Z některých sítí se nedá připojit přes PPTP k Mikrotiku

MasoxCZ

Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
« Odpověď #15 kdy: 17. 11. 2018, 14:05:34 »
Jo, ale to by jsi ten wireshark musel pustit na nějakém nodu v pozici ISP a ne jako nejakej louda co sedí doma.

Myslíš asi na APčku, poskytujícím veřejnou síť třeba někde v hotelu nebo na nádraží, že?


Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
« Odpověď #16 kdy: 18. 11. 2018, 21:58:51 »
Mohu potvrdit, PPTP přes T-Mobile.cz, funguje na 100%, funguje i L2TP/IPsec.
Přes PPTP máme připojeno přes 20 čidel.

5nik

Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
« Odpověď #17 kdy: 22. 11. 2018, 17:16:54 »
Dobrý den,
zkoušel se kolega z domova již někam přes PPTP připojit? Je možné, že mu to blokuje jeho domácí router (vypnutá podpora PPTP ALG / NAT helperu či jak si to výrobce pojmenoval).
Na Mtiku bych zkusil zapnout debug log pro PPTP:
Kód: [Vybrat]
/system logging add topics=pptp,debug,!packet action=memorya mrknout do logu, co to bude psát.

Na Mtiku lze provozovat pro nativní Win klienty SSTP a L2TP, PPTP už není použitelné (např. MacOS a iOS ho již nepodporují), IKEv2 jsem zatím netestoval. Z hlediska bezproblémového fungování bych doporučil SSTP, ale tam je zase náročnější konfigurace (certifikát). Pro firmu s AD či jiným centrálním ověřováním je výhodné integrovat VPN ověřování skrze radius.

Lukas87

Re:Z některých sítí se nedá připojit přes PPTP k Mikrotiku
« Odpověď #18 kdy: 23. 11. 2018, 00:49:31 »
Někde po cestě bude blokace TCP 1723 nebo GRE protokolu. V NATu problém nebude. Mám ozkoušený PPTP server na Mikrotiku z různých míst i za několika NATy a nebyl s tím problém. V dřívější době jsem se s "neprůchodností" PPTP setkával u kolegů, kteří hojně cestovali po republice (někteří ISP tento port nebo přímo GRE blokují). Problém s PPTP je MSCHAP-v2, který již není obecně považován za bezpečný. Na Mikrotiku jde udělat SSTP i bez certifikátu, ale Win klientovi se to moc nelíbí (nicméně vygenerování CA není problém a import do důvěryhodných certifikačních autorit ve Win je také bezproblémové). Obecně z vlastní zkušenosti mohu doporučit OpenVPN. Je to multiplatformní z pohledu klienta a certifikát pro CA a pro klienta vč. klíče je možné vygenerovat přímo na Mikrotiku. OpenVPN je sice trochu náročnější na CPU , ale i 600 MHz RouterBoard mi bez problémů ustál šifrování cca 10 najednou připojujících se klientů.