ВПН сървър

[bezimenen]

Здравейте,

Мъча се да подкарам един ВПН сървър под микротик (PPTP). Само един лаптоп с windows 10 64 bit се канеква от вън и от вътре. Всичко останало не ще.

Някакви идей? Някакъв лог да дам?

 

Мерси:)

[111111]

Като за начало ползвай SSTP или L2TP 
за останалото виж лога 

[bezimenen]

Същата работа. user usera authentication failed. Най-станното е как успешния лаптоп се канеква без pre shared key. Другите лаптопи по същата процедура и не щат. И рестарти и какво ли не. 

Редактирано 15 Март, 2017 от bezimenen

[Null]

Даваш Properties на иконата на VPN канекцията ти от там на Security и на Data encryption даваш No Encryption allowed... и си готов

Редактирано 16 Март, 2017 от Null

[bezimenen]

Проблема се реши след като наново пренаписах правилата. Сега обаче нямам пинг между впн адресите както и между локалните адреси. Има само пинг към впн адреса на сървъра. В момента в файеуола има само едно правило и то е за нат Action masquerade, Out interface ether1 (wan porta), Chain srcnat, Src Address 192.168.88.1 (лан интерфейса).

В момента е PPTP сървър.

Редактирано 16 Март, 2017 от bezimenen

[Mitko]

На интерфейса който ти е локалната мрежа укажи да е proxy-arp, или ако локалния интерфейс е в бридж - на бридж порта задай proxy-arp и ще отимаш пинг навътре в мрежата.

[bezimenen]

Преди 1 час, Mitko написа:

На интерфейса който ти е локалната мрежа укажи да е proxy-arp, или ако локалния интерфейс е в бридж - на бридж порта задай proxy-arp и ще отимаш пинг навътре в мрежата.

Сложено е прокси-арп и нема:) Какво ли правих във файеруола и нема, Все си мисля, че ми липсва някое и друго правило в файеруола.

Те и хостове (външни за локалната мрежа) не могат да се пингват в ВПН мрежата. Пингва се само адреса на впн-сървъра. 

[Mitko]

преди 1 минута, bezimenen написа:

Сложено е прокси-арп и нема:) Какво ли правих във файеруола и нема, Все си мисля, че ми липсва някое и друго правило в файеруола.

Те и хостове (външни за локалната мрежа) не могат да се пингват в ВПН мрежата. Пингва се само адреса на впн-сървъра. 

Вдигането на PPTP сървър под МТ е елементарно. Нещо имаш сбъркано в цялата конфигурация.

Послушай колегата 111111 и си пусни SSTP сървър, не изисква GRE работи по-добре зад NAT и firewall.

Редактирано 16 Март, 2017 от Mitko

[bezimenen]

Може и така да направя. Като за начало ще експериментирам с PPTP, L2TP и SSTP и после ще реша кое най ми допада. И без това отзивите за PPTP не са добри.

Просто исках да започна с най-лесното.

Мерси на отзовалите се за насоките:)

 

[111111]

Дай един експорт на настройките и профилите и интерфейсите.

Все имам едно на акъл че си изкарал всички зад локалното ип-то на рутера.

А proxy-arp  не се ползва защото трябва да описват доста неща преди да се активира.

[bezimenen]

Не се бях сетил да спра файеруолите на хостовете преди теста и пинг дойде. Мисля, че PPTP го оправих. Сега ръчкам SSTP. За сега има проблем със съртификата ама още не са минали няколко дни от ръчкането:) Ето все пак искания конфиг. Да има четиво и за други със затруднения.

[admin@MikroTik] > ip pool print
 # NAME                                        RANGES                         
 0 dhcp_pool1                                  192.168.88.2-192.168.88.100    
 1 dhcp_pool2                                  172.16.0.2-172.16.7.254        
 2 VpnPool                                     10.10.0.2-10.10.0.50 

[admin@MikroTik] > /ppp profile print detail 
Flags: * - default 
 0 * name="default" use-mpls=default use-compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list="" dns-server=8.8.8.8 

 1   name="pptpprofile" local-address=10.0.0.1 remote-address=VpnPool use-mpls=default use-compression=default use-vj-compression=default use-encryption=yes only-one=default change-tcp-mss=default 
     address-list="" dns-server=8.8.8.8 

