Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2019-08-21 22:33:52

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

[+]Połączenie PPTP Linux <=> Microtic.

Cześć

Mam małą zagwozdkę z Microticiem - RouterOS v6.45.3 (stable).
Stoi sobie na min serwer PPTP, na razie konieczny, póku nie znajdę czegoś sensowniejszego na 3 maszyny z Windowsem, 2 routery Ubiquiti i mojego Gentusia.

Połączenie przechodzi sprawnie:

Kod:

ppp0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1446
        inet 192.168.88.205  netmask 255.255.255.255  destination 192.168.88.1
        ppp  txqueuelen 3  (Point-to-Point Protocol)
        RX packets 16  bytes 674 (674.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 54  bytes 4018 (3.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

Po przestawieniu routingu default mogę sobie net przeglądać przez to połączenie, niby miód malina.

Ale nie widzę żadnych urządzeń wpiętych do LAN na adresach 192.168.88.0/24, widzą się tylko
router na 192.168.88.1 z Gentusiem na 192.168.88.205, natomiast inne hosty są niewidoczne, ani pingiem ani żadnym innym połączeniem.
Włączyłem logowania na regułach drop Firewalla, ale nic tam nie znalazłem, w Gentusiu i w Microticu przestawiłem na proxy-arp wszystko, co się dało przestawić, bez rezultatu.
Żadne gimnastyki z routingiem zw Gentusiu też nie rozwiązały problemu.

Identyczny problem mam w robocie na Windowsach 7 i 10.

Konfiguracja Microtica:

Kod:

 
/ip pool export
add name=dhcp ranges=192.168.88.20-192.168.88.200
add name=PPTP-Pool ranges=192.168.88.201-192.168.88.249

/interface pptp-server server print
            enabled: yes
            max-mtu: 1450
            max-mru: 1450
               mrru: 1500
     authentication: mschap2
  keepalive-timeout: 30
    default-profile: PPTP-Profile

/interface pptp-server server export
set authentication=mschap2 default-profile=PPTP-Profile enabled=yes mrru=1500

/ppp profile export
add bridge=bridge change-tcp-mss=yes dns-server=1.1.1.1,8.8.4.4 \
    local-address=PPTP-Pool name=PPTP-Profile only-one=no remote-address=\
    PPTP-Pool use-encryption=required
set *FFFFFFFE local-address=dhcp remote-address=dhcp

/ppp secret export
#konto, na które się łączę:
add local-address=192.168.88.1 name=jacekalex password={hasełko} profile=\
    PPTP-Profile remote-address=192.168.88.205 service=pptp
 
/ip route print
 # ....
6 ADC  192.168.88.0/24    192.168.88.1    bridge                    0
7 ADC  192.168.88.205/32  192.168.88.1    pptp-jacekalex               0

Konfiguracja Gentuś ppp/peers:

Kod:

##cat /etc/ppp/peers/microtic
# written by pptpsetup
pty "/usr/sbin/pptp {adres_IP} --nolaunchpppd"
lock
nobsdcomp
nodeflate
name jacekalex
remotename microtic
ipparam microtic
require-mppe-128

Pytanka 2:
1. Pilne - Jak skutecznie włączyć widoczność w LAN na Microtiku?

2. Jak nauczyć pppd, żeby ustawiał netmask 255.255.255.0 i automatycznie ustawiał routing na sieć 192.168.88.0/24 zamiast tego:

Kod:

192.168.88.1 dev ppp0 proto kernel scope link src 192.168.88.205

Pozdro

PS:
Docelowo planuję przeprowadzkę na jakiś solidniejszy VPN, ale warunek konieczny, musi go obrabiać natywnie Windows 10.
Ipsec odpada z powodu gimnastyki z NAT, OpenVPN jest raczej niewykonalny z powodu faktu, że nie ma go na liście połączeń w trayu Windowsa.
Chyba, że jest jakaś opcja, żeby go w trayu Windowsa umieścić, aby się go włączało tak samo, jak PPTP.
Także chyba będzie SSTP.

PS2:
Idę się jutro pomodlić o likwidację Ipv4 i tych pierdolonych NATów, czyli wdrożenie obowiązkowo Ipv6 bez NAT wszystkich publicznych usługach internetowych. xD

Pozdro #2

Ostatnio edytowany przez Jacekalex (2019-08-22 09:08:59)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#2  2019-08-21 23:12:24

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: [+]Połączenie PPTP Linux <=> Microtic.

