Dobrý den,
vlastním mikrotika RB433 - mám ho jen na přípojení k ISP a za mikrotikem mám na LANu přípojen AP pro wifi zařízení.
Problém je v tom že spojení na PPTP VPN servery vždy hodí chybu, většinou 619. Vylučovací metodou jsem dospěl k názoru že chyba musí být v Mikrotiku.
Zajímalo by mě jak se dá povolit PPTP na mikrotiku. Návodů je na internetu docela dost, ale vše jen poukazuje na možnost nastavit v terminálu. Rád bych to nějak nastavil ve WinBoxu.
Děkuji předem za reakce
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Mikrotik nepustí ven PPTP VPN
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Stejný problém máme u nás a my zase vylučovací metodou dospěli k závěru, že to je problém u našeho poskytovatele na jeho boxu. Když jsme tam měli původně 7201ku, tak vše fungovalo. Potom proběhl upgrade na ASR1001 a najednou se nám to z LAN chová přesně jak píšeš. Jen bych podotknul, že my neděláme na tom Mikrotiku vůbec žádnej NAT, jen routuje. NAT celé naší LAN se provádí až an tom ASR1001. Potom máme celé C veřejných IP naroutováno až do naší LAN a pokud si na NB zadám nějakou takovou IP, PPTP tunel se spojí bez problémů. Jakmile ale použiji nějakou IP, která je na tom ASRku dynamicky NATovaná, skončí mi to taky chybou 619. Teď si mě ale popravdě trošku vyděsil a nahlodal k hledání problému i na to Mikrotiku u nás.
0 x
Jen úplně pro jistotu - máš tam zaplý v PPP, tlačítko PPTP server a v něm zaškrtávátko enabled?
Pak je k tomu ještě potřeba nastavit PPP / secrets a v něm jméno, heslo, ip adresy
Pak je k tomu ještě potřeba nastavit PPP / secrets a v něm jméno, heslo, ip adresy
0 x
sub_zero píše:Stejný problém máme u nás a my zase vylučovací metodou dospěli k závěru, že to je problém u našeho poskytovatele na jeho boxu. Když jsme tam měli původně 7201ku, tak vše fungovalo. Potom proběhl upgrade na ASR1001 a najednou se nám to z LAN chová přesně jak píšeš. Jen bych podotknul, že my neděláme na tom Mikrotiku vůbec žádnej NAT, jen routuje. NAT celé naší LAN se provádí až an tom ASR1001. Potom máme celé C veřejných IP naroutováno až do naší LAN a pokud si na NB zadám nějakou takovou IP, PPTP tunel se spojí bez problémů. Jakmile ale použiji nějakou IP, která je na tom ASRku dynamicky NATovaná, skončí mi to taky chybou 619. Teď si mě ale popravdě trošku vyděsil a nahlodal k hledání problému i na to Mikrotiku u nás.
sice nevím jak to tam máte postavené, ale otestovat by se to dalo jednoduše. Zkus v mikrotiku vytvořit PPTP Clienta - pokud se Mikrotik připojí tak je něco někde špatně
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Sentello píše:sub_zero píše:Stejný problém máme u nás a my zase vylučovací metodou dospěli k závěru, že to je problém u našeho poskytovatele na jeho boxu. Když jsme tam měli původně 7201ku, tak vše fungovalo. Potom proběhl upgrade na ASR1001 a najednou se nám to z LAN chová přesně jak píšeš. Jen bych podotknul, že my neděláme na tom Mikrotiku vůbec žádnej NAT, jen routuje. NAT celé naší LAN se provádí až an tom ASR1001. Potom máme celé C veřejných IP naroutováno až do naší LAN a pokud si na NB zadám nějakou takovou IP, PPTP tunel se spojí bez problémů. Jakmile ale použiji nějakou IP, která je na tom ASRku dynamicky NATovaná, skončí mi to taky chybou 619. Teď si mě ale popravdě trošku vyděsil a nahlodal k hledání problému i na to Mikrotiku u nás.
sice nevím jak to tam máte postavené, ale otestovat by se to dalo jednoduše. Zkus v mikrotiku vytvořit PPTP Clienta - pokud se Mikrotik připojí tak je něco někde špatně
To nic neřeší, protože ten Mikrotik má public IP, na který to neblbne
0 x
aha
budu doufat že nám s tím někdo poradí, já už nevím a vzdávám to. Možná za to může NAT, možná nastaveni FW ...
budu doufat že nám s tím někdo poradí, já už nevím a vzdávám to. Možná za to může NAT, možná nastaveni FW ...
