[ notebookFun @ 28.01.2018. 22:40 ] @
Nece nikako da prodje konekcija sa udaljenim korisnikom. Online port check kaze da je port 1723 otvoren na javnoj IP u mikrotik logu vidim da udaljeni korisnik pokusava da se poveze na VPN ali ga ne prihvata nikako.

Username i pass sam stavio radi testa, adrese sam malo maskirao. Sa ovog rutera imam izlaz na net i radim mi remote desktop ali VPN nikako. Gasio sam sve filtere i probavao mnoge kombinacije i nista :(
Primjetio sam nesto cudno na interface od PPP Server Port:unknown



Code:
# jan/28/2018 23:28:38 by RouterOS 6.41
# software id = FU6S-0IZK
#
# model = RouterBOARD 750G r3
# serial number = 6F38083EA2B7
/interface bridge
add fast-forward=no name=bridge-voip protocol-mode=none
/interface vlan
add interface=ether5 name=vlan101 vlan-id=101
add interface=ether1 name=vlan2626 vlan-id=2626
add interface=ether1 name=vlan3100 vlan-id=3100
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge-voip interface=vlan2626
add bridge=bridge-voip interface=vlan101
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface pptp-server server
set enabled=yes
/ip address
add address=212.200.XXX.214/30 interface=vlan3100 network=212.200.XXX.212
add address=192.168.11.100/24 interface=ether5 network=192.168.11.0
add address=212.200.XXX.161/29 interface=vlan3100 network=212.200.XXX.160
/ip dhcp-server
add address-pool=pool11 disabled=no interface=ether5 name=server11
/ip dhcp-server lease
add address=192.168.11.116 mac-address=6C:F0:49:10:04:D0
/ip dhcp-server network
add address=192.168.11.0/24 dns-server=192.168.11.100 gateway=192.168.11.100
/ip dns
set allow-remote-requests=yes cache-max-ttl=10m servers=8.8.8.8
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input src-address=192.168.11.0/24
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input protocol=icmp
add action=drop chain=input disabled=yes
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward src-address=192.168.11.0/24
add action=accept chain=forward protocol=icmp
add action=accept chain=forward dst-address=192.168.11.200
add action=drop chain=forward disabled=yes
add action=accept chain=input dst-port=1723 protocol=tcp
/ip firewall nat
add action=src-nat chain=srcnat disabled=yes dst-address=10.0.0.34 \
    src-address=192.168.11.200 to-addresses=10.1.23.190
add action=dst-nat chain=dstnat disabled=yes src-address=10.0.0.34 \
    to-addresses=192.168.11.200
add action=src-nat chain=srcnat src-address=192.168.11.0/24 to-addresses=\
    212.200.105.161
add action=dst-nat chain=dstnat dst-port=3389 protocol=tcp to-addresses=\
    192.168.11.15 to-ports=3389
/ip firewall service-port
set sip disabled=yes
/ip pool
add name=pool11 next-pool=pool11 ranges=192.168.11.100-192.168.11.200
/ip route
add check-gateway=ping distance=1 gateway=212.200.XXX.213 pref-src=\
    212.200.XXX.161
add check-gateway=ping disabled=yes distance=1 dst-address=10.0.0.34/32 \
    gateway=10.1.23.189
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
/ppp secret
add local-address=192.168.11.21 name=test password=test123 remote-address=\
    192.168.11.22
/system clock
set time-zone-name=Europe/Belgrade
/system leds
add interface=bridge-voip leds=user-led type=interface-activity
/system routerboard mode-button
set enabled=no on-event=""

[ notebookFun @ 28.01.2018. 23:30 ] @
Ukljucio sam Debug na PPTP i dobijam ovo kad probam da se konektujem. Provajder je telekom i optika je u pitanju, preko nje dolaze i telefoni (VLAN). Da li je moguce da me provajder blokira?

