mikrotik pptp vpn probleem

zaterdag 10 december 2016 11:08

Acties:

0 Henk 'm!

Topicstarter

Beste mede tweakers,

info:
router: mikrotik 2011UiAS
webos: 6.37.1

ik ben nu al ruim een maand bezig met het volgende probleem;

Om een offsite backup te maken heb ik een computer met windows 7 bij mijn vader neergezet.
Deze wil ik via VPN pptp verbinding laten maken. Dit is een eerst test, want uit eindelijk wil ik een ipsec tunnel maken. Maar eerst dit werken krijgen.

Proxy-arp staat aan op de bridge
De vpn gebruikt de zelfde dhcp pool, anders werkte het pingen naar de router wel, echter naar bijvoorbeeld de server niet.

Om een heel lang verhaal kort te maken, heb ik bijna alles werkend.

Vpn verbinding maken werk, waarbij ik via de vpn alle interne devices kan pingen.
Mijn router kan ik pingen en ook bijvoorbeeld mijn ap's en server

via vpn kan ik via een lokaal ip een remote desktop verbinding maken
via winbox kan ik op de vpn verbinding maken met de router

Alleen lukt het niet om lokaal een netwerk share verbinding te maken.

Wat heb ik geprobeerd:
De firewall heb ik compleet uitgezet, waarbij ik na 2 min uit india gelijk inlogs pogingen kreeg op mijn router, geen goed idee dus en geen resultaat

Een andere pc geprobeerd op mijn werk, dus een andere pc en een andere internet verbinding. same resultaat.

DNS, bij een ipconfig zag ik dat er geen DNS bij de vpn verbinding staat, dit heb ik geprobeerd op de vpn ip4 verbinding zelf in te voeren en op het VPN profile bij de webos. geen resultaat.

Ik het de webos op een kleine pc ge installeert dus de router vervangen, zelfde resultaat.

Google google en nog eens google ge raad pleeg en heel veel forums gelezen.

Ik zal wel iets heel kleins over het hoofd zien, kunnen jullie mij verder helpen?

zaterdag 10 december 2016 11:24

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

De community van MikroTik is super behulpzaam, zij zullen je zeker verder helpen. Zoals je zelf al terecht opmerkte... gebruik geen PPTP. Er zijn tal van tutorials te vinden die je heel eenvoudig uitleggen hoe je een L2TP verbinding opzet. Gelijk doen (anders is er een kans dat je het nooit meer verandert).

Zou je een print kunnen doen van alle relevante zaken (firewall, vpn)?

Eerst het probleem, dan de oplossing

zaterdag 10 december 2016 11:37

Acties:

0 Henk 'm!

MARTIJNSK

Topicstarter

MMM MMM KKK TTTTTTTTTTT KKK
MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK

MikroTik RouterOS 6.37.1 (c) 1999-2016 http://www.mikrotik.com/

[?] Gives the list of available commands
command [?] Gives help on the command and list of arguments

[Tab] Completes the command/word. If the input is ambiguous,
a second [Tab] gives possible options

/ Move up to base level
.. Move up one level
/command Use command at the base level
[admin@MikroTik] > export
# dec/10/2016 11:30:51 by RouterOS 6.37.1
# software id = KK9P-NDL1
#
/interface bridge
add admin-mac=E4:8D:8C:1E:E7:33 arp=proxy-arp auto-mac=no comment=defconf \
name=bridge
/interface ethernet
set [ find default-name=ether1 ] name="1 WAN"
set [ find default-name=ether2 ] name="2 PS4"
set [ find default-name=ether3 ] master-port="2 PS4" name="3 TEST"
set [ find default-name=ether4 ] master-port="2 PS4" name="4 AP WOONKAMER"
set [ find default-name=ether5 ] master-port="2 PS4" name="5 ZOLDER"
set [ find default-name=ether6 ] name="6 PS3"
set [ find default-name=ether7 ] master-port="6 PS3" name=7
set [ find default-name=ether8 ] master-port="6 PS3" name=8
set [ find default-name=ether9 ] master-port="6 PS3" name="9 PANASONIC TV"
set [ find default-name=ether10 ] master-port="6 PS3" name="10 DENON AMP"
/ip neighbor discovery
set "1 WAN" discover=no
set bridge comment=defconf
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=VPNPOOL ranges=192.168.10.10-192.168.10.20
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=\
52w4d3h10m name="DHCP lokaal"
/ppp profile
add bridge=bridge dns-server=62.179.104.196 local-address=dhcp name=VPNTEST \
remote-address=dhcp
add local-address=VPNPOOL name=TEST2 remote-address=VPNPOOL
/interface bridge port
add bridge=bridge comment=defconf interface="2 PS4"
add bridge=bridge comment=defconf interface="6 PS3"
add bridge=bridge comment=defconf interface=sfp1
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface="2 PS4" network=\
192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
"1 WAN"
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=input comment="defconf: drop all from WAN" \
in-interface="1 WAN"
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface="1 WAN"
/ip firewall nat
add action=accept chain=srcnat disabled=yes dst-address=192.168.88.0/24 \
src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" \
out-interface="1 WAN"
/ip ipsec peer
add address=37.17.219.215/32 disabled=yes secret=wsw1980wsw1980
/ip ipsec policy
add disabled=yes dst-address=192.168.87.0/24 sa-dst-address=37.17.000.000 \
sa-src-address=213.93.185.254 src-address=192.168.88.0/24 tunnel=yes
/lcd
set backlight-timeout=never default-screen=stats
/lcd interface
set sfp1 disabled=yes
set "1 WAN" timeout=1m
set "2 PS4" disabled=yes
set "3 TEST" disabled=yes
set "4 AP WOONKAMER" disabled=yes
set "5 ZOLDER" disabled=yes
set "6 PS3" disabled=yes
set "7" disabled=yes
set "8" disabled=yes
set "9 PANASONIC TV" disabled=yes
set "10 DENON AMP" disabled=yes
/lcd screen
set 0 disabled=yes
set 4 disabled=yes
set 5 disabled=yes
/ppp secret
add name=hahahaha password=hahahah profile=VPNTEST
add name=hahahahah password=hahahahahaprofile=VPNTEST
add comment="in vpn dhcp" name=test2 password=hahahahaha profile=TEST2
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add topics=ipsec
/system ntp client
set enabled=yes primary-ntp=69.164.202.202 secondary-ntp=198.211.106.151
/system package update
set channel=release-candidate
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge
[admin@MikroTik] >
[admin@MikroTik] >

zaterdag 10 december 2016 11:40

Acties:

