PPTP na Mikrotiku

[Stepanek Vandak]

Zdravím,

Vytvořil jsem si VPN na Mikrotik routerboardu 951G pomocí PPTP a i když se připojím síť jede. Tak se nemůžu dostat na další zařízení které mám připojené na lokální síti za mikrotikem jako vzdálená plocha na PC a nebo další router. VPN je vyvrořeno na mikrotik se dostanu. Vnější síť mám připojenou na portu 1 a ostatní na ostatních portech a volbu v interfaces a na daném portu kde je zařízení zapojené tak volbu ARP mám nastavenou na proxy-arp dle návodu co jsem našel na internetu. Můžete mi prosím poradit. V příloze náhled nastavení portu.

Díky

[Majklik]

To proxy-arp by mělo být zapnuté na bridge-local a ne na tom ethernet2.
Jinak PPTP je už mezi VPN technologie moc řadit nedá (sám Mikrosoft, autor protokolu, to tak říká už od roku 2000).

[Stepanek Vandak]

Super děkuji za pomoc už mi to šlape tak jak potřebuji

[rado3105]

A co pouzivate namiesto pptp?

[Majklik]

Pokud mám MKčko jako VPN koncentrátor pro mobilní klienty, tak používáme L2TP/IPsec s tím, že IPsec vrstva jede přes certifikáty a PPP obvkyle klasika jméno/heslo/členství v doméně. Pokud není požadavek na dvoukolové ověřování ověřování, tak je puštěn paralelně i SSTP jako záloha, když náhodou IPsec neproleze.
Kde je to bráno vážněji, tak je použit IPSec IKEv2 a VPN server dělá něco jiného (to snad bude umět ROS7).

[rado3105]

Na tunely co pouzivate?

[Majklik]

Jako tunely skrz internet mezi Mikrotiky? Tam záleží na účelu. Pokud tím teče víc dat mezi pevnými body, tak GRE obalený IPsec transportem (AES256/SHA256, ověřování pomocí RSA signatur). Na koncentrátorech mám obvykle RB1100AHx2 kde končí i několik takových 100 Mbps tunelů. A k tomu obvykle záložní tunel jinou trasou, tam si dávám SSTP s Mikrotik vychytávkou ohledně certifikátů na obou stranách.
Ale mám i nasazeno, že mám aplikaci, kde na koncové zařízení nasazeno L2TP/IPsec jako primární a SSTP záložní tunel na druhou linku, pokud koncové místa jsou za NATy. Koncentruji opět do RB1100AHx2 krabic, obvykle kolem 200 tunelů do jedné, na koncích jsou nějaké malé RB7xx/9xx.Ale tam je celkem malý provoz telemetrie.

[rado3105]

tunel v ramci lokalnej siete medzi dvoma bodmi s dorazom na priepustnost a latenciu...zatial mi najlepsie vychadza nezabezpeceny gre, avsak ma vyssiu latenciu....

[Majklik]

Nu, ještě můžeš zkusit IPIP tunel, ten by mohl být o fous rychlejší, má jendodušší hlavičku a kratší ( o 4 bajty ). Ale bude to asi stejné. Nicméně GRE má plus, že přes jeden tunel můžeš poslat IPv4, IPv6 i MPLS naráz. Přes IPIP jde jen IPv4.
Pokud ti stačí tunelovat jn IP vrstvu a ne přímo L2, tak nic jendoduššího, jak GRE/IPIP, v MKčku nenajdeš. A pokud potřebuješ těch tunelů pár, tak bych to nechal, pokud nbyla hromada a bylo jen v mé síti, tak začnu přemýšlet nad MPLS/VPLS.

[rado3105]

Nu, ještě můžeš zkusit IPIP tunel, ten by mohl být o fous rychlejší, má jendodušší hlavičku a kratší ( o 4 bajty ). Ale bude to asi stejné. Nicméně GRE má plus, že přes jeden tunel můžeš poslat IPv4, IPv6 i MPLS naráz. Přes IPIP jde jen IPv4.
Pokud ti stačí tunelovat jn IP vrstvu a ne přímo L2, tak nic jendoduššího, jak GRE/IPIP, v MKčku nenajdeš. A pokud potřebuješ těch tunelů pár, tak bych to nechal, pokud nbyla hromada a bylo jen v mé síti, tak začnu přemýšlet nad MPLS/VPLS.

kolko MTU potrebuje IPIP a kolko GRE? vdaka za info

[Majklik]

Jako jak velké MTU musí propustit tvoje síť, aby uvnitř toho L3 tunelu zůstalo zachováno MTU1500 pro tunelovaný IP provoz?
GRE tunel - 1524, IPIP a SIT tunely - 1520, MPLS/TE (traffic engeneering) nebo MPLS/L3VPN - 1508.

[rado3105]

akurat som skusal to GRE s mtu 1500 a mtu 1524...co je zaujimave tak nie je rozdiel ani v priepustnosti, ani v odozve co sa tyka toho ci to pusti alebo nepusti pakety 1524 velkosti..a ci ich fragmentuje...co je zvlastne..GRE si lepsie poradi s fragmentaciou ako napr. EOIP? alebo ako to je mozne?

[Majklik]

GRE tunel v MK nepodporuje fragmentaci (vynechme kombinaci MPLS over GRE, což funguje, pak fragmentovat umí), takže pokud GRE nastavíš MTU v tunelu na 1500, tak ti trasa mezi konci GRE tunelu v celé trase musí přenést 1524 (20 bajtů IP hlavička, 4 bajty základní GRE hlavička), což u většiny Mikrotiků a jeho bezdrátů by mohla být pravda (jen řada RB4xx má limit na 1520 nebo 1522). EoIP netuneluje L3, ale L2, takže aby propustil MTU1500 pro IP, tak potřebuje 1542 MTU v síti (20 bajtů IP hlavička, 8 bajtů GRE rozšířená hlavička, 14 bajtů už tunelované Ethernet záhlaví), což už nemusí projít, takže pak musí fragmentovat, což zdržuje, protože pro dlouhé pakety ti to v podstatě vyvolá dvojnásobný paket/sec tok.