytujícím veřejnou síť třeba někde v hotelu nebo na nádraží, že?
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: mac0112 18. 11. 2018, 21:58:51
Mohu potvrdit, PPTP přes T-Mobile.cz, funguje na 100%, funguje i L2TP/IPsec.
Přes PPTP máme připojeno přes 20 čidel.
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: 5nik 22. 11. 2018, 17:16:54
Dobrý den,
zkoušel se kolega z domova již někam přes PPTP připojit? Je možné, že mu to blokuje jeho domácí router (vypnutá podpora PPTP ALG / NAT helperu či jak si to výrobce pojmenoval).
Na Mtiku bych zkusil zapnout debug log pro PPTP:
Kód: [Vybrat]
/system logging add topics=pptp,debug,!packet action=memorya mrknout do logu, co to bude psát.

Na Mtiku lze provozovat pro nativní Win klienty SSTP a L2TP, PPTP už není použitelné (např. MacOS a iOS ho již nepodporují), IKEv2 jsem zatím netestoval. Z hlediska bezproblémového fungování bych doporučil SSTP, ale tam je zase náročnější konfigurace (certifikát). Pro firmu s AD či jiným centrálním ověřováním je výhodné integrovat VPN ověřování skrze radius.
Název: Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
Přispěvatel: Lukas87 23. 11. 2018, 00:49:31
Někde po cestě bude blokace TCP 1723 nebo GRE protokolu. V NATu problém nebude. Mám ozkoušený PPTP server na Mikrotiku z různých míst i za několika NATy a nebyl s tím problém. V dřívější době jsem se s "neprůchodností" PPTP setkával u kolegů, kteří hojně cestovali po republice (někteří ISP tento port nebo přímo GRE blokují). Problém s PPTP je MSCHAP-v2, který již není obecně považován za bezpečný. Na Mikrotiku jde udělat SSTP i bez certifikátu, ale Win klientovi se to moc nelíbí (nicméně vygenerování CA není problém a import do důvěryhodných certifikačních autorit ve Win je také bezproblémové). Obecně z vlastní zkušenosti mohu doporučit OpenVPN. Je to multiplatformní z pohledu klienta a certifikát pro CA a pro klienta vč. klíče je možné vygenerovat přímo na Mikrotiku. OpenVPN je sice trochu náročnější na CPU , ale i 600 MHz RouterBoard mi bez problémů ustál šifrování cca 10 najednou připojujících se klientů.