Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

PPTP tunel funguje i nefunguje

Návody a problémy s konfigurací.
mpcz
Příspěvky: 2779
Registrován: 18 years ago

PPTP tunel funguje i nefunguje

Příspěvekod mpcz » 4 years ago

Zdravím, asi už to tu bylo, informací spousta, ale nic, co by řešilo současný problém. Pravděpodobně ani není můj.
Mám RB u klienta a on se snaží dostat skrze PPTP do své firmy n internetu. Spojit se mu to nechce ať dělá co dělá. Takové případy už tu byly několikrát, vždycky to šlo do ztracena, ani nevím jak to vyřešili. Oproti tomu: ze stejného RB klienta mám již léta udělaný PPTP tunel na hlavní bránu do internetu, který jede bez problémů. Pokud klient vytočí testovací PPTP z NB na můj PPTP server na hlavní bráně, spojí se mu to OK. Ale na klientův PPTP server v internetu se to nespojí. Dotaz tedy zní, co by mohlo být příčinou tohoto problému, kde to hledat. A pokud už někdo něco napoví, prosím pokud možno srozumitelně, mám dlouhé vedení. Dík, mpcz, 15jan2020
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

OT:
PPTP je z hlediska zabezpečení naprosto nefunkční již roky (ten router můžeš rovnou vystavit do Internetu, vyjde to naprosto nastejno). Celou dobu bylo neuvěřitelně problematické s jakýmkoliv NATem/firewallem a nasazovat to může dnes skutečně akorát úplný zoufalec a ignorant...nic osobního.
Např. u CGN je přímo v Ciscu dokumentaci uvedena věta: "The PPTP ALG will not work in Carrier Grade Network Address Translation (NAT) mode, when the NAT client and server use the same call ID."

K tématu:

Ověřil bych, na jakej server se klient připojuje, zda jsou tam povolený porty 1723 a GRE protokol, zapnutý ALG PPTP. Pokud ten server nemáš ve svý správě, kontaktovat administrátora.
Ideálně si to snifnout wiresharcem a zjistit, co se posílá a vrací.

Jirka, 15jan2020, 738829036402
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

S_a_M
Příspěvky: 458
Registrován: 8 years ago
Bydliště: Protektorat Böhmen und Mähren

Příspěvekod S_a_M » 4 years ago

To je tezky napsat co to Muze byt. Co ma protistrana za pptp agregator neblokuje to spojeni z tvejch ipcek treba poskytovatel protistrany veci je milion... U nas pomohla dat tomu cloveku verejku a protistrana ji dala na whitelist :) tedy konkretne tmobile jako jejich isp :)
0 x
Placam si jatra, tak mne neberte vazne :)
Ceragona uz mi tak nevadi. Vadi mi ovsem ze kuci v CEZu nedelaj svoji praci tak jak maj !!!

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Na 99% v tom dělá hokej NAT na bráně do internetu. Celkem běžná věc.
0 x

pedro4444
Příspěvky: 849
Registrován: 13 years ago

Příspěvekod pedro4444 » 4 years ago

jj tiez som mal tento problem kedysi davno presiel som na ovpn a uz ziadne problemy...:)
skoda ale tej rychlosti ovpn sa mi zda ze je trocha pomalsi ako pptp ale je to asi tym sifrovanym aj...
0 x

mpcz
Příspěvky: 2779
Registrován: 18 years ago

Příspěvekod mpcz » 4 years ago

pedro4444 píše:jj tiez som mal tento problem kedysi davno presiel som na ovpn a uz ziadne problemy...:)
skoda ale tej rychlosti ovpn sa mi zda ze je trocha pomalsi ako pptp ale je to asi tym sifrovanym aj...

Dík, taky si myslím, že by to jiná VPN možná vyřešila, ale jak píši výše, VPN buduje IT technik klienta od mého klienta do firemního serveru v internetu. Co si vybere, to je jeho věc, mluvit mu do toho nechci. Jediný problém zůstává, že když mu to nejede, klient vidí problém v internetové přípojce a nedá si to vymluvit. Jeho technik navíc použije oblíbenou frázi "všem to na náš server jede, tak to musí být ve vaší přípojce". Já mu na to "desítky klientů naší sítě používají VPN na svoje firemní servery a všem to jede" :slight_smile:. A je to začarovaný kruh. mpcz, 16jan2020
0 x

mpcz
Příspěvky: 2779
Registrován: 18 years ago

Příspěvekod mpcz » 4 years ago

rsaf píše:Na 99% v tom dělá hokej NAT na bráně do internetu. Celkem běžná věc.