0 x
PPTP potřebuje uečitou magii na straně NAT krámu, aby fungoval. V Mikrotiku je na to helper. Mrkni, zda je povolen. Ve windoxu koukni do /ip/firewall/service port a tam by měl být k dispozici PPTP a nebýt zakázán.
Co se týče té ASR bedny od Cisca. Tak je to podobné. V konfiguraci (záleží na verzi softu) by měla být nějaká magie typu "fixup protocol pptp 1723" a "inspect pptp" v nověšjších. A možná ještě pár blbostí k PATu.
Co se týče té ASR bedny od Cisca. Tak je to podobné. V konfiguraci (záleží na verzi softu) by měla být nějaká magie typu "fixup protocol pptp 1723" a "inspect pptp" v nověšjších. A možná ještě pár blbostí k PATu.
0 x
to Majklik Děkuji za tip, tohle jsem také zkoušel. Nic s PPTP v Service není - neboť jsem začátečník tak nevím jak se to dá doplnit 
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Majklik píše:PPTP potřebuje uečitou magii na straně NAT krámu, aby fungoval. V Mikrotiku je na to helper. Mrkni, zda je povolen. Ve windoxu koukni do /ip/firewall/service port a tam by měl být k dispozici PPTP a nebýt zakázán.
Co se týče té ASR bedny od Cisca. Tak je to podobné. V konfiguraci (záleží na verzi softu) by měla být nějaká magie typu "fixup protocol pptp 1723" a "inspect pptp" v nověšjších. A možná ještě pár blbostí k PATu.
Teď jsem vypozoroval, že pokud to zkouším z IP adres, který jsou přes POOL dyn. NATOvaný, tak to neprojde.
Např:
ip nat pool POOL50 xx.xxx.xxx.xxx xxx.xxx.xxx.xxx netmask 255.255.255.192
ip nat inside source list 50 pool POOL50 overload
access-list 50 permit 172.22.64.0 0.0.0.255
Ale pokud to vyzkouším ze statiky, např:
ip nat inside source static 172.22.76.62 xxx.xxx.xxx.xxx extendable no-alias
tak to projde okamžitě... magie vyšší moci..
0 x
Můžeš to prosím rozepsat i pro mě 
moc tomu nerozumím.
Mám to doma takto:
Wlan1 slouží pro připojení k ISP - rozsah 10.XXX.XXX.XXX
Na Bridge1 mám propojovaný všecky interface, jako Wlan2, eth1, eth2 a eth3 - na tomti bridge mě běží dhcp pool - rozsah 192.168.1.XXX
Jinak je to RouterBoard RB433 - ta levnější varianta se slabším CPU
moc tomu nerozumím.Mám to doma takto:
Wlan1 slouží pro připojení k ISP - rozsah 10.XXX.XXX.XXX
Na Bridge1 mám propojovaný všecky interface, jako Wlan2, eth1, eth2 a eth3 - na tomti bridge mě běží dhcp pool - rozsah 192.168.1.XXX
Jinak je to RouterBoard RB433 - ta levnější varianta se slabším CPU
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Sentello píše:Můžeš to prosím rozepsat i pro mě
Mám to doma takto:
Wlan1 slouží pro připojení k ISP - rozsah 10.XXX.XXX.XXX
Na Bridge1 mám propojovaný všecky interface, jako Wlan2, eth1, eth2 a eth3 - na tomti bridge mě běží dhcp pool - rozsah 192.168.1.XXX
Jinak je to RouterBoard RB433 - ta ůevnejsi varianta se slabsim CPU
Co jsem psal výše patří k tomu Ciscu. Ty se jen podívej, zda máš v ip/firewall/service-ports povolený PPTP. Port tam nemá být žádnej (alespoň my jsme nikdy žádnej nezadávali).
Pokud máš vše správně, nemáš žádný firewall atd, tak třeba budeš mít problém taky jako my u svýho ISP. Dle toho, co píšeš, tak máš taky na WLAN1 /WAN/ vnitřní adresu, tzn. že ji Tvůj ISP musí někde na něčem NATovat
0 x
Aha, no v ip/firewall/service-ports nemám nikde nic s PPTP.
Zkoušel jsem k anténě kterou mám nasměrovanou k ISP připojit notebook, PPTP VPN se připojilo bez remcání ihned. U ISP by tedy problém neměl být, NATování tam má.
Zkoušel jsem k anténě kterou mám nasměrovanou k ISP připojit notebook, PPTP VPN se připojilo bez remcání ihned. U ISP by tedy problém neměl být, NATování tam má.
0 x