PPTP kliens eszköz

 ( AndrewBoy | 2018. július 23., hétfő - 0:04 )

Sziasztok!

Adott több hálózat, a fő hálózaton van egy PPTP szerver ami fogadja a behívásokat gépekről, mobilokról és más hálózatokról.
Gép és mobil esetén a sávszélesség nem okoz problémát, közvetlen csatlakozás lévén az elérhető internetsebességgel megy a kiszolgálás (szerver UP sávjáig természetesen).
Alhálózat felcsatlakozása esetén viszont a NATolás a szűk keresztmetszet. Jelenleg egy raspberry pi 3 és 3+ lát el két alhálózaton ilyen feladatokat, viszont 40-60 mbitnél többet képtelenek natolni a névleges 100 és kb. 350 mbites hálózati kapacitásuk ellenére (full duplex pedig).

Az alhálózatok minden esetben a saját internetjüket használják az egyéb/normál elérésekre, routereken keresztül.
A PI-k a routerek mögött ülnek és csatlakoznak fel raspbianon keresztül a PPTP serverre.
Ezt iptables parancsokkal tovább natolják.
Értelemszerűen az össszes alhálózat a megfelelő gateway IP-kel static routeba fel van véve az alhálózati routereken, így mindenki mindenhonnan pingelhető.
Broadcast nem megy át, de ez egy másik kérdés (majd lehet ez lesz a következő projekt).

Keresnék olyan eszközt ami bizonyítottan képes 200mbitet natolni.
- fontos, hogy a PPTP hívás ne csak WAN porton keresztül menjen, site-to-site jellegű elérés
- fontos, hogy atomstabil legyen (a raspberri pi3 többszáz napos uptimemal rendelkezik, a pi3+ pedig megvétel óta megy), hangsúlyozom, hogy OPENWRT 1043nd kombó naponta többször elszáll, lefagy, illetve a OPENWRT alatt a hardveres NAT nem működik ami ismét lassuláshoz vezet
- és persze fontos, hogy olcsó legyen az eszköz, egy ITX celeron már elég olcsón elérhető, mondjuk azt, hogy a limit 20-30e ft, akár használt eszközről is beszélhetünk.
- loggolni nem akarok semmit, SSHD-n kívül / config felületen kívül más nem kell.
- alhálózati broadcastok összefésülése (ha van ilyen egyáltalán?) előnyt jelent:), pl fő hálózaton csücsülő DLNA kiszolgáló alhálózati tv eszközről megtalálása.

Köszönöm a segítséget előre is!

üdv.
ab

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ez inkább?
https://mikrotik.com/product/RB750Gr3
Stabil, gyors, kicsi, olcsó.

Köszönöm.
Valóban "jófogásnak" tűnik.
Már csak olyan kérdésem van, hogy ez a mikrotik OS mihez hasonlít?

Semmihez és elég furcsa de megszokható (és megkockáztatom szerethető). De elég jó alap konfigurációk vannak a weblapjukon.

+1 Mikrotik-re. Egyben megold neked mindent.

Az OS nagyon semmire nem hasonlít. Linux van mögötte, de nem ismered fel. CLI-je talán picit Cisco után ment, de más. Web UI is van, de szerintem az felejtős, legkönnyebben a saját Winbox kliensével konfigurálható, ami a CLI 1-1 grafikus leképezése, hamar felismered a Linux-os hálózatkezelési logikát, service-eket és a Wiki is sokat segít.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Mikrotik, de nézz körül hogy L2TP/IPSec tunnelen mennyit képes átvinni a konkrét modell mert lehet hogy idővel áttértek erre. A PPTP-t senki nem ajánlja.

Köszönöm szépen. Akkor ő lesz a kiválasztott, a youtube videók alapján elég változatos konfigurálási lehetőségek vannak.
Az áttérés még várat magára, majd ha ráveszem magam és elkezdek vele foglalkozni, örülök, hogy most ez így megy és végre van sávszélesség minden alhálózaton, hogy egyben legyen a család:)

Második projekt majd a broadcast áttolása lesz....de előbb rtfm, aztán majd jövök kérdezni :)

Köszönöm a segítséget mégegyszer.
Megrendeltem a kütyüt, szülinapomra pont itt lesz:)

És már meg is született az első kérdés:)

A subnetről mindent látok otthon.
Viszont otthonról csak a pptp clienst és a routert tudom pingelni.
Más eszközt amit eddig tudtam pingelni nem tudok.

szal így nézünk ki:

otthon: 192.168.0.1
subnet1: 192.168.1.1

pptp server: 192.168.0.1
routolás:
192.168.1.0/24 gw 192.168.0.155

pptp cliens: 192.168.0.155 / 192.168.1.150
routolás:
192.168.0.1 gw pppout1 (ezt gyárilag hozta létre a tunel felállása után)
192.168.0.0/24 gw pppout1 (ezt én hoztam létre, ha gw-nek beírom a 192.168.0.1-t akkor semmit sem látok az otthoni netből, ha csak így a pppout1 marad bent akkor látok mindent otthon)
natolás outline pppout1 masquarade

subnet router: 192.168.1.1
routolás: 192.168.0.0/24 gw 192.168.1.150

Csak a pptp kliens változott.
Valszeg triviális lesz a dolog....

Szerintem a pptp-n kifelé nem állítottad be a NAT-ot, így az otthoni kliensed IP-jét kapja forrásként a subnet-en levő host, amire ha válaszol, az viszont a pptp IP-tartományában csapódik le.