MikroTik* resztę przeczytam później ;)


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Online

 

#3  2019-08-21 23:33:29

  urbinek - Użytkownik

urbinek
Użytkownik
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: [+]Połączenie PPTP Linux <=> Microtic.

ppto to bardzo średni sposób tunelowania, z natywnych to polecam ipsec z ike v2, powinno być juz wsparcie z win 10


co do problemu pokaż konfigurację interfejsów i bridga, powinieneś mieć tam ustawione proxy-arp


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Online

 

#4  2019-08-22 01:40:16

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: [+]Połączenie PPTP Linux <=> Microtic.

urbinek napisał(-a):

ppto to bardzo średni sposób tunelowania, z natywnych to polecam ipsec z ike v2, powinno być juz wsparcie z win 10


co do problemu pokaż konfigurację interfejsów i bridga, powinieneś mieć tam ustawione proxy-arp

Ipsec się nie nadaje do NAT,  dostęp musi być również z hotspotów (2 lapki i 2 smartfony/tablety),
pomijam sieci LTE, gdzie blokują ruch przychodzący do sieci.
Ewentualnie Ipseciem mogę zestawić połączenie z biura wtedy EdgeOS będzie się sam awanturował z RouterOS.
Obie lokalizacje mają publiczne IP, ale  w obu lepiej się sprawdzi OpenVPN albo tunel SSH.
Zobaczę, który ma skuteczniejszy tryb keep-alive i szybszy reconnect.

PPTP nie jest średni tylko chujowy, powalczę z SSTP, o ile coś dodatkowo zarobię na zabawie certyfikatami.
SSTP wymaga CA i CRL.

Z konfiguracją PPTP już sobie poradziłem, wystarczyło zmienić adresy VPN na 192.168.89.0/24 i wrzucić maskaradę 192.168.89.0.24 na 192.168.88.0/24.

Czyli dokładnie to samo, co robi ppp profil default-encryption.

Nie wiem jeszcze, jak wyczarować, żeby PPTP dodawał prawidłowy routing po stronie pacjenta,
na Gentusiu muszę sam dodać trasę:

Kod:

ip route add 192.168.88.0/24 dev ppp0 proto kernel scope link src 192.168.89.205

Jutro zobaczę na Windowsach 7/10, chociaż tam włączenie VPN skutkowało dodaniem routingu default czyli 0.0.0.0/0 przez VPN, automatycznie cały net szedł do VPN.
To na Windows 10, na Windows 7 zobaczę jutro.

Działa na takich ustawieniach (w Gentusiu):

Kod:

/ip pool
add name=dhcp ranges=192.168.88.20-192.168.88.200
add name=PPTP-Pool ranges=192.168.89.0-192.168.89.249

/interface pptp-server server
set authentication=mschap2 default-profile=PPTP-Profile enabled=yes mrru=1500

/ppp secret
add local-address=192.168.89.1 name=biuro password={hasełko} profile=PPTP-Profile \
    remote-address=192.168.89.203 service=pptp

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24

Jest wjazd do wszystkich 2 urządzeń w LAN (monitoring i "router" do zamków elektronicznych).
Jest jeszcze wifi dla gości, ale to już nie moja bajka na razie ma zostać jak jest.

Ale poza tym kiepsko oceniam Microtika, plastikowa obudowa bez uziemienia, dotego RouterOS się konfiguruje zauważalnie gorzej niż EdgeOS, 2:0 dla Ubiguiti EdgeRouter X.
Microtik może kiedyś wygrywa tylko wsparciem dla Wifi mesh w Capsmanie, o ile Szefowi wąż w kieszeni pozwoli wydać kasę na 2 microtikowe  CAP AC.

Na razie Microtik daje wifi 2.4Ghz a jakiś reaper Tplinka go przekazuje dalej i dodaje wifi 5 Ghz, chodzi to dosyć chujowo,
bo pasmo 2.4 Ghz jest zapchane jak beczka śledzi.
Rezultat? net na światłowodzie, a po wifi ledwo 40Mbps wyciąga zamiast około 100,
i to 4 metry od Microtika bez żadnych ścian po drodze, niezależnie od częstotliwości.

Pozdro

Ostatnio edytowany przez Jacekalex (2019-08-22 09:09:52)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)