9
Mikrotik pptp client
Hi!
Volgendes Scenario:
Debian pptp Server <-------------> Mikrotik router, pptp Client <--> Client PC
pptp tunnel
Der komplette Traffic soll über den pptp Tunnel geroutet werden.
Dazu habe ich im Mikrotik Router einen pptp Client angelegt mit der Option "Add default route".
Vom interface des Mikrotik kann ich die pptp Server ip pingen. Vom Client PC jedoch nicht.
Wenn ich ein tracert vom Client Pc zu google ausführe, sehe ich das der traffic nicht über den Tunnel geht.
Wenn ich nun den Client PC direkt mit dem pptp Server verbinde, wird der komplette traffic über den Tunnel geroutet,
daher gehe ich davon aus, das der Mikrotik das Problem ist. Muss ich dort zusätzliche routen einstellen oder in der Firewall was ändern, damit der Traffic über den Tunnel geroutet wird ?
Ich wäre sehr dankbar wenn ihr mir Tipps zur Lösung meines Problems geben könntet.
MfG
Debian pptp Server <-------------> Mikrotik router, pptp Client <--> Client PC
pptp tunnel
Der komplette Traffic soll über den pptp Tunnel geroutet werden.
Dazu habe ich im Mikrotik Router einen pptp Client angelegt mit der Option "Add default route".
Vom interface des Mikrotik kann ich die pptp Server ip pingen. Vom Client PC jedoch nicht.
Wenn ich ein tracert vom Client Pc zu google ausführe, sehe ich das der traffic nicht über den Tunnel geht.
Wenn ich nun den Client PC direkt mit dem pptp Server verbinde, wird der komplette traffic über den Tunnel geroutet,
daher gehe ich davon aus, das der Mikrotik das Problem ist. Muss ich dort zusätzliche routen einstellen oder in der Firewall was ändern, damit der Traffic über den Tunnel geroutet wird ?
Ich wäre sehr dankbar wenn ihr mir Tipps zur Lösung meines Problems geben könntet.
MfG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 188415
Url: https://administrator.de/contentid/188415
Printed on: April 27, 2024 at 05:04 o'clock
9 Comments
Latest comment
Spannend (und vor allen Dingen hilfreich) für uns wäre mal die Routing Table des Mikrotik, ob wirklich die Default Route auf die Tunnel IP des PPTP Servers zeigt.
Vermutlich ist das nicht der Fall !
Vermutlich ist das nicht der Fall !
Hier meine routing Tabelle:
[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
- DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.5.148 1
1 DS 0.0.0.0/0 192.168.2.1 1
2 ADC 192.168.2.0/24 192.168.2.149 ether1-gateway 0
3 ADC 192.168.5.148/32 192.168.5.234 pptp-out1 0
4 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0
Nun hat sich die Problematik etwas verändert, verstehe zwar nicht warum aber ok.
Da ich den Router gestern Abend komplett verbastelt habe, habe ich eben einen Reset durchgeführt
und anschließend den pptp Client neu einstellt.
Nun kommt der PC im Lan garnichtmehr ins Internet, er hat nur noch Zugriff auf das Lokale Lan 192.168.2.0 !
Was mir weiter aufgefallen ist, das bei dem pptp client im Mikrotik nur ein ausgehender TX Traffic zu verzeichnen ist.
Der Tunnel Status zeigt aber ok an.
Ich sollte noch dabei sagen, das es sich momentan über ein Lokales Test Scenario handelt.
Das genauer so aussieht:
Fritzbox mit Internetzugriff 192.168.2.1 <---> debian server (lokale ip: 192.168.2.148, pptp server ip: 192.168.5.148)
*
*
Mikrotik Router (WAN: 192.168.2.149 LAN: 192.168.88.0, pptp client: 192.168.5.234) <--> Client pc (192.168.88.251)
Vielen Dank für die Hilfe.
Hallo,
also der erste Fehler war, dass die Route nicht aktiv war. Das liegt daran, dass Du zweimal eine Default Route hast. Entweder Du routest nur den PPTP Traffic zum Server oder aber Du gibst eine Route für den VPN Server an und die default Route zum Tunnelende hin. Letzteres ist einfacher ;)
Der zweite Fehler schätz ich mal, NAT mit masquerading vergessen?