Code:
jan/29 00:25:21 pptp,ppp,debug,packet  <23>: rcvd LCP ConfReq id=0x3 
jan/29 00:25:21 pptp,ppp,debug,packet    <mru 1400> 
jan/29 00:25:21 pptp,ppp,debug,packet    <magic 0x30610d44> 
jan/29 00:25:21 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:21 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:21 pptp,ppp,debug,packet    <callback 0x06> 
jan/29 00:25:21 pptp,ppp,debug,packet  <23>: sent LCP ConfRej id=0x3 
jan/29 00:25:21 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:21 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:24 pptp,ppp,debug <23>: LCP timer 
jan/29 00:25:24 pptp,ppp,debug,packet  <23>: sent LCP ConfReq id=0x6 
jan/29 00:25:24 pptp,ppp,debug,packet    <mru 1450> 
jan/29 00:25:24 pptp,ppp,debug,packet    <magic 0x23aa1cf6> 
jan/29 00:25:24 pptp,ppp,debug,packet    <auth  mschap2> 
jan/29 00:25:25 pptp,ppp,debug,packet  <23>: rcvd LCP ConfReq id=0x4 
jan/29 00:25:25 pptp,ppp,debug,packet    <mru 1400> 
jan/29 00:25:25 pptp,ppp,debug,packet    <magic 0x30610d44> 
jan/29 00:25:25 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:25 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:25 pptp,ppp,debug,packet    <callback 0x06> 
jan/29 00:25:25 pptp,ppp,debug,packet  <23>: sent LCP ConfRej id=0x4 
jan/29 00:25:25 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:25 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:29 pptp,ppp,debug,packet  <23>: rcvd LCP ConfReq id=0x5 
jan/29 00:25:29 pptp,ppp,debug,packet    <mru 1400> 
jan/29 00:25:29 pptp,ppp,debug,packet    <magic 0x30610d44> 
jan/29 00:25:29 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:29 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:29 pptp,ppp,debug,packet    <callback 0x06> 
jan/29 00:25:29 pptp,ppp,debug,packet  <23>: sent LCP ConfRej id=0x5 
jan/29 00:25:29 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:29 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:32 pptp,ppp,debug <23>: LCP timer 
jan/29 00:25:32 pptp,ppp,debug,packet  <23>: sent LCP ConfReq id=0x7 
jan/29 00:25:32 pptp,ppp,debug,packet    <mru 1450> 
jan/29 00:25:32 pptp,ppp,debug,packet    <magic 0x23aa1cf6> 
jan/29 00:25:32 pptp,ppp,debug,packet    <auth  mschap2> 
jan/29 00:25:33 pptp,ppp,debug,packet  <23>: rcvd LCP ConfReq id=0x6 
jan/29 00:25:33 pptp,ppp,debug,packet    <mru 1400> 
jan/29 00:25:33 pptp,ppp,debug,packet    <magic 0x30610d44> 
jan/29 00:25:33 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:33 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:33 pptp,ppp,debug,packet    <callback 0x06> 
jan/29 00:25:33 pptp,ppp,debug,packet  <23>: sent LCP ConfRej id=0x6 
jan/29 00:25:33 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:33 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:37 pptp,ppp,debug,packet  <23>: rcvd LCP ConfReq id=0x7 
jan/29 00:25:37 pptp,ppp,debug,packet    <mru 1400> 
jan/29 00:25:37 pptp,ppp,debug,packet    <magic 0x30610d44> 
jan/29 00:25:37 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:37 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:37 pptp,ppp,debug,packet    <callback 0x06> 
jan/29 00:25:37 pptp,ppp,debug,packet  <23>: sent LCP ConfRej id=0x7 
jan/29 00:25:37 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:37 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:41 pptp,ppp,debug,packet  <23>: rcvd LCP ConfReq id=0x8 
jan/29 00:25:41 pptp,ppp,debug,packet    <mru 1400> 
jan/29 00:25:41 pptp,ppp,debug,packet    <magic 0x30610d44> 
jan/29 00:25:41 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:41 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:41 pptp,ppp,debug,packet    <callback 0x06> 
jan/29 00:25:41 pptp,ppp,debug,packet  <23>: sent LCP ConfRej id=0x8 
jan/29 00:25:41 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:41 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:44 pptp,ppp,debug <23>: LCP timer 
jan/29 00:25:44 pptp,ppp,debug,packet  <23>: sent LCP ConfReq id=0x8 
jan/29 00:25:44 pptp,ppp,debug,packet    <mru 1450> 
jan/29 00:25:44 pptp,ppp,debug,packet    <magic 0x23aa1cf6> 
jan/29 00:25:44 pptp,ppp,debug,packet    <auth  mschap2> 
jan/29 00:25:45 pptp,ppp,debug,packet  <23>: rcvd LCP ConfReq id=0x9 
jan/29 00:25:45 pptp,ppp,debug,packet    <mru 1400> 
jan/29 00:25:45 pptp,ppp,debug,packet    <magic 0x30610d44> 
jan/29 00:25:45 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:45 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:45 pptp,ppp,debug,packet    <callback 0x06> 
jan/29 00:25:45 pptp,ppp,debug,packet  <23>: sent LCP ConfRej id=0x9 
jan/29 00:25:45 pptp,ppp,debug,packet    <pcomp> 
jan/29 00:25:45 pptp,ppp,debug,packet    <accomp> 
jan/29 00:25:49 pptp,debug,packet rcvd Call-Clear-Request from 87.116.XXX.7 
jan/29 00:25:49 pptp,debug,packet     call-id=35005 
jan/29 00:25:49 pptp,ppp,debug <23>: LCP lowerdown 
jan/29 00:25:49 pptp,ppp,debug <23>: CCP close 
jan/29 00:25:49 pptp,ppp,debug <23>: BCP close 
jan/29 00:25:49 pptp,ppp,debug <23>: IPCP close 
jan/29 00:25:49 pptp,ppp,debug <23>: IPV6CP close 
jan/29 00:25:49 pptp,ppp,debug <23>: MPLSCP close 
jan/29 00:25:49 pptp,ppp,debug <23>: LCP lowerdown 
jan/29 00:25:49 pptp,ppp,debug <23>: LCP down event in starting state
[ valjan @ 29.01.2018. 08:15 ] @
Jesi li dozvolio gre protokol u firewallu? Nešto ga ne vidim na spisku?
[ bachi @ 29.01.2018. 15:27 ] @
Da, gre obavezno, a razmisli o prelasku sa pptp na openvpn ili sstp.
[ notebookFun @ 29.01.2018. 16:14 ] @
Odobravao sam i gre (47) i nije radilo...
[ valjan @ 29.01.2018. 17:05 ] @
Bez gre svakako neće raditi... E sad znam da radi bez problema na Telekom VDSL linku, prošle godine sam namestio kod jednog klijenta i radilo je dok nisu prešli na SBB kablovski net, za optiku nemam pojma da li radi ili ne...
[ bachi @ 30.01.2018. 08:13 ] @
Da li je i kod udaljenog korisnika omogućen GRE, pošto mora i kod njega, ne samo na serveru?

