Synology + Mikrotik VPN routing - Netwerken

vrijdag 29 november 2013 15:18

Acties:

IT Security Nerd

Topicstarter

Hallo medetweakers,
Ik heb op een MikroTik RB2011UAS (RouterOS 6.5) een PPTP server opgezet. Vanuit een Synology NAS op andere locatie moet er met deze VPN verbonden worden. DIt gaat prima. Echter kan ik vanuit de server op de 'hoofdlocatie' de synology NAS niet bereiken, de MikroTIk kan echter wel naar de client pingen, andersom niet.
Met een tweede user ben ik op de VPN ingelogd met mijn laptop, deze kan ook niet pingen naar de NAS, maar wel naar de MikroTik, server, e.d.

Ik heb alle instellingen driedubbel nagekeken en ik snap nu toch echt niet meer waar het aan kan liggen. Misschien iemand die een tip heeft

?

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

vrijdag 29 november 2013 22:50

Acties:

WoLFjuh

Het zou helpen als je je config (alleen de settings die er toe doen) zou posten.

Het ligt er namelijk vooral aan hoe je de PPTP service wil gebruiken: routed of bridged (BCP). Indien het hebt gekozen voor het laatste dan is het waarschijnlijk dat je in de bridge-group van je 'hoofdlocatie' proxy-arp hebt vergeten aan te zetten. Maar dat is speculeren want ik ken je setup niet

Verder, MikroTik FTW!

[ Voor 0% gewijzigd door WoLFjuh op 29-11-2013 23:01 . Reden: typo: uitzetten -> aanzetten ]

vrijdag 29 november 2013 22:54

Acties:

CyBeR

💩

Proxy ARP aangezet?

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 29 november 2013 23:23

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Proxy ARP staat aan, het meest logische leek mij om dit op de bridge interface aan te zetten in ieder geval

dus daar staat ie op.

Hier m'n config export: http://rubenkrauth.nl/misc/export.rsc

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

zondag 1 december 2013 12:47

Acties:

WoLFjuh

Als ik naar je config kijk dan lijkt het er op dat je wat dingen hebt aangezet maar niet de configuratie sluitend hebt gemaakt.

Voor een configuratie met bridging zal je een ppp profiel moeten aanmaken met een paar belangrijke settings:

- De bridge-group waar je pptp verbinding naartoe moet bridgen, voor jou: bridge-local
- Een local address, kies voor het gemak het ip adres van je router in bridge-local: 10.0.0.1
- De address-pool van de dhcp-server die op bridge-local draait, in jouw geval: dhcp_asten01_def

Als je dit profiel hebt aangemaakt dan koppel je dit profiel of als default profile voor pptp of als profile aan je gebruiker (ppp secrets).

In vrijwel alle voorbeelden op google hoe een pptp server op te zetten wordt gebruik gemaakt van een profile, ik snap dan ook even niet hoe je bij deze setup bent gekomen.

zondag 1 december 2013 13:37

Acties:

Rolfie

ShadowAS1 schreef op vrijdag 29 november 2013 @ 15:18:
Ik heb op een MikroTik RB2011UAS (RouterOS 6.5) een PPTP server opgezet.

Kijk eventueel naar de OpenVPN versie voor de VPN. Dat werkt meestal een stuk gemakkelijker.

zondag 1 december 2013 18:09

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Rolfie schreef op zondag 01 december 2013 @ 13:37:
[...]

Kijk eventueel naar de OpenVPN versie voor de VPN. Dat werkt meestal een stuk gemakkelijker.

Ja, dat heb ik gedaan, alleen mikrotik pakt alleen OpenVPN over TCP, en de synology alleen UDP, en ik krijg de synology niet zover om TCP te doen

WoLFjuh schreef op zondag 01 december 2013 @ 12:47:
Als ik naar je config kijk dan lijkt het er op dat je wat dingen hebt aangezet maar niet de configuratie sluitend hebt gemaakt.

Voor een configuratie met bridging zal je een ppp profiel moeten aanmaken met een paar belangrijke settings:

- De bridge-group waar je pptp verbinding naartoe moet bridgen, voor jou: bridge-local
- Een local address, kies voor het gemak het ip adres van je router in bridge-local: 10.0.0.1
- De address-pool van de dhcp-server die op bridge-local draait, in jouw geval: dhcp_asten01_def

Als je dit profiel hebt aangemaakt dan koppel je dit profiel of als default profile voor pptp of als profile aan je gebruiker (ppp secrets).

In vrijwel alle voorbeelden op google hoe een pptp server op te zetten wordt gebruik gemaakt van een profile, ik snap dan ook even niet hoe je bij deze setup bent gekomen.

Als je t zo zegt snap ik zelf ook niet helemaal hoe ik dat klaargespeeld heb gekregen, ik ga 't eens n poging geven!

