classic.ISPforum.cz

Zdravím, asi už to tu bylo, informací spousta, ale nic, co by řešilo současný problém. Pravděpodobně ani není můj.
Mám RB u klienta a on se snaží dostat skrze PPTP do své firmy n internetu. Spojit se mu to nechce ať dělá co dělá. Takové případy už tu byly několikrát, vždycky to šlo do ztracena, ani nevím jak to vyřešili. Oproti tomu: ze stejného RB klienta mám již léta udělaný PPTP tunel na hlavní bránu do internetu, který jede bez problémů. Pokud klient vytočí testovací PPTP z NB na můj PPTP server na hlavní bráně, spojí se mu to OK. Ale na klientův PPTP server v internetu se to nespojí. Dotaz tedy zní, co by mohlo být příčinou tohoto problému, kde to hledat. A pokud už někdo něco napoví, prosím pokud možno srozumitelně, mám dlouhé vedení. Dík, mpcz, 15jan2020

OT:
PPTP je z hlediska zabezpečení naprosto nefunkční již roky (ten router můžeš rovnou vystavit do Internetu, vyjde to naprosto nastejno). Celou dobu bylo neuvěřitelně problematické s jakýmkoliv NATem/firewallem a nasazovat to může dnes skutečně akorát úplný zoufalec a ignorant...nic osobního.
Např. u CGN je přímo v Ciscu dokumentaci uvedena věta: "The PPTP ALG will not work in Carrier Grade Network Address Translation (NAT) mode, when the NAT client and server use the same call ID."

K tématu:

Ověřil bych, na jakej server se klient připojuje, zda jsou tam povolený porty 1723 a GRE protokol, zapnutý ALG PPTP. Pokud ten server nemáš ve svý správě, kontaktovat administrátora.
Ideálně si to snifnout wiresharcem a zjistit, co se posílá a vrací.

Jirka, 15jan2020, 738829036402

To je tezky napsat co to Muze byt. Co ma protistrana za pptp agregator neblokuje to spojeni z tvejch ipcek treba poskytovatel protistrany veci je milion... U nas pomohla dat tomu cloveku verejku a protistrana ji dala na whitelist tedy konkretne tmobile jako jejich isp

Na 99% v tom dělá hokej NAT na bráně do internetu. Celkem běžná věc.

jj tiez som mal tento problem kedysi davno presiel som na ovpn a uz ziadne problemy...
skoda ale tej rychlosti ovpn sa mi zda ze je trocha pomalsi ako pptp ale je to asi tym sifrovanym aj...

pedro4444 píše:jj tiez som mal tento problem kedysi davno presiel som na ovpn a uz ziadne problemy...
skoda ale tej rychlosti ovpn sa mi zda ze je trocha pomalsi ako pptp ale je to asi tym sifrovanym aj...

Dík, taky si myslím, že by to jiná VPN možná vyřešila, ale jak píši výše, VPN buduje IT technik klienta od mého klienta do firemního serveru v internetu. Co si vybere, to je jeho věc, mluvit mu do toho nechci. Jediný problém zůstává, že když mu to nejede, klient vidí problém v internetové přípojce a nedá si to vymluvit. Jeho technik navíc použije oblíbenou frázi "všem to na náš server jede, tak to musí být ve vaší přípojce". Já mu na to "desítky klientů naší sítě používají VPN na svoje firemní servery a všem to jede" . A je to začarovaný kruh. mpcz, 16jan2020

rsaf píše:Na 99% v tom dělá hokej NAT na bráně do internetu. Celkem běžná věc.

Dík, pokud bych chtěl být ironický, odpovím: "Ano, na tom něco může být. Vyměnil jsem router v černé krabici za jiný, v bílé krabici ...". Lepší asi bude ze zeptat, co všechno je nutné konkrétně zkontrolovat / popř. nastavit na Mikrotiku hlavní brány? Tohle už určitě řešilo tisíc lidí. mpcz, 16jan2020

k čemu tam je ten tvůj tunel z rb na bránu? doufám že klientovy data netečou přes tvoje pptp a pptp klienta se nezkouší připojit skrz tvoje pptp... že ne?

