classic.ISPforum.cz

Dobrý den,
vlastním mikrotika RB433 - mám ho jen na přípojení k ISP a za mikrotikem mám na LANu přípojen AP pro wifi zařízení.
Problém je v tom že spojení na PPTP VPN servery vždy hodí chybu, většinou 619. Vylučovací metodou jsem dospěl k názoru že chyba musí být v Mikrotiku.
Zajímalo by mě jak se dá povolit PPTP na mikrotiku. Návodů je na internetu docela dost, ale vše jen poukazuje na možnost nastavit v terminálu. Rád bych to nějak nastavil ve WinBoxu.
Děkuji předem za reakce

Stejný problém máme u nás a my zase vylučovací metodou dospěli k závěru, že to je problém u našeho poskytovatele na jeho boxu. Když jsme tam měli původně 7201ku, tak vše fungovalo. Potom proběhl upgrade na ASR1001 a najednou se nám to z LAN chová přesně jak píšeš. Jen bych podotknul, že my neděláme na tom Mikrotiku vůbec žádnej NAT, jen routuje. NAT celé naší LAN se provádí až an tom ASR1001. Potom máme celé C veřejných IP naroutováno až do naší LAN a pokud si na NB zadám nějakou takovou IP, PPTP tunel se spojí bez problémů. Jakmile ale použiji nějakou IP, která je na tom ASRku dynamicky NATovaná, skončí mi to taky chybou 619. Teď si mě ale popravdě trošku vyděsil a nahlodal k hledání problému i na to Mikrotiku u nás.

Jen úplně pro jistotu - máš tam zaplý v PPP, tlačítko PPTP server a v něm zaškrtávátko enabled?
Pak je k tomu ještě potřeba nastavit PPP / secrets a v něm jméno, heslo, ip adresy

To chapes špatně. Nám nejde o připojení na Mikrotik pomocí PPTP, ale o průchod PPTP a následné sestavení GRE tunelu pres Mikrotik.

sub_zero píše:Stejný problém máme u nás a my zase vylučovací metodou dospěli k závěru, že to je problém u našeho poskytovatele na jeho boxu. Když jsme tam měli původně 7201ku, tak vše fungovalo. Potom proběhl upgrade na ASR1001 a najednou se nám to z LAN chová přesně jak píšeš. Jen bych podotknul, že my neděláme na tom Mikrotiku vůbec žádnej NAT, jen routuje. NAT celé naší LAN se provádí až an tom ASR1001. Potom máme celé C veřejných IP naroutováno až do naší LAN a pokud si na NB zadám nějakou takovou IP, PPTP tunel se spojí bez problémů. Jakmile ale použiji nějakou IP, která je na tom ASRku dynamicky NATovaná, skončí mi to taky chybou 619. Teď si mě ale popravdě trošku vyděsil a nahlodal k hledání problému i na to Mikrotiku u nás.

sice nevím jak to tam máte postavené, ale otestovat by se to dalo jednoduše. Zkus v mikrotiku vytvořit PPTP Clienta - pokud se Mikrotik připojí tak je něco někde špatně

Sentello píše:

sub_zero píše:Stejný problém máme u nás a my zase vylučovací metodou dospěli k závěru, že to je problém u našeho poskytovatele na jeho boxu. Když jsme tam měli původně 7201ku, tak vše fungovalo. Potom proběhl upgrade na ASR1001 a najednou se nám to z LAN chová přesně jak píšeš. Jen bych podotknul, že my neděláme na tom Mikrotiku vůbec žádnej NAT, jen routuje. NAT celé naší LAN se provádí až an tom ASR1001. Potom máme celé C veřejných IP naroutováno až do naší LAN a pokud si na NB zadám nějakou takovou IP, PPTP tunel se spojí bez problémů. Jakmile ale použiji nějakou IP, která je na tom ASRku dynamicky NATovaná, skončí mi to taky chybou 619. Teď si mě ale popravdě trošku vyděsil a nahlodal k hledání problému i na to Mikrotiku u nás.

sice nevím jak to tam máte postavené, ale otestovat by se to dalo jednoduše. Zkus v mikrotiku vytvořit PPTP Clienta - pokud se Mikrotik připojí tak je něco někde špatně

To nic neřeší, protože ten Mikrotik má public IP, na který to neblbne

aha
budu doufat že nám s tím někdo poradí, já už nevím a vzdávám to. Možná za to může NAT, možná nastaveni FW ...