 2 * name="default-encryption" local-address=10.0.0.1 remote-address=VpnPool use-mpls=default use-compression=default use-vj-compression=default use-encryption=yes only-one=default 
     change-tcp-mss=yes address-list="" dns-server=8.8.8.8 

[admin@MikroTik] > /ppp secret print detail 
Flags: X - disabled 
 0 X name="proba" service=pptp caller-id="" password="123456" profile=pptpprofile routes="" limit-bytes-in=0 limit-bytes-out=0 last-logged-out=mar/17/2017 11:50:47 

 1   name="user1" service=pptp caller-id="" password="123456" profile=pptpprofile routes="" limit-bytes-in=0 limit-bytes-out=0 last-logged-out=jan/01/1970 00:00:00 

[admin@MikroTik] > /interface pptp-server print 
Flags: X - disabled, D - dynamic, R - running 
 #     NAME                                             USER                MTU CLIENT-ADDRESS                                           UPTIME   ENCODING                                          
 0  DR <pptp-user1-1>                                   user1              1400 192.168.8.102                                            7m33s    MPPE128 stateless                                 
 1  DR <pptp-user1>                                     user1              1400 192.168.88.100                                           8m22s    MPPE128 stateless                                 
 2     pptp-in1 

[admin@MikroTik] > /ip firewall filter print detail 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix="" 

 1    chain=input action=accept protocol=gre log=no log-prefix="" 

[admin@MikroTik] > /ip firewall nat print detail    
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix="" 

[admin@MikroTik] > /interface ethernet print 
Flags: X - disabled, R - running, S - slave 
 #    NAME                                               MTU MAC-ADDRESS       ARP        MASTER-PORT                                             SWITCH                                            
 0    Port 5 Trunk                                      1500 4C:5E:0C:AB:79:B5 enabled    none                                                    switch1                                           
 1 R  ether1                                            1500 00:0C:29:D4:D4:14 enabled    none                                                    switch1                                           
 2 R  ether2                                            1500 4C:5E:0C:AB:79:B2 proxy-arp  none                                                    switch1                                           
 3    ether3                                            1500 4C:5E:0C:AB:79:B3 enabled    none                                                    switch1                                           
 4    ether4                                            1500 4C:5E:0C:AB:79:B4 enabled    none                                                    switch1 

ether1 (isp) 192.168.8.100
ether2 (lan) 192.168.88.1

[111111]

не ти трябва сертификат и без него си работи принципа е 1:1 с PPTP 

ползвай командата EXPORT не PRINT за в бъдеще и добавяй таг CODE <> от менюто

[1v0]

Здравейте, да не отварям нова тема и да се повтарям с всички останали, да ме прощава колегата по-горе, ще ползвам неговата.

Въпроса ми се изключително "обикновен", и се надявам за насоки. Вдигнал съм OpenVPN server, настроен, клиента е свързан и всичко е точно. В локалната мрежа (192.168.1.1/24) съм задал DHCP pool за локалните клиенти и pool за VPN клиентите  192.168.1.50-192.168.1.100.... След свързване на VPN клиента си получава IP адрес от pool-а, той има ping и може да достъпи само рутера. Искам да достъпя всички устройства в локалната мрежа. Ако има нужда от export настройки, ще направя.

Редактирано 31 Март, 2017 от 1v0

[111111]

Така реализирано е на 80% правилно 

1. Прави се бридж интерфейс в който се добавя лан мрежата
2. В профила на клиентите се задава този бридж

Това се прави само на рутера крайния клиент си има всичко наготово.

 

[1v0]

Точно това прочетох, благодаря, ще се опитам да го реализирам и ще споделя.

 

Sent from my LG-H850 using Tapatalk

 

 

 

 

[sirmilanov]

На 3/31/2017 at 20:25, 1v0 написа:

Точно това прочетох, благодаря, ще се опитам да го реализирам и ще споделя.

 

 

 

 

Нищо не си споделил. Аз имам решение на твоя проблем, но за съжаление нямам обяснение. Създаваш нов pool от друга мрежа, задаваш този pool на ВПН клиентите и имаш достъп до вътрешната мрежа, а защо е така не знам. Нека някой обясни, ще е полезно.