Ako ima neki krš ruter, vidi da li je uključen vpn passthru.

Zbog ovakvih problema, OpenVPN i SSTP i jesu bolje rešenje, jer je potrebno samo otvoriti jedan port na MT ruteru, a kod klijenta ama baš ništa dodatno oko firewalla ne mora da se podešava, na stranu što pptp uopšte više nije bezbedan protokol.
[ notebookFun @ 30.01.2018. 23:51 ] @
Citat:
bachi: Da li je i kod udaljenog korisnika omogućen GRE, pošto mora i kod njega, ne samo na serveru?

Ako ima neki krš ruter, vidi da li je uključen vpn passthru.

Zbog ovakvih problema, OpenVPN i SSTP i jesu bolje rešenje, jer je potrebno samo otvoriti jedan port na MT ruteru, a kod klijenta ama baš ništa dodatno oko firewalla ne mora da se podešava, na stranu što pptp uopšte više nije bezbedan protokol.




Nemam sa druge strane client mikrotik ruter za VPN, pokusavao sam ostvariti konekciju iz Windows-a. Probao sam sa vise udaljenih lokacija i ne prolazi...
[ npero @ 31.01.2018. 06:35 ] @
Podesao sam ovo za 5-6 firmi radi to bez problema.
Ono sto mozes da pokusas ali ne bi trebalo da bude uslov jeste da se konektujes na adrese koje si dobio iz WAN opsega ne onu koja je peer prema Telekomu, pise ti tamo u mailu koji si dobio od njih.
Ukoliko i dalje nece treba pregledati podesavanja na Mikoriku, posto to sigurno radi kazem imam 5-6 firmi koje sam konfigurisao indenticne konfiguracije kao tvoja i nema problema. Klijenti su Windows racunari ili drugi Mikrotik, Andorid, dok u iOS nema podrske za PPTP ukinuta zabog sigurnosti tu radi L2TP.

Garantujem da nesto si preskocio nesto u podesavanjima, treba sesti pola sata polako na miru proci kroz sve i radice, realno ovo je klasika nema nista specijalno.
[ bachi @ 31.01.2018. 09:02 ] @
Citat:
notebookFun:
Citat:
bachi: Da li je i kod udaljenog korisnika omogućen GRE, pošto mora i kod njega, ne samo na serveru?

Ako ima neki krš ruter, vidi da li je uključen vpn passthru.