PPTP potřebuje uečitou magii na straně NAT krámu, aby fungoval. V Mikrotiku je na to helper. Mrkni, zda je povolen. Ve windoxu koukni do /ip/firewall/service port a tam by měl být k dispozici PPTP a nebýt zakázán.
Co se týče té ASR bedny od Cisca. Tak je to podobné. V konfiguraci (záleží na verzi softu) by měla být nějaká magie typu "fixup protocol pptp 1723" a "inspect pptp" v nověšjších. A možná ještě pár blbostí k PATu.

to Majklik Děkuji za tip, tohle jsem také zkoušel. Nic s PPTP v Service není - neboť jsem začátečník tak nevím jak se to dá doplnit

Majklik píše:PPTP potřebuje uečitou magii na straně NAT krámu, aby fungoval. V Mikrotiku je na to helper. Mrkni, zda je povolen. Ve windoxu koukni do /ip/firewall/service port a tam by měl být k dispozici PPTP a nebýt zakázán.
Co se týče té ASR bedny od Cisca. Tak je to podobné. V konfiguraci (záleží na verzi softu) by měla být nějaká magie typu "fixup protocol pptp 1723" a "inspect pptp" v nověšjších. A možná ještě pár blbostí k PATu.

Teď jsem vypozoroval, že pokud to zkouším z IP adres, který jsou přes POOL dyn. NATOvaný, tak to neprojde.
Např:
ip nat pool POOL50 xx.xxx.xxx.xxx xxx.xxx.xxx.xxx netmask 255.255.255.192
ip nat inside source list 50 pool POOL50 overload
access-list 50 permit 172.22.64.0 0.0.0.255

Ale pokud to vyzkouším ze statiky, např:
ip nat inside source static 172.22.76.62 xxx.xxx.xxx.xxx extendable no-alias

tak to projde okamžitě... magie vyšší moci..

Můžeš to prosím rozepsat i pro mě moc tomu nerozumím.
Mám to doma takto:
Wlan1 slouží pro připojení k ISP - rozsah 10.XXX.XXX.XXX
Na Bridge1 mám propojovaný všecky interface, jako Wlan2, eth1, eth2 a eth3 - na tomti bridge mě běží dhcp pool - rozsah 192.168.1.XXX
Jinak je to RouterBoard RB433 - ta levnější varianta se slabším CPU

Sentello píše:Můžeš to prosím rozepsat i pro mě moc tomu nerozumím.
Mám to doma takto:
Wlan1 slouží pro připojení k ISP - rozsah 10.XXX.XXX.XXX
Na Bridge1 mám propojovaný všecky interface, jako Wlan2, eth1, eth2 a eth3 - na tomti bridge mě běží dhcp pool - rozsah 192.168.1.XXX
Jinak je to RouterBoard RB433 - ta ůevnejsi varianta se slabsim CPU

Co jsem psal výše patří k tomu Ciscu. Ty se jen podívej, zda máš v ip/firewall/service-ports povolený PPTP. Port tam nemá být žádnej (alespoň my jsme nikdy žádnej nezadávali).
Pokud máš vše správně, nemáš žádný firewall atd, tak třeba budeš mít problém taky jako my u svýho ISP. Dle toho, co píšeš, tak máš taky na WLAN1 /WAN/ vnitřní adresu, tzn. že ji Tvůj ISP musí někde na něčem NATovat

Aha, no v ip/firewall/service-ports nemám nikde nic s PPTP.
Zkoušel jsem k anténě kterou mám nasměrovanou k ISP připojit notebook, PPTP VPN se připojilo bez remcání ihned. U ISP by tedy problém neměl být, NATování tam má.

Jak nemáš...? Tohle tam nemáš?

jo tohle, mám a k němu žádný port.