Донастройка mikrotika в режиме pptp client

Лучше схему нарисуй как это должно выглядеть.

я правильно понимаю?

lan1--freebsd(nat)--mikrotik--vpn--...--remote_lan2(192.168.136.0/24, 192.168.135.0/24, 192.168.131.0/24)
             |
      ISP(internet)                 

У тебя подключение к интернет что держит? микротик?

Удалённый роутер ничего не знает про твои удаленные сети, настрой нат на миротике. src_ip:ip_freebsd -> src-nat:ip_vpn_client_mikroik получится ракаовый дабл нат)

либо попросить настроить протокол маршрутизации через впн, но это договариваться с админами с той стороны, тогда обе стороны будут знать о подсетях

Нюанс в том,что при подключении второго(третьего и т.д.) впн-клиента в моей сети оба подключения зависают на стороне ВПН-сервера

сами же ответили на свой вопрос. на стороне ВПН-сервера

Подключение к ВПН-серверу устанавливается и работает до тех пор, пока не подключится виндовый ВПН-клиент

так и будет, если ВПН сервер не переваривает более одного подключения.

Т.е. проблема на стороне ВПН сервера. Или я что то не так понимаю, тогда разъясните плиз?

lan1(mikrotik)--freebsd(nat)----vpn--ISP(internet)...--remote_lan2(192.168.136.0/24, 192.168.135.0/24, 192.168.131.0/24)

Тогда скорее уж так, ведь микротик в моей локалке, и ИП у него из диапазона моей локалки

Я тоже вначале думал,что впн-сервер не дает множественные впн-подключения с одного ИП, но лично убедился на паре примеров в 2х других организациях, что это возможно. В одной конторе выход в инет организован на сервере 2008, просто включен НАТ на внешней сетевой: там удается с любого сетевого компа получить впн-доступ, не обрывая друг друга(но косяк с пропаданием инета присутствует) Во второй конторе более изящно:шлюз на UBUNTU, на ней же впн-клиент до нужного департамента. Пользователи в сети и знать не знают про впн-подключения и потерю инета. Но...утерян пароль от UBUNTU, подробности реализации такой схемы неизвестны, а приходящий админ категорически против восстановления пароля(пока жареный петух не клюнул)

[offtopic]PРTP - говно[/offtopic] и по возможности, лучше его не использовать.

при установленном впн-подключении пропадает доступ к интернету и это огорчает пользователей

на стороне клиента, убрать галочку «использовать маршрутом по умолчанию», но, если за vpn-сервером несколько подсетей - прийдётся смириться с пропаданием интернета

при подключении второго(третьего и т.д.) впн-клиента в моей сети оба подключения зависают

На всём маршруте, от твоего роутера и до шлюза, где тот vpn-сервер должно быть явно разрешено прохождение pptp (pptp-passthrough), помимо tcp/1721 еще и разрешить протокол GRE (у крупных провайдеров обычно разрешено)

На микротике создал впн-подключение с помощью PPTP client...

прописать на микротике маршруты к этим подсетям (а не 0.0.0.0/), на клиентских компах не нужно, и не забыть настроить snat/маскарадинг на микротике для vpn-подключения.

утерян пароль от UBUNTU

при наличии физического/vnc-доступа к консоли сервера - сменить пароль можно за несколько минут (если там какое-нибудь шифрование разделов - то немного дольше)

имеется ввиду что сам виндовый ВПН сервер себя так видет. Это следует из вашего описания проблемы

[offtopic]PРTP - говно[/offtopic] и по возможности, лучше его не использовать.

Не в моей компетенции изменить

на стороне клиента, убрать галочку «использовать маршрутом по умолчанию», но, если за vpn-сервером несколько подсетей - прийдётся смириться с пропаданием интернета

Галочка снята

На всём маршруте, от твоего роутера и до шлюза, где тот vpn-сервер должно быть явно разрешено прохождение pptp (pptp-passthrough), помимо tcp/1721 еще и разрешить протокол GRE (у крупных провайдеров обычно разрешено)

Протокол разрешен

при наличии физического/vnc-доступа к консоли сервера - сменить пароль можно за несколько минут (если там какое-нибудь шифрование разделов - то немного дольше)

Боится админ что-то «поломать»-убеждать нет желания

прописать на микротике маршруты к этим подсетям (а не 0.0.0.0/), на клиентских компах не нужно, и не забыть настроить snat/маскарадинг на микротике для vpn-подключения.

snat/маскарадинг добавлен,попробую добавить маршруты

имеется ввиду что сам виндовый ВПН сервер себя так видет. Это следует из вашего описания проблемы

Видимо,так себя виндовый впн-сервер ведет с unix?