Zbog ovakvih problema, OpenVPN i SSTP i jesu bolje rešenje, jer je potrebno samo otvoriti jedan port na MT ruteru, a kod klijenta ama baš ništa dodatno oko firewalla ne mora da se podešava, na stranu što pptp uopšte više nije bezbedan protokol.




Nemam sa druge strane client mikrotik ruter za VPN, pokusavao sam ostvariti konekciju iz Windows-a. Probao sam sa vise udaljenih lokacija i ne prolazi...

Nema veze što nije kod klijenta Mikrotik. Možda je TP-Link ili neki treći i vidi da li je na tom ruteru štiklirana opcija VPN passthru ili tako nešto. Kod mene je ovako i po defaultu je uključeno, ali svakako treba proveriti.

Takođe što neko reče. pogledaj konfiguraciju na MT ispočetka na tenane.

Nego, što forsiraš PPTP, radoznao sam? Što baš PPTP?
[ notebookFun @ 31.01.2018. 16:12 ] @
Citat:
npero:
Podesao sam ovo za 5-6 firmi radi to bez problema.
Ono sto mozes da pokusas ali ne bi trebalo da bude uslov jeste da se konektujes na adrese koje si dobio iz WAN opsega ne onu koja je peer prema Telekomu, pise ti tamo u mailu koji si dobio od njih.
Ukoliko i dalje nece treba pregledati podesavanja na Mikoriku, posto to sigurno radi kazem imam 5-6 firmi koje sam konfigurisao indenticne konfiguracije kao tvoja i nema problema. Klijenti su Windows racunari ili drugi Mikrotik, Andorid, dok u iOS nema podrske za PPTP ukinuta zabog sigurnosti tu radi L2TP.

Garantujem da nesto si preskocio nesto u podesavanjima, treba sesti pola sata polako na miru proci kroz sve i radice, realno ovo je klasika nema nista specijalno.


Ja sam podesio za jedno 10 firmi na isti nacin i kod njih radi.
@bachi

Ne forsiram ali me nervira jer kod drugih mi firmi radi. Znatizeljan sam sto ne radi. Na kraju cu staviti SSTP...
Na klijentima imam samo SBB neke nove rutere sa 4 lan i 2 telefonska izlaza, mislim da u njima nema Passthrough.
[ npero @ 31.01.2018. 17:36 ] @
Pregledaj ti konfig opet za svaki slucaj prevideo si nesto sigurno. Ili napravi neki usr i pass pa cu pogledati mora to da radi.
Passthrough ako me pamcenje dobro sluzi u sustini bi trebalo da bude helper koji pravilo markira gre pakete ako postoji vise konekcija prema PPTP iza NAT sa jednom konekcijom prema jednom serveru bi trebalo da prolazi i bez te opcije.
[ laminator @ 31.01.2018. 23:36 ] @
SBB je sa novom verzijom firmware na modemima od prosle godine zatvorio PPTP ili GRE protokol (sta god).
Zovi ih i insistiraj ili da vrate stare verziju software-a na modemu (routeru) ili da otvore PPTP 1723 i GRE protokol.
Probaj sa istim userom da se nakacis i vidi da li radi i onda zovi SBB.
Ali problem je u SBB-u , imao sam isti problem .
[ npero @ 01.02.2018. 05:39 ] @
Ja koristim upravo SBB modem je EPC3928S i dok ovo pisem sam nakacen na VPN na Mikrotik koji je na telekomu u toku dana promenim i po par VPN konekcija koje se nalaze na Telekomu, Orionu,SBB i inostranstvo u zavisnosti od potreba i sve radi preko SBB a jos sam na SBB iza NAT.
Takodje koristim PPTP preko UniFi sve radi takodje.
[ notebookFun @ 01.02.2018. 22:47 ] @
Ipak je do SBB-a! Danas sam pokusavao sa vise operativnih sistema da se povezeme (Ubuntu, Win7, 8, 10) i nije moglo. Povezem se na Unifi i prodje odmah! Mada je i unifi njihov ali izgleda nisu na njemu blokirali... Poslao sam im email da vidim da li su blokirali PPTP. U svakom slucaju cu preci na SSTP


[ Joja82 @ 02.02.2018. 07:46 ] @
Jedno pitanje, a zasto ne probas IPSEC?
[ bachi @ 02.02.2018. 08:43 ] @
IPSec za udaljene korisnike? Ne bih ja to..

Site2Site da, ali za pojedinačne udaljene korisnike je OpenVPN/SSTP keva.