classic.ISPforum.cz

Zdravím,

Vytvořil jsem si VPN na Mikrotik routerboardu 951G pomocí PPTP a i když se připojím síť jede. Tak se nemůžu dostat na další zařízení které mám připojené na lokální síti za mikrotikem jako vzdálená plocha na PC a nebo další router. VPN je vyvrořeno na mikrotik se dostanu. Vnější síť mám připojenou na portu 1 a ostatní na ostatních portech a volbu v interfaces a na daném portu kde je zařízení zapojené tak volbu ARP mám nastavenou na proxy-arp dle návodu co jsem našel na internetu. Můžete mi prosím poradit. V příloze náhled nastavení portu.

Díky

To proxy-arp by mělo být zapnuté na bridge-local a ne na tom ethernet2.
Jinak PPTP je už mezi VPN technologie moc řadit nedá (sám Mikrosoft, autor protokolu, to tak říká už od roku 2000).

Super děkuji za pomoc už mi to šlape tak jak potřebuji

A co pouzivate namiesto pptp?

Pokud mám MKčko jako VPN koncentrátor pro mobilní klienty, tak používáme L2TP/IPsec s tím, že IPsec vrstva jede přes certifikáty a PPP obvkyle klasika jméno/heslo/členství v doméně. Pokud není požadavek na dvoukolové ověřování ověřování, tak je puštěn paralelně i SSTP jako záloha, když náhodou IPsec neproleze.
Kde je to bráno vážněji, tak je použit IPSec IKEv2 a VPN server dělá něco jiného (to snad bude umět ROS7).

Na tunely co pouzivate?

Jako tunely skrz internet mezi Mikrotiky? Tam záleží na účelu. Pokud tím teče víc dat mezi pevnými body, tak GRE obalený IPsec transportem (AES256/SHA256, ověřování pomocí RSA signatur). Na koncentrátorech mám obvykle RB1100AHx2 kde končí i několik takových 100 Mbps tunelů. A k tomu obvykle záložní tunel jinou trasou, tam si dávám SSTP s Mikrotik vychytávkou ohledně certifikátů na obou stranách.
Ale mám i nasazeno, že mám aplikaci, kde na koncové zařízení nasazeno L2TP/IPsec jako primární a SSTP záložní tunel na druhou linku, pokud koncové místa jsou za NATy. Koncentruji opět do RB1100AHx2 krabic, obvykle kolem 200 tunelů do jedné, na koncích jsou nějaké malé RB7xx/9xx.Ale tam je celkem malý provoz telemetrie.

tunel v ramci lokalnej siete medzi dvoma bodmi s dorazom na priepustnost a latenciu...zatial mi najlepsie vychadza nezabezpeceny gre, avsak ma vyssiu latenciu....

Nu, ještě můžeš zkusit IPIP tunel, ten by mohl být o fous rychlejší, má jendodušší hlavičku a kratší ( o 4 bajty ). Ale bude to asi stejné. Nicméně GRE má plus, že přes jeden tunel můžeš poslat IPv4, IPv6 i MPLS naráz. Přes IPIP jde jen IPv4.
Pokud ti stačí tunelovat jn IP vrstvu a ne přímo L2, tak nic jendoduššího, jak GRE/IPIP, v MKčku nenajdeš. A pokud potřebuješ těch tunelů pár, tak bych to nechal, pokud nbyla hromada a bylo jen v mé síti, tak začnu přemýšlet nad MPLS/VPLS.

Majklik píše:Nu, ještě můžeš zkusit IPIP tunel, ten by mohl být o fous rychlejší, má jendodušší hlavičku a kratší ( o 4 bajty ). Ale bude to asi stejné. Nicméně GRE má plus, že přes jeden tunel můžeš poslat IPv4, IPv6 i MPLS naráz. Přes IPIP jde jen IPv4.
Pokud ti stačí tunelovat jn IP vrstvu a ne přímo L2, tak nic jendoduššího, jak GRE/IPIP, v MKčku nenajdeš. A pokud potřebuješ těch tunelů pár, tak bych to nechal, pokud nbyla hromada a bylo jen v mé síti, tak začnu přemýšlet nad MPLS/VPLS.

kolko MTU potrebuje IPIP a kolko GRE? vdaka za info

Jako jak velké MTU musí propustit tvoje síť, aby uvnitř toho L3 tunelu zůstalo zachováno MTU1500 pro tunelovaný IP provoz?
GRE tunel - 1524, IPIP a SIT tunely - 1520, MPLS/TE (traffic engeneering) nebo MPLS/L3VPN - 1508.

akurat som skusal to GRE s mtu 1500 a mtu 1524...co je zaujimave tak nie je rozdiel ani v priepustnosti, ani v odozve co sa tyka toho ci to pusti alebo nepusti pakety 1524 velkosti..a ci ich fragmentuje...co je zvlastne..GRE si lepsie poradi s fragmentaciou ako napr. EOIP? alebo ako to je mozne?

GRE tunel v MK nepodporuje fragmentaci (vynechme kombinaci MPLS over GRE, což funguje, pak fragmentovat umí), takže pokud GRE nastavíš MTU v tunelu na 1500, tak ti trasa mezi konci GRE tunelu v celé trase musí přenést 1524 (20 bajtů IP hlavička, 4 bajty základní GRE hlavička), což u většiny Mikrotiků a jeho bezdrátů by mohla být pravda (jen řada RB4xx má limit na 1520 nebo 1522). EoIP netuneluje L3, ale L2, takže aby propustil MTU1500 pro IP, tak potřebuje 1542 MTU v síti (20 bajtů IP hlavička, 8 bajtů GRE rozšířená hlavička, 14 bajtů už tunelované Ethernet záhlaví), což už nemusí projít, takže pak musí fragmentovat, což zdržuje, protože pro dlouhé pakety ti to v podstatě vyvolá dvojnásobný paket/sec tok.