[MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?

Douglas Fischer fischerdouglas at gmail.com
Mon Sep 28 23:38:23 -03 2015


Trata-se de Split-VPN

Através das Options 121(non-microsoft) e 249(microsoft-OSs), atribui-se
rotas estáticas para o cliente DHCP.

Se usar DHCP, consegue-se ensinar o client-l2tp(ou pptp) que "tais redes"
devem vir pelo tunnel, o resto do mundo segue para a o gateway padrão da
rede lan do cliente.


Do pouco que eu já aprendi a luitar com o BugKit, seria o equivalente ao
opção "Split Include" do "Mode Config" no IPSec do Router-OS.

Em 28 de setembro de 2015 23:18, Bruno Cabral <bruno at openline.com.br>
escreveu:

> Desculpa perguntar mas por que precisa de DHCP? Colocar o mesmo pool do
> dhcp no L2TP não resolve?
>
> !3runo Cabral
>
> > From: fischerdouglas at gmail.com
> > Date: Mon, 28 Sep 2015 23:10:13 -0300
> > To: masoch-l at eng.registro.br
> > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> >
> > [Cross Posting de outra thread / outra lista]
> >
> > Senhores.
> > Tornei a bater cabeça com essa parada...
> >
> > Pelo que pude analisar, o RouterOS não dá suporte a atribuição de
> endereço
> > do remote-peer através de DHCP(e consequentementeo suas options), somente
> > diretamente através IP-Pool(seco).
> >
> > No link abaixo um tal de Galaxy fez uma explicação exemplar sobre como
> > publicar as rotas de split-vpn através de DHCP sobre L2TP em um
> Aceel-PPP.
> >
> >
> http://serverfault.com/questions/574121/is-it-possible-for-l2tp-vpn-to-do-auto-route-configuration-for-client-during-con
> >
> > Também encontrei outras citações sobre o tema com Astaro e outros
> > fabricantes.
> >
> > Será que consigo colocar essa parada(DHCP no L2TP-Server) na whish-list
> da
> > Mikrotik?
> >
> > Em 31 de agosto de 2015 09:56, Bruno Cabral <bruno at openline.com.br>
> > escreveu:
> >
> > > Ola
> > >
> > > Para compartilhar o range da lan do dhcp no mk bastou usar o mesmo
> nome de
> > > pool (do dhcpd) no l2tp server e informar que adicione a interface
> criada
> > > na bridge no campo correspondente. Funcionou lindamente
> > >
> > > Sobre a idéia de passar rotas estaticas durante os testes eu tentei
> > > diferente. Desativei o dhcp da vpn e usei faixa estática, mas mesmo
> assim o
> > > cliente recebeu a rota padrão apontando pro ip do servidor (ou seja,
> não
> > > recebeu o ip default da lan do servidor). Penso que tem lógica pois
> para
> > > acessar a rede do servidor como a "wan" eh com ele, a rota da rede
> também
> > > seria
> > >
> > > Mais ou menos como usar /32 no dhcp que provedores fazem
> > >
> > > Acho incrível que uma empresa do porte da micosoft cometa deslizes
> como um
> > > botao de propriedade que não abra a janela (no w10) e não permita
> desligar
> > > rota padrão de ipv4 (no server 2008 e no 2012 também). São coisas
> básicas!
> > >
> > > Obrigado por responder
> > >
> > > !3runo Cabral
> > >
> > > > From: fischerdouglas at gmail.com
> > > > Date: Mon, 31 Aug 2015 09:12:38 -0300
> > > > To: masoch-l at eng.registro.br
> > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > >
> > > > Bruno, já tem um tempo que eu estou para testar um Workaround para o
> > > > recurso de SplitVPN.
> > > >    P.S.: Na verdade validar se o recurso não caiu em inviabilidade
> por
> > > > desuso.
> > > >
> > > > A-long-long-time-ago eu fazia splitvpn usando um DHCP-Pool para
> atribuir
> > > > endereços aos PeersRemotos.
> > > >
> > > > Ao invés de entregar a opção Default-Router do DHCP, entregar rotas