0 Henk 'm!

MARTIJNSK

Topicstarter

ik heb mijn vraag ook op met mikrotix forum geplaatst, maar tweakers blijft mijn favoriete forum .

De pptp verbinding wil ik ook werkend krijgen, altijd handig als je op vakantie via een hotspot moet werken.
Ook vind ik het een uitdaging en kan ik het niet uitstaan waarom het niet werkt. ik wil de logica begrijpen.

zaterdag 10 december 2016 12:46

Acties:

0 Henk 'm!

Frogmen

wat erg belangrijk is bij VPN dat het verschillende subnetten zijn. Het subnet van de client moet anders zijn dan het subnet van de server (anders snapt de client de routering niet.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

zaterdag 10 december 2016 14:12

Acties:

0 Henk 'm!

MARTIJNSK

Topicstarter

de subnetten zijn verschillend,

255.255.255.0 en 255.255.255.255 voor de vpn

weer een stap verder,

ik heb ondekt dat ik wel via het ip nummer een netwerk verbinding kan krijgen.
dus via 192.168.10.13 in dit geval, dit is het ip wat de pc heeft die via vpn inbelt.

Echter zie ik de pc niet in mijn netwerk als pc. ook verbinding maken met de naam van de pc werkt niet..

so close!!

[ Voor 12% gewijzigd door MARTIJNSK op 10-12-2016 14:13 ]

zondag 11 december 2016 09:28

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Oftewel, DNS resolven als je via VPN verbonden bent werkt niet zoals je het verwacht. Geef je wel de MikroTik als DNS server mee binnen DHCP? Kan je een IPCONFIG /ALL posten als je met VPN verbonden bent?

Eerst het probleem, dan de oplossing

zondag 11 december 2016 09:55

Acties:

0 Henk 'm!

laurens0619

There's a LAN with multiple computers in WORKGROUP configuration.
This LAN uses a Mikrotik router for the Gateway (NAT).
The Gateway Mikrotik provides PPTP termination for work-from-home staff.
The work-from-home staff want to browse network shares & printers by name i.e. \\computername\sharename\

To resolve this situation it's important to understand that "windows file sharing" name resolution in a workgroup setting works by UDP broadcasts, and these broadcasts can't transit over the PPTP connection.

The solution is a WINS server. However, Mikrotik doesn't nativly provide a WINS server and in this context you probably don't want to install a "Windows Server" for its' WINS function (non-server versions of windows don't have a WINS server).

"Vroegah" benaderde je een computer op hostnaam via netbios. Opzoeken van de hostname gaat via broadcasts wat via een pptp/vpn verbinding niet (zomaar) gaat werken. Als oplossing hiervoor zou je WINS kunnen gebruiken (ook oud) http://forum.mikrotik.com/viewtopic.php?t=33926

Echter, tegenwoordig is DNS een stuk gangbaarder om te gebruiken. Waar je voor moet zorgen is dat alle clients dezelfde DNS server gebruiken (dus pptp verbinding, dns naar mikrotik laten verwijzen) en dat deze DNS servers de hostnames kent. Dit kun je eenvoudig testen door een nslookup te doen op de hostname.
Je kunt je lokale DNS server de hostnames leren kennen door deze statisch in te voeren of door een koppeling te leggen tussen DHCP en DNS. Feitelijk houdt dat in dat bij een DHCP request de hostname van de client automatisch opgenomen wordt in de DNS tabel. Dat scheelt een hoop administratie.

[ Voor 49% gewijzigd door laurens0619 op 11-12-2016 13:53 ]

CISSP! Drop your encryption keys!

zondag 11 december 2016 11:12

Acties:

0 Henk 'm!

TommyboyNL

MARTIJNSK schreef op zaterdag 10 december 2016 @ 14:12:
de subnetten zijn verschillend,

255.255.255.0 en 255.255.255.255 voor de vpn

Dat is geen subnet, dat is een subnetmasker.

zondag 18 december 2016 10:30

Acties:

0 Henk 'm!

MARTIJNSK

Topicstarter

bedankt voor jullie tips, ik heb me zelf ingelezen over dns en wins en alles wat er tussen zit.

Ik heb het me zelf wat eenvoudiger gemaakt.
Ik heb mijn backup server via de account instellingen een vast ip gegeven. 192.168.88.5 lokaal naar 192.168.10.20 via vpn. Dus daarmee is mijn backup server via vpn altijd .20. daarmee kan ik ook de pc benaderen en de file transfer gaat ook goed.

Ook gelijk het account, callid ingesteld, daarmee kan alleen het wan ip het vpn account gebruiken.

Dat is wel weer mooi aan mikrotix, je kan oneindig veel instellen.

Ik ga nu proberen om een ipsec verbinding te maken, ik ben benieuwd wat dit doet met de cpu belasting van de mikrotix router en wat er overblijft van de snelheid

Pagina: 1

Reageer

Onderwerpen