Dík, pokud bych chtěl být ironický, odpovím: "Ano, na tom něco může být. Vyměnil jsem router v černé krabici za jiný, v bílé krabici ...". Lepší asi bude ze zeptat, co všechno je nutné konkrétně zkontrolovat / popř. nastavit na Mikrotiku hlavní brány? Tohle už určitě řešilo tisíc lidí. mpcz, 16jan2020
0 x

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 4 years ago

k čemu tam je ten tvůj tunel z rb na bránu? doufám že klientovy data netečou přes tvoje pptp a pptp klienta se nezkouší připojit skrz tvoje pptp... že ne?
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

IP-Firewall-Service ports - zde teoreticky zkusit zapnout/vypnout pptp. Pokud routeru u klienta není mikrotik, tak i v něm hledat (většinou v konfiguraci nat/firewall) nějaký helper pro vpn/pptp/gre.
Jinak stejně u jakéhokoliv jiného problému kdy něco nekomunikuje - wiresharkem zachytit provoz na všech místech a analyzovat, žádný magic v tom není.
PPTP spojení "domlouvá" přes TCP spojení, ale vlastní data pak tečou GRE tunelem. Součástí té úvodní domluvy jsou ip adresy na kterých se GRE tunel naváže (samozřejmě klient tam pošle svou neveřejnou) - toto NAT helper musí přepsat a zároveň musí připravit "díru" pro ten GRE tunel. Bohužel ne všichni klienti/servery se chovají úplně standardně a někdy to ten helper spíše rozbíjí.
0 x

mpcz
Příspěvky: 2779
Registrován: 18 years ago

Příspěvekod mpcz » 4 years ago

hapi píše:k čemu tam je ten tvůj tunel z rb na bránu? doufám že klientovy data netečou přes tvoje pptp a pptp klienta se nezkouší připojit skrz tvoje pptp... že ne?

Dík, při pokusech jsem zkušebně PPTP tunel zašedl. I když byl aktivní, žádné data tunelem nešly. mpcz, 16jan2020
0 x

mpcz
Příspěvky: 2779
Registrován: 18 years ago

Příspěvekod mpcz » 4 years ago

rsaf píše:IP-Firewall-Service ports - zde teoreticky zkusit zapnout/vypnout pptp. Pokud routeru u klienta není mikrotik, tak i v něm hledat (většinou v konfiguraci nat/firewall) nějaký helper pro vpn/pptp/gre.
Jinak stejně u jakéhokoliv jiného problému kdy něco nekomunikuje - wiresharkem zachytit provoz na všech místech a analyzovat, žádný magic v tom není.
PPTP spojení "domlouvá" přes TCP spojení, ale vlastní data pak tečou GRE tunelem. Součástí té úvodní domluvy jsou ip adresy na kterých se GRE tunel naváže (samozřejmě klient tam pošle svou neveřejnou) - toto NAT helper musí přepsat a zároveň musí připravit "díru" pro ten GRE tunel. Bohužel ne všichni klienti/servery se chovají úplně standardně a někdy to ten helper spíše rozbíjí.

Dík, při pokusech byl ten jejich technik připojen NBkem přímo na ETH mikrotiku co je na na střeše, kde je první NAT. Druhý je až na bráně, kde je CCRko. Na obou jsem prošel firewall/service port a na obou je PPTP aktivní, chlíveček portu je prázdný.
Wireshark by byl dobrý, ale klient je dost z ruky a ještě počkám, jestli si to ten jejich technik nepořeší sám. Nebo aspoň řekne, co mu na přípojce vadí.
Sharkem jsem to řešil jednou v minulosti, ale nakonec to stejně skončilo veřejnou IP a od té doby je pokoj. mpcz, 16jan2020
0 x

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Tak to takhle udělej zase - klidně odpověz něco ve stylu, že pptp je zastaralý a ne příliš bezpečný protokol a tvůj NAT jej nepodporuje. Pokud ho chtějí požívat, ať si zaplatí veřejku nebo přejdou na některý ze soudobých protokolů.
0 x

Uživatelský avatar
hapi
Příspěvky: 12989
Registrován: 16 years ago

Příspěvekod hapi » 4 years ago

já se divim že s pptp máte problém. S obyč pptp sem teda nikdy problém neměl, to projde čímkoliv.

Wireshark není potřeba, máš mikrotiky s torchem.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků

rsaf
Příspěvky: 1669
Registrován: 17 years ago

Příspěvekod rsaf » 4 years ago

Torch ti ukáže obsah paketů/udělá analýzu protokolu (což je zrovna u toho pptp potřeba)?
Wireshark lze použít i na dálku s Mikrotikem https://wiki.mikrotik.com/wiki/Ethereal/Wireshark


Není tak úplně pravda, že PPTP proleze vším. Kombinace vícenásobných NATů nebo třeba PPTP serveru za NATem bývají problematické. Může to taky dělat firewall (někteří tam mají nastavené doslova zběsilosti).
0 x