Forum

configurar VPN PPTP no MikroTik

Postado por Rodrigo Meireles em 12 de Março de 2011 às 1:00pm

Saudações Alvinegras,

rsrsrsrs...vai dar confusão....rsrsrsrs

 

Vamos lá.

PPTP

O PPTP é o mais simples dos servidores VPN porque trabalha praticamente de forma transparente, não exigindo inúmeros roteamentos e por ser bem leve, nao exigindo muito processamento.

 

1. Cenário

LINK.200.X.X.X.X-WANR........WANL-200.X.X.XY.rb450(roteamento)LAN-172.20.1.0/X.......

O IP DO MK-AUTH VAMOS DIZER QUE SERIA 172.19.1.2/30 E O DA VLAN DA RB SERIA 172.19.1.1

 

Vamos dizer que as rbs aps estariam no range 172.20.1.0/X

Vamos dizer que os nanos, rockets e familia ubiquity estariam no range 172.21.1.0/X

Vamos dizer que os aps 2.4 estariam no range 172.22.1.0/X(Se estiverem em client bridge, se estiverem em cliente isp, o ip da wan do ap será o próprio ip do cliente, fornecido pela rb450 e o ip da lan do cliente fica em dhcp sendo fornecido pelo próprio ap)

Vou supor que todo o roteamento da rb450 esteja ok, e que tudo esteja funcionando perfeito. Os ips estejam pingando entre si, e as rotas estejam ok.

Pergunta:

Rodrigo, como posso acessar o mk-auth, as rbs internas, os nanos, os rockets e os aps dos clientes, sem precisar fazer zilhões de dsts-nats na rb450???

A primeira resposta quem vem na cabeça seria: Ora se tem IPS Válidos sobrando seta todos nas rbs, nanos e rockets...O problema amigos é que IP válido está se tornando escasso, e se puder manter os seus para vender para cliente, façam isso. Grana a mais na conta!!!

A segunda reposta seria: VPN PPTP. Como faço Rodrigo?

Primeira Coisa:

PPP - PPTP SERVER - Enabled

Em profile habilite a opção default encryption.

Agora vamos criar um usuario e uma senha para a VPN

Em secrets crie um usuario e uma senha. Em profile escolha default encryption.

Em remote address coloque um range de ip null, que só será usado para fazer o roteamento da VPN para os ips locais.

Exemplo:

Local Address:11.11.11.1

Remote Address:11.11.11.2

Faça isso para cada usuario que for criado em secrets, sempre trocando o octeto final do remote adress: fulano de tal.....remote address:11.11.11.3, etc

 

Em IP firewall vamos criar o mascaramento para acesso aos ranges

IP-Firewall-NAT

Adicione as regras a seguir

src-nat

scr-address:11.11.11.0/24

dst-address:172.0.0.0/8

action:masquerade

Ok. Pronto

 

No seu notebook ou cpu crie uma nova conexão VPN PPTP

no ip do host coloque o IPvalido da Rb450 e o usuario e a senha criado em secrets

Pronto. teste o acesso as rbs aps, nanos, rockets, nano bridge, o mk-auth, e os aps dos clientes.

Uso um nokia n900 e um iphone4 com 3g da tim. Nos dois tenho VPN PPTP e acesso de onde eu estiver os meus equipamentos. Uma economia de tempo, caso ocorra algum problema.

Amanha vamos ver l2tp

Grande Abraço.

Rodrigo Meireles

 

Para adicionar comentários, você deve ser membro de MK-AUTH.

Join MK-AUTH

Marcações: duvidas, ppptp, soluções, vpn
Enviar-me um email quando as pessoas responderem –
Seguir

Respostas

  • Pedro Filho 13 de Março de 2011 as 11:33pm
    muito bom, mais não seria preciso configurar a conexão vpn cliente no mk-auth ??
  • Rodrigo Meireles 14 de Março de 2011 as 10:07am

    No MK-auth?

    Não Pedrão!

    Se o mk-auth está no range comunicando com o mikrotik, o próprio mikrotik é que estabelece a rota para o mk-auth.

