VPN na Mikrotik RB951G-2HnD

[czipis]

RB951G-2HnD urcite neni x86 arch, ale mipsbe. stahuj http://download2.mikrotik.com/routeros/6.23/routeros-mipsbe-6.23.npk

[Reklama]

[nofu]

Dík za rychlou reakci, verzí routerOS to neni. Je to mojí hloupostí, stačilo na firewallu povolit port pro PPTP. Co ale nechápu, tak v kanclu jsem žádný povolení nedělal a tam to funguje. To je rozdíl jestli je router připojenej přes UPC (musel jsem otevřít port na routeru) nebo přes PPPoE (tady port otvírat nemusim)? Kdyby někdo věděl, budu rád za osvětu, páč mi to hlava nebere. Firewally na obou routrech jsou v defaultu.

[nofu]

Ještě tady řešim jednu lumpárnu okolo VPN. Když jsem na ni připojen a pustím si ve VMware W7, kde se připojuju na placenou PPTP službu od české firmy VPNhosting, tak sem mi ta VPN sice připojí, ale jakmile si něco řekne o data, tak se ihned odpojí.


Může to mít souvislost s Max MTU a Max MRU (na svém routeru jsem zkoušel 1300 - 1500, chová se to stále stejně)?

Může vůbec funguvat PPTP tunel uvnitř jiného?

Pomohlo by je poprosit, zda by oni zmenšili Max MTU a Max MRU?

Bo uvažuju úplně špatně a problém je jinde?

[M.]

Dík za rychlou reakci, verzí routerOS to neni. Je to mojí hloupostí, stačilo na firewallu povolit port pro PPTP. Co ale nechápu, tak v kanclu jsem žádný povolení nedělal a tam to funguje. To je rozdíl jestli je router připojenej přes UPC (musel jsem otevřít port na routeru) nebo přes PPPoE (tady port otvírat nemusim)? Kdyby někdo věděl, budu rád za osvětu, páč mi to hlava nebere. Firewally na obou routrech jsou v defaultu.

Ano, je v tom zásadní rozdíl. Defaultní firewall blokuje příchozí spojení skrz ether1, který považuje za WAN port. Takže na tom UPC připojení jsou příchozí spojení blokována a musel se povolit port 1723/TCP (PPTP ještě potřebuje protokol GRE, ale pokud je povolen v /ip firewall helpers PPTP helper, tak se povolí ve firewallu automaticky pro každé nové spojení).
Kdežto na tom firemním s ADSL nepříchází data z Internetu na ether1, ale skrz nové pppoe rozhranní a firewall si jich vůbec nevšímá a router je zcela volně otevřen pro příchozí spojení. Takže je jen otázka času, než ho někdo zapojí do sítě DDoS útoků přes DNS (pokud je povoleno odpovídání na vzdálené DNS dotazy a ADSL je od někoho jiného, než O2, který to blokuje u sebe) nebo NTP (pokud je funkce NTP serveru povolena).

Ještě tady řešim jednu lumpárnu okolo VPN. Když jsem na ni připojen a pustím si ve VMware W7, kde se připojuju na placenou PPTP službu od české firmy VPNhosting, tak sem mi ta VPN sice připojí, ale jakmile si něco řekne o data, tak se ihned odpojí.


Může to mít souvislost s Max MTU a Max MRU (na svém routeru jsem zkoušel 1300 - 1500, chová se to stále stejně)?

Může vůbec funguvat PPTP tunel uvnitř jiného?

Pomohlo by je poprosit, zda by oni zmenšili Max MTU a Max MRU?

Bo uvažuju úplně špatně a problém je jinde?

Mikoritk nemá problém s provozováním PPTP uvnitř jiného PPTP. Na tom vnitřním je třeba mít patřične zkrácené MRU/MTU, aby to fungovalo. Hodnota 1300 je víc než dostatečná. Protokol se přizpůsobí té menší hodnotě z předložených si vzájemně mezi serverem/klientem. Je otázka, jak máš nastaven routing, zda se ti to nezacyklí (nově otevřené vnitřní PPTP nerozbije routing toho vnějšího). Jiný důvod může být, že ten hosting nedovoluje vnitřní další tunelování a shodí ti to (a nebo, pokud na tom spojení dělají NAT, tak nemají korektní podporu pro PPTP v tom svém NATu).

