preusmerivanje pptp na lokalni mikrotik

[ blagkom @ 29.07.2012. 13:23 ] @

Imam linksys ruter koji mi radi nat i sada sam u lokalnu mrezu prikljucio mikrotik da bude vpn server. Podesio sam pptp server, i linksys ruter mi prosledjuje tcp 1723 port na lokalni interfejs mikrotika. Medjutim ne mogu da uspostavim konekciju preko pptp klijenata. Probao sam i da uradim dmz sa linksysa na mikrotik, ali problem ostaje isti. Inace u lokalnu se pptp radi najnormalnije, tako da sam podesio pptp server ispravno.

Naisao sam na netu da moguce nat pravi problem, i da pptp u principu koristi pored tcp porta 1723 i gre 47 protokol. Da li je neko od vas imao slicnih problema.

[ dragansar @ 29.07.2012. 15:22 ] @

Stavis MT da radi NAT i rijesen problem.

[ anon115774 @ 30.07.2012. 09:12 ] @

Odakle pokusavas da uspostavis vpn vezu?

Meni PPTP uglavnom ne prolazi sa javnih mesta jer GRE ne prolazi vec je podeseno da propusta samo tcp 80 i 443 i nista vise. Ako ti je na klijentskoj strani windows xp sp3 ili 7 onda bolje podigni SSTP server jer on radi preko tcp 443 i prolazi svuda.

[ blagkom @ 30.07.2012. 19:02 ] @

Citat:

Informer:
Odakle pokusavas da uspostavis vpn vezu?

Meni PPTP uglavnom ne prolazi sa javnih mesta jer GRE ne prolazi vec je podeseno da propusta samo tcp 80 i 443 i nista vise. Ako ti je na klijentskoj strani windows xp sp3 ili 7 onda bolje podigni SSTP server jer on radi preko tcp 443 i prolazi svuda.

Na klijentskoj strani su mi od Windows-a 7 do Linux masina tako da bi mi zato bio problem SSTP. Svi klijenti su naravno iza nata, pa koliko razumem to moze da pravi problem, ako dolazi vise klijenata sa iste natovane adrese do pptp servera. Sa druge strane Mikrotik je trenutno isto iza nat-a, pa se plasim da to nije problem, da se negde dobro ne prosledjuje gre protokol do njega.

[ bmarkovic06 @ 31.07.2012. 08:45 ] @

Meni je DMZ resavao problem u ovakvim situacijama, samo umesto linksys rutera stoji hg530. Na hg530 DMZ na MT i na MT propustis TCP i GRE i to je to. Nije potrebno da propustas TCP port 1723 na linksys ruteru, samo DMZ a na MT stavis

/ip firewall filter add chain=input action=accept protocol=tcp in-interface="Tvoj wan interfejs" dst-port=1723
/ip firewall filter add chain=input action=accept protocol=gre

[ blagkom @ 31.07.2012. 20:34 ] @

Citat:

bmarkovic06:
Meni je DMZ resavao problem u ovakvim situacijama, samo umesto linksys rutera stoji hg530. Na hg530 DMZ na MT i na MT propustis TCP i GRE i to je to. Nije potrebno da propustas TCP port 1723 na linksys ruteru, samo DMZ a na MT stavis

/ip firewall filter add chain=input action=accept protocol=tcp in-interface="Tvoj wan interfejs" dst-port=1723
/ip firewall filter add chain=input action=accept protocol=gre

probao sam sa DMZ-om jos pre i to ne radi. On forwarduje kompletan dolazni saobracaj sa interneta, a ne pojedinacne portove. Ubedjen sam da stavim linksys u bridge mod, i povezem linksys na wan da bi to radilo, a da je ovde problem nat.

kako je tebi povezan hg530 sa mikrotikom, koji port koristis wan ili lan. ako koristis lan u istom su mreznom opsegu, ukoliko koristis wan port onda iza mikrotika imas dupli nat.

[ bmarkovic06 @ 01.08.2012. 00:12 ] @

Citat:

DMZ prosledjuje apsolutno sve.

Citat:

kako je tebi povezan hg530 sa mikrotikom, koji port koristis wan ili lan. ako koristis lan u istom su mreznom opsegu, ukoliko koristis wan port onda iza mikrotika imas dupli nat.

Hmmmm ovde te ne kapiram.... HG530 nema WAN port, msm wan port mu je DSL. Kako mogu biti u istom mreznom ospegu kad koristim drugu mrezu na MT. Koristim HG530 kao obican ADSL modem gde je WAN ustvai DSL a iz LAN-a mi ide kabal u WAN port od mikorika. Imam dupli nat i to je to. Pre toga mi je HG bio u bridge modu pa sam pravio pppoe direktno sa MT.

Hajde uradi /ip firewall filter print
i okaci nam print da vidimmo sta si uradio.

[ blagkom @ 01.08.2012. 09:25 ] @

Jasno mi je sta si uradio. Ali kod mene je mikrotik povezan na linksys ruter ne preko wan porta, vec preko lana. tako da su na istom mreznom opsegu (linksys 192.168.1.1 a mikrotik 192.168.1.2).
fw mikrotika me ne sece, jer on blokira podrazumevano samo wan port, a ja forwardujem sve na lan.

[ bmarkovic06 @ 02.08.2012. 09:08 ] @

Mislim da to sto si uradio nije dobra stvar... Na mikrotiku svaki port moze biti wan ne samo koji je prvi. Ovo sto si ti uradio je nateralo MT da radi kao switch a ne kao ruter ako se ne varam.

[ blagkom @ 02.08.2012. 10:59 ] @

Pa mogao sam da uradim isto sto i ti, pa da mi HG530 prosledjuje saobracaj na mikrotik koji onda ima ulogu rutera, i da klijenti iza njega budu iza duplog nata. Izabrao sam da mi sve bude jedan mrezni opseg i da mikrotik trenutno radi samo kao vpn server, a da linksys ostane gateway. Mikrotik ce rutirati izmedju vpn mreznog opsega ka lokalnoj mrezi i obratno. Znaci radi kao ruter iako ima fizicki samo jedan interfejs (port) koji je aktivan. Ne vidim u toj konfiguraciji nista nelogicno.

Jedino je greota u celoj koncepciji to sto ne iskoriscavam dobar deo mogucnosti mikrotika, koje bih mogao koristiti da mi je on default gw, ali trenutno nisam u situaciji da radim takve pretumbacije.

[ bmarkovic06 @ 02.08.2012. 12:08 ] @

Pa ne znam sto ti je problem dupli nat kad radis dmz na MT. Msm ja nikada nisam imao problema sa takvom konfiguracijom. Iako mi je bilo mnogo bolje dok sam radio pppoe na mt direktno. Ali ni ovako nije lose barem zbog vpn-a. Al dobro ako ti je to cimanje onda uzmi pa probaj ovako.

U firewall filter kad dodajes rule onda stavi za in interface taj Lan interfejs kako za tcp 1723 tako i za gre protokol. I kao dst address stavi adresu 0.0.0.0/0 cisto da prihvata konekcije sa svih adresa.

Hajde stavi print od ip firewall filter cisto da pogledamo sta si tu odradio.

[ blagkom @ 02.08.2012. 16:32 ] @

Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp

1 ;;; default configuration
chain=input action=accept connection-state=established

2 ;;; default configuration
chain=input action=accept connection-state=related

3 ;;; default configuration
chain=input action=drop in-interface=ether1-gateway

evo konfiguracije fw-a, ali ne sece ga fw, ja se telnetujem po portu 1723 spolja. fw blokira samo wan interfejs