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

zondag 1 december 2013 18:15

Acties:

DukeBox

loves wheat smoothies

Ik kan niet helemaal opmaken wat je wilt precies wilt 'bereiken' maar PPTP is niet geschikt om LAN2LAN te doen (zoals de betekening van PP afkorting al aangeeft).

Duct tape can't fix stupid, but it can muffle the sound.

zondag 1 december 2013 19:18

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Ik heb ook nooit gezegd dat ik LAN2LAN wil doen
Edit:
Oke ik heb nu dus de wijzigingen doorgevoerd die voortgesteld werden.

Nieuw profile, bridge group, local address en remote addres ingesteld. Maar pingen van en naar de nas lukt nog steeds niet (router -> nas werkt dan weer wel, andersom niet) en met mn laptop wel.

[ Voor 74% gewijzigd door ShadowAS1 op 01-12-2013 19:21 ]

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

zondag 1 december 2013 19:45

Acties:

Verwijderd

krijgt de NAS een default gateway van de Mikrotik, of houdt hij zijn lokale gateway?

En als jij vanaf de ":remote site" (waar de NAS staat), met een laptop inbelt op de Mikrotik, kan jij dan wel pingen vanuit de laptop?

[ Voor 45% gewijzigd door Verwijderd op 01-12-2013 19:46 ]

zondag 1 december 2013 20:02

Acties:

Rolfie

ShadowAS1 schreef op zondag 01 december 2013 @ 18:09:
Ja, dat heb ik gedaan, alleen mikrotik pakt alleen OpenVPN over TCP, en de synology alleen UDP, en ik krijg de synology niet zover om TCP te doen

Commandline gebruiken op je NAS.

zondag 1 december 2013 20:06

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Verwijderd schreef op zondag 01 december 2013 @ 19:45:
krijgt de NAS een default gateway van de Mikrotik, of houdt hij zijn lokale gateway?

En als jij vanaf de ":remote site" (waar de NAS staat), met een laptop inbelt op de Mikrotik, kan jij dan wel pingen vanuit de laptop?

NAS houdt z'n eigen gateway, en vanaf de syno ping ik ook met de commandline
Edit: Syno kan nu wel de MikroTik Pingen

[ Voor 4% gewijzigd door ShadowAS1 op 01-12-2013 20:19 ]

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

maandag 2 december 2013 12:17

Acties:

WoLFjuh

DukeBox schreef op zondag 01 december 2013 @ 18:15:
Ik kan niet helemaal opmaken wat je wilt precies wilt 'bereiken' maar PPTP is niet geschikt om LAN2LAN te doen (zoals de betekening van PP afkorting al aangeeft).

Niet helemaal waar. In beginsel is PPTP niet geschikt voor bridgende verbindingen, maar met http://tools.ietf.org/html/rfc2878 wel. Mikrotik supprt BCP. Zelfs als de client geen idee heeft van BCP kan de mikrotik router wel de remote client onderdeel maken van een bridged netwerk.

ShadowAS1 schreef op zondag 01 december 2013 @ 20:06:
NAS houdt z'n eigen gateway, en vanaf de syno ping ik ook met de commandline
Edit: Syno kan nu wel de MikroTik Pingen

Tijd voor een nieuwe dump van je config.

maandag 2 december 2013 14:29

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Nieuwe dump: http://rubenkrauth.nl/misc/exportnew.rsc

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

donderdag 5 december 2013 10:26

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Nu weet ik dat dit een dubbele reactie is, maar na n aantal dagen wil ik 'm toch even n bumpje geven D:

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

donderdag 5 december 2013 10:40

Acties:

WoLFjuh

De config ziet er niet onlogisch uit.

Kan het firewalling zijn? Probeer eens voor je laatste drop regel een log regel te zetten en kijk of er wordt gelogt als je probeert te pingen?

donderdag 5 december 2013 12:17

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Komt niks naar voren in de logs helaas.
Ping naar 10.0.0.5 returned niks (werkt wel vanaf laptop) en 10.0.0.1 antwoordt gewoon.
Kan overigens ook niet vanuit de server met de web interface van de syno connecten.

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

woensdag 11 december 2013 11:12

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Schop (a)

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

zondag 12 oktober 2014 22:05

Acties:

Bongoarnhem

Ben je hier nog uitgekomen?

maandag 13 oktober 2014 10:35

Acties:

Equator

Crew Council

#whisky #barista

Bongoarnhem schreef op zondag 12 oktober 2014 @ 22:05:
Ben je hier nog uitgekomen?

Daarvoor had je toch ook gewoon contact op kunnen nemen met de topicstarter? Hij heeft DM's aanstaan

Een topic van een jaar oud omhoog schoppen is niet de bedoeling