Zdravím,
potřebuji si do svého intranetu zprovoznit VPN kvůli diskách na serveru.
Díky jednoduchosti, i když vím, že to není moc bezpečné, jsem zkoušel zprovoznit PPTP tunel. To se mi povedlo, se systémem XP se mi podařilo do tunelu připojit, na MK bych tunel vidět, ale neviděl jsem žádné počítače ani servery v síti. Ping procházel normálně. Napadlo mě hodit tunel do bridge, ale PPTP tunel do bridge nejde. na MK mám samozřejmě NAT. Zkoušel jsem udělat src-nat z IP ven do netu, ani to nepomohlo.
Tak jsem se pokoušel vytvořit podle návodu http://wiki.hkfree.org/Routerboard#PPTP_tunel L2PT IpSec tunel.
KOnfiguroval jsem podle návodu. V návodu se sice uvádí Win7, ale já zkouším na XP. Ale myslím, že na to to vliv nemůže mít. Nastavit jsem si zabezpečení na mschap v2 na počítači, zadal klíč, nastavil uživatele, ale vůbec se mi tunel nevytvoří, zkrátka se nepřipojím na MK. Nevím, jestli jsem správně nastavil povolení portů pro MK, protože při snaze se připojit mi nějaké pakety chodí do "drop". Nastavené porty mám UDP 50, UDP 500, UDP 1701, UDP 4500. Jsou ty porty takto správně? Na počítači jsem si na testování firewall vypnul. O VPN už se snažím nějaký ten rok, ale ne a ne to rozchodit.
Děkuji
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
L2TP a PPTP tunel
-
klobasanet
- Příspěvky: 57
- Registrován: 12 years ago
- Bydliště: Údírna
Myslim, že tohle mi přes pptp taky nejde, nevim proč, ještě jsem to nezkoumal...
nicméně mam dva bordy a mezi nima gre tunel, a pak vidim disky jak chceš ty..
nicméně mam dva bordy a mezi nima gre tunel, a pak vidim disky jak chceš ty..
- Přílohy
-
- gre.png (18.24 KiB) Zobrazeno 2846 x
0 x
Tak už tři hodiny zkouším rozchodit OVPN a ani to nefunguje. Já na to VPNko kašlu. o VPN se snažím už několik let a nikdy mi to nešlo, ať jsem to zkoušel na Debianech, tak ani na MK. Možná dělám něco blbě s certifikátama. Postupoval jsem podle několika návodů a nikdy nic. Má to vůbec cenu? 
Jak to mám chápat? Co tomu může vadit?
Kód: Vybrat vše
02:08:04 ovpn,info TCP connection established from 172.16.1.11
02:08:04 ovpn,info <ovpn-0>: dialing...
02:08:06 ovpn,info <ovpn-0>: terminating... - TLS handshake failed
02:08:06 ovpn,info <ovpn-0>: disconnected
02:08:12 ovpn,info TCP connection established from 172.16.1.11
02:08:12 ovpn,info <ovpn-0>: dialing...
02:08:14 ovpn,info <ovpn-0>: terminating... - peer disconnected
02:08:14 ovpn,info <ovpn-0>: disconnectedJak to mám chápat? Co tomu může vadit?
0 x
Buďto zkus zrušit require-client-certificate a použij pouze jméno a heslo, nebo require-client-certificate použij, ale musíš mít správně certifikáty...
0 x
V případě PPP like tunelů (PPTP, L2TP, SSTP), kdy RBčko je VPN server a klient je přímo Windows, tak nefunguje předávání brodcastů z LAN strany do tunelu. Pokud je ten VPN server přímo linux a je puštěn i démonec bcrealy, tak ten to umí. Zkrátka v ROSu není implementována funkce broadcast relay, takže nefunguje prohlížení okolí. Disky normálně namapovat jdou, jen musím vědět jméno serveru a napsat zkrátka, že chci \\pornoarchiv\reditel.
0 x
To Majklik: prohlížet okolí jsem taky zkoušel, ale samozřejmě jsem zadával i \\server nebo \\server3 a to taky nešlo.
To Telleke: Taky si myslím, že je problém ve špatných certifikátech. Zkusím to bez nich.
Edit: Neví někdo o demo účtu, kde je nastaveno OVPN?
To Telleke: Taky si myslím, že je problém ve špatných certifikátech. Zkusím to bez nich.
Edit: Neví někdo o demo účtu, kde je nastaveno OVPN?
