prosim o radu PPTP

[polom-123]

Zdravím, potřeboval bych poradit. Občas dávám známým AP od mikrotiku a nemají veřejnou IP adresu takže pokud chtějí něco změnit tak k ním musím zajet. Napadlo mě že bych ty AP nastavil jako pptp client a připojovaly se k mému domácímu mikrotiku který má veřejnou IP a pokud by bylo něco potřeba změnit tak bych se pc připojil taky jako pptp klient a změnil to. Jde mi o to jak to nejlépe udělat z důvodu bezpečnosti jak mojí (aby se mi nedostal nikdo do vnitřní sítě) tak známých... Na pptp netrvám je to jedno. Na mikrotiku, který by byl jako server je překlad src-nat do vnitřní sítě. Díky za nápady

[placek.milan]

Nepoužívat pptp.
Řešení je spousta, podle mě ale nejlepší a nejjednodušší je Teamviewer.

[hapi]

a pokud ti teamviewer nevoní protože poslední dobou dost rapidně omezuje dobu spojení tak zkus "SupRemo"

[Sidi]

Nepoužívat pptp.
Řešení je spousta, podle mě ale nejlepší a nejjednodušší je Teamviewer.

Předpokládám, že se dotyčnému jedná o administraci MK zařízení a nechce se mu kvůli tomu živit celé PC s teamviewerem.

Když tak o tom přemýšlím, tak bych nějakým řešením taky nepohrdnul. Jen to jsou u mě tak ojedinělé případy, že mě to nenapadlo řešit.

[Petr Bačina]

Asi tak. Vytvářet PPTP dneska není úplně nejlepší řešení. Když už VPNku na Mikrotiku, tak alespoň OpenVPN. Asi bych tu vzdálenou správu řešil taky přes Anydesk, Teamviewer, Supremo s malou asistencí druhé strany v podobě zapnutí PC...

[ludvik]

nebo Ammyy

Ale je nějaký problém EoIP?

[hapi]

že by neexistence veřejek na obou stranách?

[Noxus28]

a čo tak spraviť na domácom mikrotiku L2TP server keď už je na verejke.
- spraviť na každom "kamarátovom" mirkotiku L2tp klienta staticky. Na tomto rozhraní povoliť len winbox či ssh alebo cez čo im to konfiguruješ. Vo firewall zahodiť akýkoľvek forward na tento interface.
-Na svojom spraviť firewall zahodiť všetko okrem estabilished related z L2TP smerom dnu. A prípadne v PPP clients vždy zapnúť toho daného klienta len vtedy keď ho potrebuješ konfigurovať, spojenie nadviaže klient automaticky tuším do 60 sekúnd.

[felix]

Také bych doporučil L2TP s IPSec popř. IKEv2 s nastaveným firewallem.

[okoun]

ano jednoznačne l2tp, protože openvpn je sice krásná ale s jedním ale, stále není integrovaná ve windows.....

[rsaf]

Z historických důvodů stejnou věc provozuji na OpenVPN (běží to na virtuálce v datacentru). V nových instalacích ale na Mikrotiku většinou nastavuji "multiprotocol" VPN (víceméně se stejným profilem SSTP+L2TP). Pro Windows klienty používám spíše SSTP, L2TP pak pro Androidy apod.

Pokud má být VPN výhradně pro "remote management" těch mikrotiků, pak je nastavení firewallu poměrně jednoduché. Na těch "spravovaných" (vpn client) se na ten klientský interface nastaví ve forward drop na vše a v input accept na vše (takže je přes vpn plný přístup k Mikrotiku ale nic neproleze skrz).
Na tom "centrálním" mikrotiku potom dva interface listy - jeden pro interfacy "klientských" VPN, druhý pro interfacy "administrátorských" VPN a ve firewallu je povolena komunikace CLIENT-ADMIN, vše ostatní DROP.

[pgb]

Openvpn mi na mikrotik nesmí dokud nebude umět udp a ta ve v7 už zdá se je.

[hapi]

k čemu je vůbec nějaký pptp když stejně se musí použít nějaký software na sdílení plochy? takže ve finále tam stejně bude teamviewer a tyhle opičky kolem tam budou na nic.

[polom-123]

Díky všem. Na konfiguraci stačí winbox a klidně na jiném portu než 8291 takže to zkusím přes L2TP a firewall. Jen se chci zeptat Noxus28 když si vžky zapnu toho klienta co to dělá na klientském mikrotiku ? Co jsem zkoušel tak byl log plný neúspěšných pokusů navázat spojení - jestli jsem to dobře pochopil.

[polom-123]

Tak to zkouším ale nedaří se mi. Když se klient připojí k mikrotik l2tp serveru tak dostane ip adresu v interface listu je také ale nejde s ním nic dělat (dát do bridge ani kdyz je v ppp profiles zadana bridge ) tak nevím kde je chyba...