Tegyél be egy firewall NAT szabályt, hogy ha out interface = pppout1, akkor masquerade!

De egyébként nagyon nem szerencsés azonos IP tartományokat használni, én v.melyiket megváltoztatnám a helyedben - a további kellemetlenségek elkerülése végett! Gondolom, az otthonit egyszerűbb, de valamirevaló rendszergazda alapból nem csinál ilyen IP tartománnyal VPN szervert, szóval azt a tartományt sem ártana cserélni!

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Kifelé nem kell natolni, nem is engedi felvenni ezt a configba. Kifelé a választ a route táblának kell kezelnie ami alapján tudják, hogy merre kell menni, ugye subnetről az otthoni neten mindent elérek, tehát kvázi a pingnek vissza kell jönnie. De csak egy wifi apról és a routerről jön vissza a ping ahová felvettem a routetáblába az otthoni hálózat irányát.

Nem használok azonos ip tartományt. Otthon 0.0, a mostani subneten 1.0, a másik subneten (ahol még pi van) 2.0.

Lehet a route táblával lesz valami.
Nem igazán értem, hogy miért a pppout1-t kellene gwnek megadni, miért nem rögtön a távoli IP-t... na ezt még túrom...

Érdekes, hogy traceroute alapján látszik:

1 192.168.0.1 (192.168.0.1) 6.164 ms 8.237 ms 8.305 ms
2 192.168.0.155 (192.168.0.155) 27.685 ms 32.517 ms 32.718 ms
3 192.168.1.105 (192.168.1.105) 53.175 ms 53.299 ms 53.315 ms

Pingelni viszont nem tudom külön ping paranccsal.
Lehet hülyeséget kérdezek, de lehet a 192.168.1.1 mint router hiányzik a láncból és visszafelé ezért nem akar jönni a ping?

Magyarul a mikrotik (192.168.0.155 és 192.168.1.150)nál dobódik el a válasz, de elémletileg a route tábla 0.0.0.0-ra a 192.168.1.1-t adja, tehát mindennek oda kellene mennie.

Az az igazság, hogy kicsit kaotikus a leírásod (Otthon, subnet, másik subnet, stb.), így nehéz értelmezni :/
Definiáld egy kicsit pontosabban, h ki kivel van!
(1. subnet - otthon - 192.x.y.z,
2. subnet - nagymami - 192.q.r.s,
3. subnet - PPTP VPN - 192.m.n.m,
stb.)

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Még az a kérdésem, bár gondolom ez megoldható, a routerOS demójában csak most vettem észre, hogy a cliens csak IP-re tud behívni, hostname-t hiába írok be, nem akarja elfogadni. A config fileból gondolom ez manuálisan átírható? noip rlz ;]

van ra emlekeim szerint vmi resolver parser

Szerintem valami régebbi OS verzió van a videón. Nem tudom, milyen verziótól, de az újabbak már elfogadnak host-nevet.

A másik témádra: Mikrotik Mikrotikkel tud multicast route-olni, egyszer én is összehoztam vele a DLNA-t a család két "telephelye" között, de volt vele némi szívás.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Szerdán jön az eMPéeL. Meglátjuk mennyire haladok vele. Azt nézem, hogy a poe injektor sem egy nagy pénz hozzá. Bár most nincs amire felhasználnám, de a jövőre való tekintettel ez örömhír.;)

Megjött a kütyü :)
PPTP kapcslat stabil.
Natolás nagyon jó, 200 mbit vihogva...:)
Köszönöm a segítséget!

ÉS melyik változat lett a MikroTik-ből?

És már meg is született az első kérdés:)

A subnetről mindent látok otthon.
Viszont otthonról csak a pptp clienst és a routert tudom pingelni.
Más eszközt amit eddig tudtam pingelni nem tudok.

szal így nézünk ki:

otthon: 192.168.0.1
subnet1: 192.168.1.1

pptp server: 192.168.0.1
routolás:
192.168.1.0/24 gw 192.168.0.155

pptp cliens: 192.168.0.155 / 192.168.1.150
routolás:
192.168.0.1 gw pppout1 (ezt gyárilag hozta létre a tunel felállása után)
192.168.0.0/24 gw pppout1 (ezt én hoztam létre, ha gw-nek beírom a 192.168.0.1-t akkor semmit sem látok az otthoni netből, ha csak így a pppout1 marad bent akkor látok mindent otthon)
natolás outline pppout1 masquarade

subnet router: 192.168.1.1
routolás: 192.168.0.0/24 gw 192.168.1.150

Csak a pptp kliens változott.
Valszeg triviális lesz a dolog....

Tűzfal(ak)? NAT szabály(ok)?

 

Interface:

0 S ether1 ether 1500 1596 2026
1 RS ether2 ether 1500 1596 2026
2 S ether3 ether 1500 1596 2026
3 S ether4 ether 1500 1596 2026
4 S ether5 ether 1500 1596 2026
5 R bridge1 bridge 1500 1596
6 R pptp-out1 pptp-out 1450

Route:

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.1.1 1
1 A S 192.168.0.0/24 pptp-out1 1
2 ADC 192.168.0.1/32 192.168.0.155 pptp-out1 0
3 ADC 192.168.1.0/24 192.168.1.150 bridge1 0

NAT:

Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ppt

Tűzfal szabály nincs. (nincs tiltás, tehát minden engedve van)

proxy-arp a lan interfacen? vagy routeold a vpn-ed ne pedig azonos broadcast domainbe hazudd.

ezt kifejtenéd bővebben?