L2TP VPN átengedése Windows szerver felé MikroTik routeren

Hálózatok általános

Sziasztok! Adott a következő felépítés: szolgáltató routere után kötve egy switch (pontosabban egy TP-Link 1042ND switchnek bekötve). Ez a lakószintet látja el WiFi-vel és kábeles nettel. Tökéletes. Erre kapcsolódik a DHCP tartományon kívül fix IP címmel egy irodai alhálózat. Az irodába szigorúan VPN-el szeretném csatlakozni a felhasználókat. Jelenleg WiFi-n fel vagyok csatlakozva a "külső" hálózatra, a "belső" hálózat routerének IP címe 192.168.1.1 - az eszköz típusa MikroTik 750GL. Fix IP-vel, átjáró, DNS beállítva, minden működik. Szeretném ha ez az eszköz fogadná a VPN hívásokat és továbbítaná a szerver felé (Win2012r2), ennek megfelelően a következő NAT szabályokat hoztam létre:

dst-nat / UDP / 500-as port, bejövő interfész ether1-gateway / művelet: dst-nat, cél: 192.168.20.1 (szerver), port 500
Ugyanezek a szabályok a 4500-as és 1701-es UDP portra
Plusz ugyanezen forrás / céllal 50 és 51-es protokollok beirányítva

Hívom a kapcsolatot, elmegy 1-1 csomag az 500-as és a 4500-as port felé majd ennyi, megáll.
Mit kell még beállítanom hogy felépüljön a VPN kapcsolat? A topológia nem változtatható.

Köszi!

  • 6874 megtekintés

( Seaweed | 2014. 09. 02., k – 12:24 )

Ha jol ertem akkor nem net felol jon a vpn kliens hanem egy halozattal fentebbrol, de meg localbol a TP-Link-bol. Portokat jokat nyitottal meg dst-nattal. Ha nem megy akkor ott valami hibadzik azon az eszkozon ami dst-nat-ol. Konyen ki is probalhatod. Kiteszed siman switchre mikrotiket es ha felepul a kapcsolat akkor mt jol van beallitva.

A MikroTik az ami a dst-nat funkciókat ellátja. Ha simán rácsatlakozom UTP kábellel akkor nem kell VPN hiszen a szerver oszt IP-t DHCP-vel, így hogy teszteljem a VPN-t? Bocs ha hülyeséget kérdsezek de nem igazán értem hogy gondoltad. A MikroTik WAN portja felül a TP-Link switcxhnek van bekötve, és a passthrough funkciókat kikapcsoltam hogy ne erőltesse ezen csomagokat a WAN felé.

En szoktam meg ket alhalozat (lan es vpn) kozott masqot csinalni.(ha jol emlekszem ez a videoban nincs benne)

szerk: helyesen a masq "vpn to lan", (mert ha bent vagyok, de mas subnetben, akkor kell egy legalabb egy masq (vagy route) a lan subnetje fele.)

szerk 2.: jah es windows kliensnel kell a phase1 hogy 3DES legyen, win7 lehet phase2-ben mar AES256, xp itt is csak 3DES. (mar ha megy, mert emlekszem volt valami gubanc..de letojtam mert nem hasznalok, es ugyfeleim se ilyenre(vpn) XP-t)

XP-t már én se használok :) Mobilról lenne jó ha betudnék lépni, de az már kevésbé érdekes. A fő gond, hogy külön gép kell a VPN-re (amit ki szeretnék váltani a mikrotik-el), illetve hogy a mostani PPTP nem megy át Telenoros mobilneten többek közt.
Este kipróbálom a videó alapján. Köszi!

Irodai (belső) háló:

MikroTik 750GL router
WAN IP: 192.168.1.1
LAN: 192.168.20.x
DHCP: nincs
IP: 192.168.20.254
Szerver IP: 192.168.20.1
Routeben beállított DNS: a szolgáltatóé / 8.8.8.8
Szerver által adott DNS: 192.168.20.1 / 8.8.8.8

Külső (publikus) háló:

TP-LINK 1042ND router, switch-nek bekötve, DHCP kikapcsolva, WAN nincs használatban
1-es portba jön a szolgáltató eszköze, melynek IP-je 192.168.1.100, és ő a DHCP szerver
2-es portba jön a lenti MikroTik router WAN portja, azaz a 192.168.1.1-es címet veszi fel

A TP-Link-en aktív a WiFi, tudok rá csatlakozni. Innen mennék "le" az irodába VPN-el a 192.168.1.1-re csatlakozva.
Mivel a routerben kikapcsoltam a passthrough-t, elvileg az összes csomag szépen lemegy az 1.1 felé ahogy kell.
Itt felvettem azokat a szabályokat amiket fentebb írtál. 1-1 csomag elindul majd megáll a folyamat.