> > > > estáticas através da Opção 121 (Lembrar que são do Tipo TLV).
> > > >
> > > > Como sempre aparece uma coisa mais importante, acabo sempre deixando
> para
> > > > depois.
> > > > Mas acho que isso pode mesmo funcionar, pois uso essa Option em
> algumas
> > > > LANs onde preciso desviar alguns clientes de um determinado router.
> > > >
> > > > Se você se animar e resolver testar, "xerêia" conosco os resultados.
> > > >
> > > >
> > > > P.S.2: Tentei usar isso com MK, mas aquela nhaca não sabe usar DHCP
> como
> > > > Pool de atribuição de endereços da VPN.
> > > >
> > > >
> > > > 2015-08-30 8:50 GMT-03:00 Bruno Cabral <bruno at openline.com.br>:
> > > >
> > > > > Parece que eh um bug conhecido
> > > > >
> > > > >
> > > > >
> > >
> http://superuser.com/questions/954801/how-can-i-disable-use-default-gateway-for-remote-networks-setting-in-windows-1
> > > > >
> > > > > Possivel solução usando powershell
> > > > >
> > > > > Set-VpnConnection -Name "myVPN" -SplitTunneling $True
> > > > >
> > > > > Testarei na segunda
> > > > >
> > > > > []s !3runo
> > > > >
> > > > > > From: bruno at openline.com.br
> > > > > > To: masoch-l at eng.registro.br
> > > > > > Date: Sun, 30 Aug 2015 08:38:17 -0300
> > > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > > > >
> > > > > > Ola
> > > > > >
> > > > > > O mikrotik suporta radius mas não sou eu quem administro o server
> > > 2008 e
> > > > > se não precisasse instalar nada a mais nele seria preferível
> > > > > >
> > > > > > No entanto parece que nao sera possivel pois achei isto
> > > > > >
> > > > > > “Enable Default Route Advertisement” should be checked on – if
> you
> > > will
> > > > > like to make this RRAS server as the default IPv6 gateway for the
> > > remote
> > > > > access clients (i.e. turning split-tunneling off for the IPv6
> > > transport in
> > > > > the remote access client)
> > > > > > Note: This check-box is not available on IPv4 tab – because in
> case
> > > of
> > > > > IPv4 the remote access client’s VPN configuration is the ONLY
> > > configuration
> > > > > that governs whether it has default IPv4 gateway towards VPN
> server or
> > > not
> > > > > >
> > > > > > Estamos tentando descobrir por que nao temos acesso a caixa de
> > > dialogo
> > > > > "use default gateway on remote network" nos clientes, como sugerido
> > > pelo
> > > > > Rubens
> > > > > >
> > > > > > Agradeço as respostas recebidas de qualquer forma
> > > > > >
> > > > > > !3runo Cabral
> > > > > >
> > > > > > > From: listas at leonardoamaral.com.br
> > > > > > > Date: Sat, 29 Aug 2015 12:06:02 -0300
> > > > > > > To: masoch-l at eng.registro.br
> > > > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > > > > >
> > > > > > > Em 29 de agosto de 2015 09:25, Bruno Cabral <
> bruno at openline.com.br
> > > >
> > > > > > > escreveu:
> > > > > > >
> > > > > > > > O mesmo setup com um mikrotik como servidor L2TP funciona
> > > lindamente
> > > > > mas
> > > > > > > > preciso fazer no 2008 devido a integracao com o AD
> > > > > > > >
> > > > > > >
> > > > > > > L2TP na Mikrotik não suporta AAA?
> > > > > > > __
> > > > > > > masoch-l list
> > > > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > > >
> > > > > > __
> > > > > > masoch-l list
> > > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > >
> > > > > __
> > > > > masoch-l list
> > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Douglas Fernando Fischer
> > > > Engº de Controle e Automação
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the masoch-l mailing list