Gruß
also der erste Fehler war, dass die Route nicht aktiv war. Das liegt daran, dass Du zweimal eine Default Route hast. Entweder Du routest nur den PPTP Traffic zum Server oder aber Du gibst eine Route für den VPN Server an und die default Route zum Tunnelende hin. Letzteres ist einfacher ;)
Der zweite Fehler schätz ich mal, NAT mit masquerading vergessen?
Gruß
Hi!
Danke für die Hilfe.
Nun habe ich schonmal einen Teilerfolg. Ich komme ins Internet über den Tunnel.
Leider kann ich nun allerdings meine lokalen adressen im 192.168.2.0 netz nicht mehr erreichen. Diese möchte ich gerne direkt übers Wan des Router routen und nicht über den Tunnel. Ich habe bis jetzt nur eine NAT auf dem Tunnel Port eingerichtet, evtl liegt da das Problem ?!
Meine jetzigen Settings sind:
Routing:
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
Danke für die Hilfe.
Nun habe ich schonmal einen Teilerfolg. Ich komme ins Internet über den Tunnel.
Leider kann ich nun allerdings meine lokalen adressen im 192.168.2.0 netz nicht mehr erreichen. Diese möchte ich gerne direkt übers Wan des Router routen und nicht über den Tunnel. Ich habe bis jetzt nur eine NAT auf dem Tunnel Port eingerichtet, evtl liegt da das Problem ?!
Meine jetzigen Settings sind:
Routing:
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
- DST-ADDRESS PREF-SRC GATEWAY DISTANCE
1 ADC 192.168.2.0/24 192.168.2.149 ether1-gateway 0
2 ADC 192.168.5.148/32 192.168.5.234 pptp-out1 0
3 ADC 192.168.88.0/24 192.168.88.1 ether2-master-l... 0
NAT:
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=pptp-out1
[admin@MikroTik] /ip firewall nat>
Firewall Filter:
[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp
1 ;;; default configuration
chain=input action=accept connection-state=established
2 ;;; default configuration
chain=input action=accept connection-state=related
3 ;;; default configuration
chain=input action=drop in-interface=pptp-out1
[admin@MikroTik] /ip firewall filter>
Hallo,
das sollte aber eigentlich mit der Konfiguration funktionieren. Wenn Du nämlich nicht mehr Firewall Regeln hast, dann erlaubst Du auch alles in das Netz.
Wo hängen die Client PCs dran (88er Netz)?
Ggf. korrektes Gateway gesetzt?
am besten Du nutzt export compact, da sieht man meiner Meinung nach alles übersichtlicher mit ;)
Gruß
das sollte aber eigentlich mit der Konfiguration funktionieren. Wenn Du nämlich nicht mehr Firewall Regeln hast, dann erlaubst Du auch alles in das Netz.
Wo hängen die Client PCs dran (88er Netz)?
Ggf. korrektes Gateway gesetzt?
am besten Du nutzt export compact, da sieht man meiner Meinung nach alles übersichtlicher mit ;)
Gruß
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=pptp-out1
chain=srcnat action=masquerade out-interface=pptp-out1
So und jetzt überleg dir mal was passiert, wenn ein Client mit der IP 192.168.88.XXX an einen Rechner mit der IP 192.168.2.XXX schickt und der antworten will.
(Kleiner Tipp: Direct Connected gewinnt immer)
(Zweiter Tipp: Was sind eigentlich Rückrouten?)
Ich nehme mal an du wolltest mir mitteilen das ich noch eine masq NAT auf dem ether1-gateway benötige ? Das hab ich nun eingerichtet und es funktioniert so wie ich es mir vorstelle. Oder gibt es irgendwelche Verbesserungsvorschläge ?
Hallo,
das NAT umschifft halt an der Stelle die vergessenen Routen ;)
Beitrag dann bitte als gelöst markieren.
Gruß
das NAT umschifft halt an der Stelle die vergessenen Routen ;)
Beitrag dann bitte als gelöst markieren.
Gruß
Danke für die Hilfe, super Forum !