так сервак дает подключиться несколькоим клиентам и при этом все работает как надо? Допустим, один клиент у вас дома, другой дома у коллеги.

Да,с разных АйПи без проблем, а виснут множественные впн-коннекты именно с одного АйПи

Но два клиента из вашей сети одновременно работать не могут. И это проблема на стороне VPN сервера из удаленной сети. Так?

Значит микротик тут не причем.

Как вариант, поднимаете на микротик или шлюзе (FreeBSD) одно соединение. Запрещается на шлюзе клиентам из вашей сети поднимать впн. И маршрутизируете все что надо через это одно соединение.

Но поднять 2 все равно не получится, если это проблема на стороне сервера.

Вы же сейчас поднимаете одно соединение с микротика в вашей сети, второе с другого компа вашей сети и усе, приплыли... Так ведь? Если так, то причем тут микротик?

Сори за опечатки, с телефона пишу, т9 мать его...

Подключение к ВПН-серверу устанавливается и работает до тех пор, пока не подключится виндовый ВПН-клиент.

Вот и запретите на шлюзе создавать подключения из локалки. Разрешите только микротику. И добавьте маршрут к впн сети через микротик.

Ну либо прям со шлюза и поднимите впн, тогда микротик не нужен.

Да,с разных АйПи без проблем, а виснут множественные впн-коннекты именно с одного АйПи

значит NAT отменяется и нужно чтоб удаленный сервак знал о твоей подсети. так или иначе нужен будет LAN-to-LAN VPN, и дело будет не в микротике, а в вендовом VPN.

погоди, а если там венда с PPTP - на кой черт ты вообще у себя пытаешься VPN глобально сделать? Настрой юзверям ярлычки на рабочий стол типа «зделать коннект» и разреши им юзать PPTP.

Трансляция PPTP без ALG не возможна, в GRE нет поля Port, поэтому PAT не возможен, в Netfilter для обхода используют поле CallID в PPTP GRE, как замену Port. Реализация NAT во FreeBSD ранее не поддерживала PPTP ALG, судя по всему нечего не поменялось.

Не какой проблемы в Windows RAS конечно же нет.

погоди, а если там венда с PPTP - на кой черт ты вообще у себя пытаешься VPN глобально сделать? Настрой юзверям ярлычки на рабочий стол типа «зделать коннект» и разреши им юзать PPTP.

Мы сейчас говорим о виндовом ВПН-подключении? так это сделано,о проблемах я и писал выше

Трансляция PPTP без ALG не возможна, в GRE нет поля Port, поэтому PAT не возможен, в Netfilter для обхода используют поле CallID в PPTP GRE, как замену Port. Реализация NAT во FreeBSD ранее не поддерживала PPTP ALG, судя по всему нечего не поменялось.

Если в заголовке РРТР пакета нет секции Application Level Gateway, то как устанавливается хотя бы единственное впн-подключение через FreeBSD NAT?

Простите что влезаю, но как же ICMP NAT'ится? Там же тоже нет портов...

А, там другие поля используются.

Application Level Gateway не является полем заголовка, это функция NAT маршрутизатора, которая позволяет ему выполнять трансляцию с помощью анализа дополнительных полей или использованию специальных программ помощников.

Давайте обсудим, что такое PPTP, под данной аббревиатурой скрывается два протокола, TCP и GRE (нестандартная версия заголовка), с трансляцией первого проблем вообще нет, с трансляцией второго очевидно есть. В случае, когда мы говорим о классическом PAT, без помощников, то при отсутствие поля Port, выполняется One-to-One NAT, иными словами, создаётся правило исключение, что GRE пакеты всегда принадлежат одной единственной сессии, вне зависимости от того, кто фактически является их источником или получателем.

PРTP

он же взломан

Да, в случае ICMP используется такие поля, как Identifier или Sequence number, зависит от конкретного ICMP type, в некоторых поле Identifiet например отсутствует.

В случае ICMP, есть соответствующий BCP, на который могут полагаться разработчики NAT подсистем RFC5508: NAT Behavioral Requirements for ICMP.

А сам механизм NAT рассмотрен в RFC 3022: Traditional IP Network Address Translator (Traditional NAT).