IP-Firewall-Service ports - zde teoreticky zkusit zapnout/vypnout pptp. Pokud routeru u klienta není mikrotik, tak i v něm hledat (většinou v konfiguraci nat/firewall) nějaký helper pro vpn/pptp/gre.
Jinak stejně u jakéhokoliv jiného problému kdy něco nekomunikuje - wiresharkem zachytit provoz na všech místech a analyzovat, žádný magic v tom není.
PPTP spojení "domlouvá" přes TCP spojení, ale vlastní data pak tečou GRE tunelem. Součástí té úvodní domluvy jsou ip adresy na kterých se GRE tunel naváže (samozřejmě klient tam pošle svou neveřejnou) - toto NAT helper musí přepsat a zároveň musí připravit "díru" pro ten GRE tunel. Bohužel ne všichni klienti/servery se chovají úplně standardně a někdy to ten helper spíše rozbíjí.

hapi píše:k čemu tam je ten tvůj tunel z rb na bránu? doufám že klientovy data netečou přes tvoje pptp a pptp klienta se nezkouší připojit skrz tvoje pptp... že ne?

Dík, při pokusech jsem zkušebně PPTP tunel zašedl. I když byl aktivní, žádné data tunelem nešly. mpcz, 16jan2020

rsaf píše:IP-Firewall-Service ports - zde teoreticky zkusit zapnout/vypnout pptp. Pokud routeru u klienta není mikrotik, tak i v něm hledat (většinou v konfiguraci nat/firewall) nějaký helper pro vpn/pptp/gre.
Jinak stejně u jakéhokoliv jiného problému kdy něco nekomunikuje - wiresharkem zachytit provoz na všech místech a analyzovat, žádný magic v tom není.
PPTP spojení "domlouvá" přes TCP spojení, ale vlastní data pak tečou GRE tunelem. Součástí té úvodní domluvy jsou ip adresy na kterých se GRE tunel naváže (samozřejmě klient tam pošle svou neveřejnou) - toto NAT helper musí přepsat a zároveň musí připravit "díru" pro ten GRE tunel. Bohužel ne všichni klienti/servery se chovají úplně standardně a někdy to ten helper spíše rozbíjí.

Dík, při pokusech byl ten jejich technik připojen NBkem přímo na ETH mikrotiku co je na na střeše, kde je první NAT. Druhý je až na bráně, kde je CCRko. Na obou jsem prošel firewall/service port a na obou je PPTP aktivní, chlíveček portu je prázdný.
Wireshark by byl dobrý, ale klient je dost z ruky a ještě počkám, jestli si to ten jejich technik nepořeší sám. Nebo aspoň řekne, co mu na přípojce vadí.
Sharkem jsem to řešil jednou v minulosti, ale nakonec to stejně skončilo veřejnou IP a od té doby je pokoj. mpcz, 16jan2020

Tak to takhle udělej zase - klidně odpověz něco ve stylu, že pptp je zastaralý a ne příliš bezpečný protokol a tvůj NAT jej nepodporuje. Pokud ho chtějí požívat, ať si zaplatí veřejku nebo přejdou na některý ze soudobých protokolů.

já se divim že s pptp máte problém. S obyč pptp sem teda nikdy problém neměl, to projde čímkoliv.

Wireshark není potřeba, máš mikrotiky s torchem.

Torch ti ukáže obsah paketů/udělá analýzu protokolu (což je zrovna u toho pptp potřeba)?
Wireshark lze použít i na dálku s Mikrotikem https://wiki.mikrotik.com/wiki/Ethereal/Wireshark


Není tak úplně pravda, že PPTP proleze vším. Kombinace vícenásobných NATů nebo třeba PPTP serveru za NATem bývají problematické. Může to taky dělat firewall (někteří tam mají nastavené doslova zběsilosti).