    Exemplo: O mk-auth está com o ip 172.20.1.2 e o gateway dele(mikrotik) é o 172.20.1.1

    Quando eu crio a regra  srcnat src address:11.11.11.0/24 dst-address:172.0.0.0/8 action: masquerade eu já incluo o range do mk-auth no mascaramento, portanto tudo que está nateado pelo mikrotik tem comunicaçao pela vpn client.

    Certo tricolor?

    rsrsrsrs

     

  • Pedro Filho 14 de Março de 2011 as 1:02pm
    certo cearamor ...

    Rodrigo Meireles disse:

    No MK-auth?

    Não Pedrão!

    Se o mk-auth está no range comunicando com o mikrotik, o próprio mikrotik é que estabelece a rota para o mk-auth.

    Exemplo: O mk-auth está com o ip 172.20.1.2 e o gateway dele(mikrotik) é o 172.20.1.1

    Quando eu crio a regra  srcnat src address:11.11.11.0/24 dst-address:172.0.0.0/8 action: masquerade eu já incluo o range do mk-auth no mascaramento, portanto tudo que está nateado pelo mikrotik tem comunicaçao pela vpn client.

    Certo tricolor?

    rsrsrsrs

     

  • Wesley Stahlschmidt Alves 5 de Abril de 2011 as 7:59pm

    Rodrigo veja se vc pode m ajudar, tenho ospf rodando na rede, tenho um "anel" para ter redundância nos enlaces, meu problema e o seguinte, quando acontece de mudar a rota principal de porta ele faz a requisição por outro IP ao mk-auth teria como evitar isso? ou vou ter q cadastar todos os ips que essa rb possa efetuar a requisição ao mk-auth? assim vou ter q cadastrar os cleintes em todos os servidores e não em uma rb especifica.

     

    Obrigado.

  • Rodrigo Meireles 5 de Abril de 2011 as 8:04pm

    Fácil.

    No seu roteador de borda que faz o OSPF o range do mk-auth está cadastrado?

    Nas rbs o ip do mk-auth é reconhecido?

    Verifica as duas perguntas e vc resolve rápido.

    Abraçao

  • Wesley Stahlschmidt Alves 5 de Abril de 2011 as 8:09pm
    Das rbs de borda pingo sem problema o mk-auth, e reconhecido, o unico lugar que acredito que esteja cadastrado o mk-auth é na rb 1100 onde esta o link e o mk-auth.
  • diego 27 de Abril de 2011 as 9:56am

    Cria uma brigde sem nenhuma interface associada a ela;

    Coloca um ip /32 que seja alcançável através do OSPF;

    Cadastra esse IP em seu MK-Auth como sendo da RB remota.

     

    Pronto!

    Mesmo se mudar de rota, sempre virá o mesmo endereço.

    É uma espécie de loopback.

     

     

    Wesley Stahlschmidt Alves disse:

    Das rbs de borda pingo sem problema o mk-auth, e reconhecido, o unico lugar que acredito que esteja cadastrado o mk-auth é na rb 1100 onde esta o link e o mk-auth.
  • cristiano alves dos santos 31 de Maio de 2011 as 11:59pm
    fiz tudo como o Rodrigo Meireles explicou porem acho q comigo nao deu certo pq possuo um loadbalance com rb750g antes do meu mk/hotspot central. tenho q fazer algum tipo de redir do loadbalance ate o pptp?
  • Rodrigo Meireles 1 de Junho de 2011 as 7:40am

    Vc tem 2 opcoes

    Coloque o PPTP no load mesmo ou

    Facá um mangle e rota direcionando o PPTP e o protocolo GRE pro mk/central.

    Abraçao

  • cristiano alves dos santos 1 de Junho de 2011 as 7:57pm

    já havia feito isso de por o PPTP  no LB q deu certo porem nem assim eu conseguia acessar as demais rbs apos o LB, fiz então um outro PPTP no mk/central e agora consigo acesso a todas da seguinte forma:

    primeiro acesso o LB com PPTP e com o acesso funcionando faço nova discagem PPTP e acesso o mk/central. assim funciona e tenho acesso a tudo. se eu tento direto no PPTP do mk/central não rola.

    fiz ate mascaramento reverso no lb e no mk/central mas nem assim foi.

    enquanto nao acho solução vou usando assim. me parece q fica ate mais seguro, ja q tenho q fazer dois acessos.

This reply was deleted.