У меня настроено несколько файрволов 2.8, и у меня есть VPN PPTP для клиентов. Я могу подключиться извне через Windows или OS/X PPTP-клиент и попасть в сеть, а также изнутри через мой WiFi-интерфейс. Однако это не работает, когда я подключаюсь из-за моего файрвола MT или файрволов моих клиентов. Это работает из-за дешевого роутера Netgear в моем местном кафе. Какие есть идеи? Стоит ли переходить на L2TP или IPSEC? Есть ли настройка файрвола, которая повышает надежность NAT traversal? Пришлю конфиги/логи по запросу.
Спасибо,
Джон
sten
Присоединился: 01 июня 2004 г.
Сообщения: 157
Местоположение: Мосс, Норвегия
Опубликовано: среда, 22 июня 2005 г. 0:09
Тема сообщения: Properly configured MT router should work.
Дома вы не говорите, используете ли вы NAT или нет, но в любом случае это должно работать. Вы не указываете, какой PPTP-сервер вы используете. PPTP включен в Firewall->Ports?
Если говорить по теме, то PPTP обычно легче пропускать через файрволы, чем IPSEC. L2TP, однако, должен проходить напрямую (самый простой способ), если только он не был специально заблокирован файрволом. Однако реализация L2TP от Microsoft хочет работать с IPSEC. Я думаю, вы могли бы изменить ее, чтобы не использовать IPSEC-шифрование для L2TP-туннеля с помощью реестра или чего-то подобного. (Попробуйте поискать в Google).
arclight
Присоединился: 21 июня 2005 г.
Сообщения: 2
Местоположение: Лос-Анджелес, Калифорния
Опубликовано: четверг, 23 июня 2005 г. 0:15
Тема сообщения: MT config for PPTP
Когда я подключаюсь из-за моего файрвола, все работает, и я почти немедленно аутентифицируюсь. Изнутри моего файрвола или WiFi-LAN домашней сети моего клиента, он висит на "верифицирую имя пользователя и пароль" и в итоге выдает ошибку Microsoft 619, если подключаться из Windows XP.
Вот мои конфигурации на PPTP-сервере:
[admin@MikroTik] interface pptp-server> pri det
Flags: X - disabled, D - dynamic, R - running
0 name="pptp-in1" user=""
NAME PORTS
0 ftp 21
1 pptp 2
gre 3
X h323 4
mms 5
irc 6667
6 quake3
7 X tftp 69
[admin@MikroTik] ppp profile> pri
Flags: * - default
0 * name="default" local-address=0.0.0.0 remote-address=0.0.0.0 session-timeout=0s idle-timeout=0s use-compression=yes use-vj-compression=no use-encryption=yes require-encryption=yes only-one=no change-tcp-mss=yes tx-bit-rate=0 rx-bit-rate=0 incoming-filter="" outgoing-filter="" dns-server=4.2.2.1 wins-server=""
0 name="user1" service=pptp caller-id="" password="password123" profile=default local-address=192.168.1.254 remote-address=192.168.1.241 routes="" limit-bytes-in=0 limit-bytes-out=0
1 name="user2" service=pptp caller-id="" password="password123" profile=default local-address=192.168.1.254 remote-address=192.168.1.240 routes="" limit-bytes-in=0 limit-bytes-out=0
[admin@MikroTik] ip firewall rule input> pri
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Allow all incoming traffic on local LAN.
src-address=192.168.1.0/24 in-interface=!public action=accept
1 ;;; Allow PPTP to firewall.
dst-address=4.3.211.111/32 protocol=gre action=accept
0 ;;; Allow firewall services out to LAN.
src-address=192.168.1.254/32 dst-address=192.168.1.0/24 out-interface=!public action=accept
1 ;;; Allow outbound FW VPN traffic.
src-address=4.3.211.111/32 out-interface=public protocol=gre action=accept
2 src-address=4.3.211.111/32:1723 out-interface=public protocol=tcp action=accept
Какие есть идеи?
Джон
randyloveless
Присоединился: 30 сентября 2004 г.
Сообщения: 221
Местоположение: Калифорния
Опубликовано: понедельник, 27 июня 2005 г. 07:49
Тема сообщения: i have the same issue on this.
Он работает с большинства других роутеров к моему MT-роутеру. Но у нас есть несколько спутниковых подключений, которые ни за что не подключаются. Подключаются примерно 1 раз из 50. Пробовал менять MTU. Безуспешно. Я тоже получаю ту же ошибку 619.
sten
Присоединился: 01 июня 2004 г.
Сообщения: 157
Местоположение: Мосс, Норвегия
Опубликовано: понедельник, 27 июня 2005 г. 12:54
Тема сообщения: Could be that one end does not set the correct GRE session id.
Это было с poptop, на котором, по-видимому, основывается много кода.
randyloveless
Присоединился: 30 сентября 2004 г.
Сообщения: 221
Местоположение: Калифорния
Опубликовано: понедельник, 27 июня 2005 г. 19:06
Тема сообщения: sten i am going to change out the linsys router that i am having an issue with and see if this fixes the issue.
Но есть обходной путь или нет?
Рэнди