[nofu]

Ono je to obráceně, primárně jsem na VPN Mikrotiku, vnitřním je tedy ta placená služba. Zkusim jim cinknout, jestli by nezmenšili MTU/MRU.

[Reklama]

[M.]

Ono je to obráceně, primárně jsem na VPN Mikrotiku, vnitřním je tedy ta placená služba. Zkusim jim cinknout, jestli by nezmenšili MTU/MRU.

A čím vytáčíš to vnitřní VPN? Pokud Mikrotikem, tak si  v definici VPN klienta na ten "VPNhosting" patřičně sniž MTU/MRU na 1300, vypni volbu MRRU a server by se měl přizpůsobit tvému návrhu (pokud předložíš kratší hodnoty než server). Pokud ho vytáčíš pomocí Windows, tak tam je nutno udělat zásah do registrů.
Dále je vhodné mít zapnutou v Mikrotiku volbu "/ip firewall service-port enable pptp".

[nofu]

Díky za odpověď a zároveň sorry, sem to blbě popsal, je to takhle: jsem v itálii a potřebuju mít na svém compu českou IP adresu, takže jsem stále připojen přes PPTP tunel na Mikrotik, co mám doma v čechách. V tom samém compu mam ve VMware virtuální systém, u toho potřebuju jinou českou IP, takže mám zakoupenou PPTP VPNku od VPNhosting.cz. VPNhosting provozuju vlastně uvnitř tunelu, kterým jsem připojen na Mikrotik. Dnes jsem telefonoval VPNhostingem, podle toho co jsem pochopil, tak maji defaultně nastaveno max MTU/MRU na 1500. Z toho co jsi zde psal, jsem pochopil, snad správně, že to za této konstelace nemůže fungovat, že MTU/MRU na VPN hostingu musí být minimálně o 20 menší než na mém Mikrotiku. Uvažuju správně?

Ještě mi napadla jedna věc, oni umožňují připojení i přes OpenVPN, mohlo by takhle fungovat? Obešel by se tím problém s max MTU/MRU?

[M.]

Takže potřetí, u PPTP se použije MTU té strany, která ho nabídne menší. Takže tne hosting klidně může mít MTU 1500 (s tím to skoro nikomu fungovat nebude, pokud nemá jumbo frames z domu až k hostingu), takže když klient nabídne menší hodnotu, tak se použije tato. Takže musíš sáhnout na hodnotu v tom virtuálu v e VMware, pokud je tam Windows, z kterého to vytáčíš, tak musíš udělat změnu v registrech. Např viz:
https://social.technet.microsoft.com/Forums/windows/en-US/9ebbccac-2ee2-48d5-a6ce-20382104788b/how-do-i-change-the-pptp-mtu-size

Jiný problém je NAT v cestě, PPTP nefunguje úplně OK přes NAT, takže je možné, že to kolabuje na tom, že pokud máš ten VMware virtuál připojen přes NAT, tak to blbne. V Mikrotiku je na to ta zmíněná volba "/ip firewall service-port enable pptp", která aktivuje modul upravující PPTP skrz NAT, aby to šlo.

Takže ano, pokud zkusíš použít OpenVPN místo PPTP proiti tomu hostingu, tak ti to třeba pojede.

[Lol Phirae]

placenou PPTP službu od české firmy VPNhosting

To je nějaký nepovedený vtip? Za tohle si někdo nechá platit? 

[nofu]

M.: Díky, popral sem se s tím, uspěl jsem ale až s OpenVPN, tož alespoň něco. Jen mám trochu strach, aby když padne OVPN, tak aby se neprovařila moje pravá IP, nejni na to nějakej fígl, jak tomu u windows zabránit? S klasickou VPN stačilo nastavit ve vlastnostech internetu proxy na localhost.

Lol Phirae: pokud znáš nějaké stabilní a rychlé řešení zadarmo, sem s ním pls. Určitě bych ho využil.