VPN MIKROTIK - PPTP + EOIP
1,343 views
Skip to first unread message
Tiago Amorim
Feb 10, 2012, 7:09:56 AM2/10/12
to mtcna_mtc...@googlegroups.com
Olás!!
Pessoal, criei uma VPN baseada em pptp + eoip, da seguinte forma:
Lado servidor:
pptp server - IP 10.0.0.1/30
eoip Local Address 10.0.0.1 e Remote 10.0.0.2
Lado Cliente
pptp client, orientado ao ip público do lado servidor e com ip 10.0.0.2/30
eoip local: 10.0.0.2 e remote 10.0.0.1
Criei as rotas estáticas da seguinte maneira:
Lado servidor:
add comment="Rede IP2" disabled=no distance=1 dst-address=10.1.0.0/16 gateway=10.0.0.2 scope=30 target-scope=10
add comment="Rede IP2" disabled=no distance=1 dst-address=10.2.0.0/16 gateway=10.0.0.2 scope=30 target-scope=10
add comment="Rede IP2 Comercial" disabled=no distance=1 dst-address=10.5.10.0/24 gateway=10.0.0.2 scope=30 target-scope=10
add comment="Rede IP2 Suporte" disabled=no distance=1 dst-address=10.6.10.0/24 gateway=10.0.0.2 scope=30 target-scope=10
Lado cliente:
add comment=Default disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.1.5 scope=30 target-scope=10
add disabled=no distance=1 dst-address=10.5.0.0/23 gateway=10.0.0.1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=172.16.0.0/22 gateway=10.0.0.1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=192.168.0.0/16 gateway=10.0.0.1 scope=30 target-scope=10
Resultado:
Do lado cliente, tenho acesso total à toda rede do lado servidor.
Do lado servidor, eu pingo apenas o endereço de rede local privado do roteador da VPN.
Quando realizo um traceroute do lado servidor, para qualquer host do lado cliente, obtenho o seguinte resultado:
[admin@MikroTik] > tool traceroute 10.1.1.201
# ADDRESS RT1 RT2 RT3 STATUS
1 10.0.0.2 2ms 3ms 3ms
2 0.0.0.0 0ms 0ms 0ms
3 0.0.0.0 0ms 0ms 0ms
E isso e apenas isso.
Se alguém tiver uma solução, por favor, me ajude.
Obrigado.
[]s
Guilherme Ramires
Feb 10, 2012, 7:53:10 AM2/10/12
to mtcna_mtc...@googlegroups.com
Olá todos,
Tiago, deve estar faltando rota de volta pra rede vpn. A ida como a volta deve estar com rota estática. Caso contrário os pacotes
vão tender a ir pra internet, ok?
Abraços,
Guilherme Ramires
Mikrotik Training Partner
Mikrotik Consultant
Network Engineer
Mikrotik Training Partner
Mikrotik Consultant
Network Engineer
Tiago Amorim
Feb 10, 2012, 8:10:16 AM2/10/12
to mtcna_mtc...@googlegroups.com
Eu postei as rotas...
Tão corretas, não estão?? u.u"
Guilherme Ramires
Feb 10, 2012, 8:17:00 AM2/10/12
to mtcna_mtc...@googlegroups.com
Postou sim. Porém essa máquina 10.1.1.201 não dá pra saber quantos routers tem entre ela e o destino.
Olhando bem agora verifiquei que o IP da interface EoIP é o mesmo do túnel pptp. Isso ai também deve ser corrigido.
Até porque a interface eoip não necessita de endereço ip.
Uma dúvida particular: Se você montou um EoIP, porque não fez a VPN com PPPoE ao invés de PPtP? Se você tem conectividade IP você faz com PPTP,
L2TP, OVPN, SSTP, etc...
Tiago Amorim
Feb 13, 2012, 5:02:49 AM2/13/12
to mtcna_mtc...@googlegroups.com
Pra te ser sincero, não sei lhe dizer. Não tenho embasamento suficiente.