0 x
A máš nakonfigurovaná DNS, wins, lm/hosts? Protože při tomto nefunguje to vyhledávání v okolí, takže jména se hledají jendím z těch tří mechanismů, který musíš mít v provozu.
Připojení na IP adresu místo jména funguje, čili \\192.168.1.66\neco? Pokud ano, tka pak je to o správníém použítí něčeho z toho DNS, wins, lm/hosts.
Připojení na IP adresu místo jména funguje, čili \\192.168.1.66\neco? Pokud ano, tka pak je to o správníém použítí něčeho z toho DNS, wins, lm/hosts.
0 x
Tak pokud zadám IP, tak to funguje a na server se dostanu. Zkoušel jsem tisk i na síťové tiskárně a prošlo to taky. DNS mám nastavené, resp. mám zadanou IP mého mikrotiku, který se stará o DNS.
Ale zeptám se, není lepší nějaký jiný VPN protokol než PPTP? Kvůli bezpečnosti?
Edit: Zkouším nastavit DNS záznam. Jak správně nastavit? Mohu si dát záznam jako je: "server" - "iP server" ?
A ještě jeden dotaz, pokud se připojím na ntb na PPTP, tak mi spadne internet. Jak je to možné?
Ale zeptám se, není lepší nějaký jiný VPN protokol než PPTP? Kvůli bezpečnosti?
Edit: Zkouším nastavit DNS záznam. Jak správně nastavit? Mohu si dát záznam jako je: "server" - "iP server" ?
A ještě jeden dotaz, pokud se připojím na ntb na PPTP, tak mi spadne internet. Jak je to možné?
0 x
Po připojení na server ti inet odpadne proto, že výchozí nastavení klienta ve Windows je, že všechem provoz má směrovat do tunelu. Takže pokud je inet dostupný pak z VPN serveru, tak ti spojení popadají, ale pak jdeš dál ven. Má to bezpečnostní důvody. Jde to vypnout v nastavení klienta, ale pak strana serveru musí být jeden IP segment, klient dostane IP z tohoto segmentu a VPN server použije proxy-arp.
Pokud v PPP pošleš VPN kleintovi, že má používat to RB jako DNS server po připojení na VPN, tak do toho Mkčka můžeš nabouchat server IP staticky a pojede ti jméno. Pozor na jedno, v TCP/IP nastavení toho VPN klienta je v DNS položka lokální DNS přípona tohoto připojení, pokud tam bude mujbordel.cz, tak při pokusu o spojení na \\server\ se bude v DNS hledat server.mujbordel.cz a pak asi i server samostatně. Takže pokud používáš tu položku, mlať to do RBčka v obou formách.
Je ptázka, co je definováno jako dostatečná bezpečnost. Z toho, co umí MK, je na tom dobře SSTP, případně nějaké forma L2TP/IPsec. I PPTP a L2TP je v pořádku, pokud ověření klieta nedělá mikrotik sám, ale ověření předá na radius server, který použije EAP-TTLS nebo PEAPv0 s vynuceným načtením certifikátu klienta, pak jsou i tyto tunely OK.
Pokud v PPP pošleš VPN kleintovi, že má používat to RB jako DNS server po připojení na VPN, tak do toho Mkčka můžeš nabouchat server IP staticky a pojede ti jméno. Pozor na jedno, v TCP/IP nastavení toho VPN klienta je v DNS položka lokální DNS přípona tohoto připojení, pokud tam bude mujbordel.cz, tak při pokusu o spojení na \\server\ se bude v DNS hledat server.mujbordel.cz a pak asi i server samostatně. Takže pokud používáš tu položku, mlať to do RBčka v obou formách.
Je ptázka, co je definováno jako dostatečná bezpečnost. Z toho, co umí MK, je na tom dobře SSTP, případně nějaké forma L2TP/IPsec. I PPTP a L2TP je v pořádku, pokud ověření klieta nedělá mikrotik sám, ale ověření předá na radius server, který použije EAP-TTLS nebo PEAPv0 s vynuceným načtením certifikátu klienta, pak jsou i tyto tunely OK.
0 x
Tak funguje snad jak má. Zvolil jsem metodu lmhosts, u toho VPN jsem naimportoval seznam serverů. Teď vše funguje stejně jak na vnitřní síti, tak i z internetu přes VPN a to včetně tiskáren. Díky moc majklik
0 x