Собственно говоря, реализация PAT для протоколов не имеющих полей Port (GRE) или обладающих потребностью в создании зависимых сессий (FTP) всегда требует особого подхода, обычно выраженного в использовании разного рода помощников, работающих в пространстве пользователя или ядра.

Однако я смотрю, что во FreeBSD для PPTP реализовали ядерный помощник, alias_pptp:

https://github.com/freebsd/freebsd/blob/master/sys/netinet/libalias/alias_pptp.c

«Alias_pptp.c performs special processing for PPTP sessions under TCP. Specifically, watch PPTP control messages and alias the Call ID or the Peer's Call ID in the appropriate messages. Note, PPTP requires „de-aliasing“ of incoming packets, this is different than any other TCP applications that are currently (ie. FTP, IRC and RTSP) aliased. For Call IDs encountered for the first time, a PPTP alias link is created. The PPTP alias link uses the Call ID in place of the original port number. An alias Call ID is created. For this routine to work, the PPTP control messages must fit entirely into a single TCP packet. This is typically the case, but is not required by the spec. Unlike some of the other TCP applications that are aliased (ie. FTP, IRC and RTSP), the PPTP control messages that need to be aliased are guaranteed to remain the same length. The aliased Call ID is a fixed length field. Reference: RFC 2637 Initial version: May, 2000 (eds)»

И так, вам осталось только определиться с синтаксисом правил IPFW, для использования данного ядерного помощника.

Из данного поста я не уяснил-можно оставить схему FreeBSD+IPFW&Alias_pptp+NAT и pptp-client на микротике, либо микротик можно откинуть,как лишнее звено и дописывать правила IPFW&Alias_pptp?

На мой взгляд Mikrotik в вашем случае совершенно лишний, поскольку не каких преимуществ он не даст, исключая, что он будет выполнять NAT на PPP интерфейсе.

Каждый ваш Windows клиент сможет самостоятельно выполнять подключение к Windows RAS, используя PPTP, как только вы добавите правила для трансляции PPTP.

то есть у вас от N юзеров идет N подключений к одному VPN-cерверу, и ввиду NAT получается N подключений между гейтом и VPN, так?

если да - зачем вообще микротик пытается поднять VPN? если у ваших юзеров венда и вы хотите в VPN слать только тот трафик, который должен туда идти - там есть соответствующий флаг.

либо поднимать наоборот только на микротике и запретить VPN всем остальным (и это лучше ввиду возможных косяков реализации PPTP NAT). тут уж либо крестик, либо штаны, оба варианта разом лучше не делать.

кстати, а почему бы уж тогда прямо на гейте PPTP-тоннель не поднять?

сли у ваших юзеров венда и вы хотите в VPN слать только тот трафик, который должен туда идти - там есть соответствующий флаг.

флаг в настройках впн-подключения?какой именно?

кстати, а почему бы уж тогда прямо на гейте PPTP-тоннель не поднять?

вообще на шлюзе уже установлен mpd5, но как сервер. Сможет ли данный сервер выполнять одновременно роль клиента и сервера?

Флаг называется так: Использовать основной шлюз в удалённой сети.

Чтобы найти его: Свойства -> Сеть -> IP версии 4/6 -> Свойства -> Дополнительно.

В случае если вы отключите данную опцию, то по умолчанию будет создаваться классовый маршрут. Если вас это не устраивает, то вы там же можете это отключить.

Классовый маршрут будет определять длину префикса на основе первых битов в получаемом адресе:

Class A: 0 Class B: 10 Class C: 110

Про флаг выше ответили

Сможет ли данный сервер выполнять одновременно роль клиента и сервера?

Зачем? Он же и так шлюз, просто трафик на этот роут будет идти в pptp-тоннель, и натить будет его же адресом

Зачем? Он же и так шлюз, просто трафик на этот роут будет идти в pptp-тоннель, и натить будет его же адресом

Нет,я писал про то,что мpd5 уже поднят на шлюзе,как впн-сервер. Что бы создать pptp-тоннель, надо же mpd5 конфигурить как клиента? А сможет ли данный продукт сразу обе роли выполнять?

А почему MPD5 должен не поддерживать такую конфигурацию?

А почему MPD5 должен не поддерживать такую конфигурацию?

Потому что есть секция: default: load pptp_client либо pptp_server

Оттого и возник вопрос

ни разу не юзал mpd5, но есть следующие 3 варианта: он умеет работать как сервер и как клиент сам, можно запустить второй инстанс, можно взять за клиент что-то еще.