Foi a maneira que encontrei na wiki do mirkotik. Achei simples e ficou com o acesso rápido e bem legal.
Além disso, se não me engano, o modo é seguro, segundo as propriedades do PPtP.
Aceitarei toda e qualquer sugestão que venha a me ofertar, no que diz respeito à melhorar a segurança ou desempenho.
Abaixo as informações que recolhi para lhe mostrar quão curiosa está a situação.
Entre os pontos da VPN e os hosts que pinguei, não há mais roteadores.
Segue:
SERVER
/ip route
add comment="Rede IP2" disabled=no distance=1 dst-address=10.1.0.0/16 gateway=10.0.0.2 scope=30 target-scope=10
add comment="Rede IP2" disabled=no distance=1 dst-address=10.2.0.0/16 gateway=10.0.0.2 scope=30 target-scope=10
add comment="Rede IP2 Comercial" disabled=no distance=1 dst-address=10.5.10.0/24 gateway=10.0.0.2 scope=30 target-scope=10
add comment="Rede IP2 Suporte" disabled=no distance=1 dst-address=10.6.10.0/24 gateway=10.0.0.2 scope=30 target-scope=10
/ip address
6 D 10.0.0.1/32 10.0.0.2 <pptp-vpn>
ping para o túnel remoto
[admin@MikroTik] > ping 10.0.0.2
HOST SIZE TTL TIME STATUS
10.0.0.2 56 64 2ms
10.0.0.2 56 64 2ms
ping para a rb da vpn que comporta o túnel
[admin@MikroTik] > ping 10.1.1.14
HOST SIZE TTL TIME STATUS
10.1.1.14 56 64 3ms
10.1.1.14 56 64 2ms
ping para o um host que está pra trás da vpn
[admin@MikroTik] > ping 10.1.1.201
HOST SIZE TTL TIME STATUS
10.1.1.201 timeout
10.1.1.201 timeout
traceroute para host que está atrás da vpn
[admin@MikroTik] > tool traceroute 10.1.1.201
# ADDRESS RT1 RT2 RT3 STATUS
1 10.0.0.2 2ms 2ms 3ms
2 0.0.0.0 0ms 0ms 0ms
3 0.0.0.0 0ms 0ms 0ms
e continua nisso...
*********
REMOTO
/ip route
/ip route
add comment=Default disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.1.5 scope=30 target-scope=10
add disabled=no distance=1 dst-address=10.0.0.0/30 gateway=10.1.1.5 scope=30 target-scope=10
add disabled=no distance=1 dst-address=10.5.0.0/23 gateway=10.0.0.1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=172.16.0.0/22 gateway=10.0.0.1 scope=30 target-scope=10
add disabled=no distance=1 dst-address=192.168.0.0/16 gateway=10.0.0.1 scope=30 target-scope=10
/ip address
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; IP2
10.1.1.14/24 10.1.1.0 bridge1
1 D 10.0.0.2/32 10.0.0.1 vpn
ping para o túnel
[admin@VPN FM] > ping 10.0.0.1
HOST SIZE TTL TIME STATUS
10.0.0.1 56 64 2ms
10.0.0.1 56 64 2ms
ping para a rb da vpn
[admin@VPN FM] > ping 10.5.0.1
HOST SIZE TTL TIME STATUS
10.5.0.1 56 64 2ms
10.5.0.1 56 64 2ms
ping para um host que está atrás da vpn
[admin@VPN FM] > ping 10.5.0.2
HOST SIZE TTL TIME STATUS
10.5.0.2 56 63 2ms
10.5.0.2 56 63 2ms
traceroute para um host que está atrás da vpn
[admin@VPN FM] > tool traceroute 10.5.0.2
# ADDRESS RT1 RT2 RT3 STATUS
1 10.0.0.1 3ms 2ms 2ms
2 10.5.0.2 2ms 3ms 3ms
Obrigado!
