Ovde su u igri 2 MT rutera?
Za tog treceg user-a sa Win kutijom kreiraj poseban ppp profile na PPTP serveru sa local i remote adresom izvan tih opsega (stavi npr local: 172.16.16.1 remote: 172.16.16.2)
Trebace ti i na MT koji je PPTP client i odgovarajuca staticka rutea, kako bi korisnici mogli da dohvate adresu 172.16.16.2.

Da u igri su 2 MT-a. Jedan je PPTP-client a drugi je PPTP-server. Ako kreiram PPP profile za juzera sa win kutijom sa remote i local adresama 172.16.16.xxx , potrebno mi je da ta kutija pristupa racunarima u oba intraneta. Da li to znaci da moram da kreiram staticke rute na oba MT-a prema 172.16.16.xxx?

P.S. Ako na pptp-server ruteru budem ugradio dve lan karte da odvojim dva lan segmenta, recimo 192.168.2.xxx i 192.168.3.xxx, da li postoje neke acl liste slicno cisco opremi koja ce zabraniti da te dve podmreze komuniciraju.

_{[Ovu poruku je menjao frogman dana 11.12.2009. u 12:29 GMT+1]}

Staticka ruta za 172.16.16.xxx ti treba samo na MT PPTP klijentu.

Te acl liste se na MT kreiraju u:
/ip firewall filter

Za konkretnu i totalnu zabranu komunikacije izmedju tih mreza:

/ip firewall filter
add chain=forward action=drop src-address=192.168.0.0/16 dst-address=192.168.0.0/16

Da vec sam kreirao staticku rutu na MT PPTP klijentu za 172.16.16.xxx i spojio sam uredno dva intraneta. Kada sam napravio novu PPTP konekciju koja je namenjena za XP kutiju, kojoj sam dodelio 172.100.100.1 i 172.100.100.2 za local i remote adresu. Upucao sam na xp kutiji rutu "route add 192.168.5.0 mask 255.255.255.0 172.100.100.2 -p" i samim tim uspjesno pingam sve racunaru u 192.168.5.xxx podmrezi koja se nalazi iza MT-a koji je PPTP server, ali sad mi je potrebno jos i da pristupim racunarima koji se nalaze u podmrezi 192.168.2.xxx koja se nalazi iz MT koji je PPTP-klijent?

Hvala za sve ovo do sada.

P.S. kako ograniciti PPP secret konekciju na samo jednog juzera istovremeno konektovanog sa tim password-om i imenom ?

Na MT PPTP klijentu ti treba staticka ruta za 172.100.100.2, cemu ce ti ruta za 172.16.16.xxx kada koristis druge adrese za local i remote.



u ppp profile podesi parametar
only-one=yes


Procitaj malo manual, ovo su skroz low level stvari sto pitas.

OK za PPP profil si u pravu - RTFM :)

172.16.16.1 i 172.16.16.2 su adrese kojim spajam dva MT-a. 172.100.100.1. i 172.100.100.2 su mi adrese XP juzera. Kada se authentifikuje xp juzer on dobije ip 172.100.100.2 i kada njemu dodam staticku rutu (jer bez nje mi ping ne prolazi) za 192.168.5.xxx preko gw-a 172.100.100.1 onda uspjesno pingam te 192.168.5.xxx podmrezu, e sad mi jos treba i ruta prema 192.168.2.xxx podmrezi koja je iz MT klijenta cija je IP iz pptp tunela prema server 172.16.16.2.

P.S. Malo sam zakomplikovao :)

Na MT PPTP Klijentu:

/ip route
add dst-address=172.100.100.2/32 gateway=172.16.16.1

Ok. Setovacu tu rutu i verujem sad da je to to. XP kutija ima rutu za metrikom 1 za pptp server lan, i sad ovo sto si napisao to je ruta za mt pptp klijenta koji vec ima rutu : /ip route add dst-address=192.168.5.xxx/32 gateway=172.16.16.1 , a ova nova ruta ce omoguciti njemu putem 2 hopa da ima saobracaj nazad prema XP kutiji.