Remélem így szövegesen is sikerült érthetően leírnom.

Akkor csak jol ertettem az egesz szituaciot az elso hsz-ben. Vagy rosszul van beallitva mt-n a vpn, vagy a tp-link szorakozik. Probald meg Tp-linket kivaltani egy teszt idejeig egy igazi switchel. Kliens gep teszt erejeig kabelre, es ha bemegy a vpn-en, akkor mt jo. Ha nem akkor nem jol van belove vpn/tuzfal mt-n.

Ugy tudod kiprobalni hogy mikrotikon belulre teszed a kliensed. Tehat ha jol ertettem eddigi felallast akkor mt-n log a win server fix ipvel. Nah melle az mt-re teszed a klienst, fix ipvel ugyanabbol tartomanybol es ha igy se megy be win szerverre akkor mar csak ket dolog lehet: szerver nem ok, vagy kliens nem ok. Attol fuggetlenul hogy semmi ertelme az ilyen ugyanazon tzartomanyos dolognak, be kell mennie kliensnek vpn-re.
Vagy ha jobban esik levalasztod switch-bol vagy bridge-bol (ki mit hasznal) egyik portot mt-n. adsz neki masik tartomanybol ipt, raksz ra dhcp szervert, tehat egy alhalozatot csinalsz, routeok ok, ping megy szerver iranyba, mehet vpn teszt.

Bar hozza kell tennem hogy en nem csinalok soha windowsal vpn-t, mert draga es mert innentol minek. Igy nem is lattam meg. Feltetelezem hogy bemegy vpn, esetleg gond lehet ugyanazon tartomany, nem tudom winen hogy van vpn szerver, mehet e ugyanabba tartomanyba vpn kliens. pl. openvpn-el meg lehet csinalni, massal nem szerencses, ergo nem is nagyon szoktam, csak ha nagyon muszaj.

A kliensekkel van a baj. Leteszteltem ugyanezt az itthoni WIN2008R2 vassal, erre sem tudok kívülről csatlakozni hiába van minden beengedve. Belső hálón viszont tudok! Oka: XP és Win7 is tiltja hogy NAT mögötti L2TP/IPsec szerverre kapcsolódj. Egy Registry kulcs hozzáadásával a probléma megoldható. Holnap kipróbálom a 2012R2-n is.

Szóval a kliensen: http://support.microsoft.com/kb/926179

To create and configure the
AssumeUDPEncapsulationContextOnSendRule
registry value, follow these steps:

Log on to the Windows Vista client computer as a user who is a member of the Administrators group.
Click Start
Start button
, point to All Programs, click Accessories, click Run, type regedit, and then click OK. If the User Account Control dialog box is displayed on the screen and prompts you to elevate your administrator token, click Continue.
Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
Note You can also apply the
AssumeUDPEncapsulationContextOnSendRule
DWORD value to a Microsoft Windows XP Service Pack 2 (SP2)-based VPN client computer. To do this, locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec
On the Edit menu, point to New, and then click DWORD (32-bit) Value.
Type AssumeUDPEncapsulationContextOnSendRule, and then press ENTER.
Right-click AssumeUDPEncapsulationContextOnSendRule, and then click Modify.
In the Value Data box, type one of the following values:
0
A value of 0 (zero) configures Windows so that it cannot establish security associations with servers that are located behind NAT devices. This is the default value.
1
A value of 1 configures Windows so that it can establish security associations with servers that are located behind NAT devices.
2
A value of 2 configures Windows so that it can establish security associations when both the server and the Windows Vista-based or Windows Server 2008-based VPN client computer are behind NAT devices.
Click OK, and then exit Registry Editor.
Restart the computer.

Igen en azt hittem a mikrotik az l2tp vpn szerver. Merthogy a topic cime az ahogy "L2TP VPN beállítása MikroTik routeren". Ird at mert ez igy szerintem 10 emberbol 10nek fogja egyenesen azt jelenteni hogy a mikrotik a vpn szerver. Igy ha windows a vpn szerver, akkor tenyleg dst-nat kell de ebben nem tudok segiteni tovabbiakban, mert elvileg jol allitottad be a leirtak alapjan. Max iranyitsd meg win szerverre az ipsec protokolokat, lehet az a baja.

( Apo | 2014. 09. 03., sze – 13:42 )

Futtass a mtikon egy capture-t.
Abban milyen forgalmat latsz?