Guilherme Ramires
Feb 13, 2012, 8:12:34 AM2/13/12
to mtcna_mtc...@googlegroups.com
Olá todos,
Tiago, o gateway da máquina 10.1.1.201 deve ser 10.1.1.14. Verifique se está correto.
Abraços,
Guilherme Ramires
Mikrotik Training Partner
Mikrotik Consultant
Network Engineer
Mikrotik Training Partner
Mikrotik Consultant
Network Engineer
Em 13/02/2012, às 07:02, Tiago Amorim escreveu:
10.1.1.201
Guilherme Ramires
Feb 13, 2012, 8:16:04 AM2/13/12
to mtcna_mtc...@googlegroups.com
Olá todos,
Tiago, o gateway da máquina 10.1.1.201
Guilherme Ramires
Mikrotik Training Partner
Mikrotik Consultant
Network Engineer
Mikrotik Training Partner
Mikrotik Consultant
Network Engineer
Tiago Amorim
Feb 13, 2012, 10:54:39 AM2/13/12
to mtcna_mtc...@googlegroups.com
O GW do 10.1.1.201 é o 10.1.1.5 ou o 10.1.1.4 que são os dois GW da nossa rede.
Guilherme Ramires
Feb 13, 2012, 11:34:39 AM2/13/12
to mtcna_mtc...@googlegroups.com
Pela configuração que você postou o gateway da máquina 10.1.1201 deve ser o 10.1.1.4. Teste com esse e diga.
Caso essa máquina seja windows, certifique-se que ela aceita qualquer ICMP ou libere os icmps Time Excceded e Destination unreachable, ok?
abraços,
Tiago Amorim
Feb 13, 2012, 11:44:30 AM2/13/12
to mtcna_mtc...@googlegroups.com
É windows é aceita ICMP sim... Tranquilo...
O quê eu to querendo de fato é fazer com que ambos os lados, as redes diferentes, se comuniquem da maneira mais transparente o possível.
Do lado das redes 10.1.0.0/16. 10.2.0.0/16 e 10.6.10.0/24 eu consegui acertar todos os hosts da 10.5.0.1/23 perfeitamente.
O contrário eu não consigo.
Observa o traceroute. Páro quando chego na 10.1.1.14 =\
Obrigadão pela ajuda.
[]s
Guilherme Ramires
Feb 14, 2012, 9:30:54 AM2/14/12
to mtcna_mtc...@googlegroups.com
Se for de máquina windows pra máquina windows você pode fazer PPtP ou L2TP. Elas se acessam direto.
Ou ainda utilizar a técnica BCP. Pra isso você cria uma bridge, crie um perfil e aponte a bridge nesse perfil. Crie os clientes PPtP ou L2TP
e coloque na bridge as ethers que farão parte da transparência. Qualquer dúvida segue esse passo-a-passo aqui:
No seu caso acho que será mais fácil e ideal pro seu problema, ok?
Abraços,
Tiago Amorim
Feb 14, 2012, 10:12:22 AM2/14/12
to mtcna_mtc...@googlegroups.com
Guilherme...
Essa VPN está integrando duas redes consideravelmente grandes.
Uma com mil hosts + rádios e outra com 5000 hosts + rádios.
Estamos na rede maior, acessando a menor sem problemas, e de fato é o que precisamos, mas a rede menor não acessa a maior.
É este o problema que está me afetando.
O host 10.1.1.201 é apenas um exemplo.
Obrigado.
[]s
Guilherme Ramires
Feb 14, 2012, 10:30:54 AM2/14/12
to mtcna_mtc...@googlegroups.com
Nesse caso desconsidere o EoIP. Faça um PPtP direto pois diminuirá o overhead causado pelo GRE no EoIP.
Se o roteamento tiver certinho não tem motivo de não funcionar. Faça o PPtP direto e teste.
Reply all
Reply to author
Forward
0 new messages