Javim se kad upucam.

juzeri 192.168.2.xxx ---> pptp klijent MT ----> PPTP WAN <------Server pptp MT <----- 192.168.0.xxx CCTV & 192.168.1.xxx LAN

Na obe lokacije je ADSL konekcija. PPTP server i klijent uredno se konektuju i rute koje sam okacio na slikama rade uredno. Problem koji imam je da ne mogu da
pingam nista iz 192.168.0.xxx podmreze kada se nakacim i preko pptp konekcije ili udaljeno na MT PPTP server putem winbox konzole, par uredjaja koji imaju staticke adrese iz opsega 192.168.0.xxx uredno izlaze napolje na internet ali ja ne mogu da ih pingam, jedino mi se javlja 192.168.0.1 (CCTV lan interfejs rutera).

My bad! Nisam proverio hosta na 192.168.0.xxx podmrezi ,imao je lokalni firewall enable-ovan, sad radi ok.
Iskljucio sam kompresiju i ukljucio PAP authentifikaciju da bih sto manje smanjio overhead u saobracaju. Znam da ako izvucem preko 80% veze
kroz VPN to je ok, premda su ovde perfomanse nize.

Ako neko ima koji savjet kako iskoristiti max bandwith kroz VPN izmedju MT-ova gdje je sigurnost nebitna, dobro bih mi dosao u ovom scenariju.

Unapred zahvalan.

Poz.
Dodao sam jos jedan MT cija je lan podmreza 192.168.3.0/24. Kreirao sam jos jedan profil sa 172.16.16.3 i 172.16.16.4 local i remote adresama.
Kada dodam staticke rute na novom MT prema podmrezama 192.168.0.0/24 i 192.168.0.1/24 koje se nalaze na centralnom MT-u koji je PPTP server onda uredno komuniciraju intranet 192.168.3.0/24 i 192.168.1.0/24 i 192.168.0.0/24.
Problem nastaje kada zelim da izrutiram podmrezu 192.168.2.0/24 i 192.168.3.0/24 paketi ne prolaze.
Na MT-u ciji je lan 192.168.2.0/24 upucavam rutu prema podmrezi 192.168.3.0/24 putem pptp-out1 remote adrese tunela 172.16.16.1 (istu koristim i prema podmrezi 192.168.0.0 i radi) i takodjer na MT-u ciji je lan 192.168.3.0 upucavam rutu prema podmrezi 192.168.2.0/24 preko tunel adrese 172.16.16.3 i paketi ne prolaze.
Zelim da ostale dve lokacije koji su pptp klijenti medjusobno komuniciraju.

Gdje gresim ?

Sa MT3 traceroute na MT2:
[admin@MikroTik] tool> traceroute 192.168.2.1
ADDRESS STATUS
1 172.16.16.3 39ms 54ms 37ms
2 0.0.0.0 timeout timeout timeout
3 0.0.0.0 timeout timeout timeout
4 0.0.0.0 timeout timeout timeout

Sa MT2 traceroute na MT3:
[admin@MikroTik] tool> traceroute 192.168.3.1
ADDRESS STATUS
1 172.16.16.1 28ms 23ms 21ms
2 0.0.0.0 timeout timeout timeout
3 0.0.0.0 timeout timeout timeout
4 0.0.0.0 timeout timeout timeout

Mali diagram

Ovo bi trebalo da radi, koliko vidim rute su dobre.
Probaj da trace-ujes ovako:

Sa MT3 traceroute na MT2:
[admin@MikroTik] tool> traceroute 192.168.2.1 src-address=192.168.3.1


Sa MT2 traceroute na MT3:
[admin@MikroTik] tool> traceroute 192.168.3.1 src-address=192.168.2.1