[MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?

Douglas Fischer fischerdouglas at gmail.com
Mon Sep 28 23:43:01 -03 2015


Isso, é claro, considerando que você(assim como eu) acho tosco/porco
bagarái ficar fazendo script estático nos clientes para definir quais redes
devem ou não vir pelo tunnel.

E o pior de tudo é quando, sem que tenha como contornar, tem-se que
adicionar mais uma rede no SplitVPN.
Aí lascou-se... Alterar Script de 100-250 notebooks / smartphones /
pcs-homeoffice / etc, etc etc...

Em 28 de setembro de 2015 23:38, Douglas Fischer <fischerdouglas at gmail.com>
escreveu:

> Trata-se de Split-VPN
>
> Através das Options 121(non-microsoft) e 249(microsoft-OSs), atribui-se
> rotas estáticas para o cliente DHCP.
>
> Se usar DHCP, consegue-se ensinar o client-l2tp(ou pptp) que "tais redes"
> devem vir pelo tunnel, o resto do mundo segue para a o gateway padrão da
> rede lan do cliente.
>
>
> Do pouco que eu já aprendi a luitar com o BugKit, seria o equivalente ao
> opção "Split Include" do "Mode Config" no IPSec do Router-OS.
>
> Em 28 de setembro de 2015 23:18, Bruno Cabral <bruno at openline.com.br>
> escreveu:
>
>> Desculpa perguntar mas por que precisa de DHCP? Colocar o mesmo pool do
>> dhcp no L2TP não resolve?
>>
>> !3runo Cabral
>>
>> > From: fischerdouglas at gmail.com
>> > Date: Mon, 28 Sep 2015 23:10:13 -0300
>> > To: masoch-l at eng.registro.br
>> > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
>> >
>> > [Cross Posting de outra thread / outra lista]
>> >
>> > Senhores.
>> > Tornei a bater cabeça com essa parada...
>> >
>> > Pelo que pude analisar, o RouterOS não dá suporte a atribuição de
>> endereço
>> > do remote-peer através de DHCP(e consequentementeo suas options),
>> somente
>> > diretamente através IP-Pool(seco).
>> >
>> > No link abaixo um tal de Galaxy fez uma explicação exemplar sobre como
>> > publicar as rotas de split-vpn através de DHCP sobre L2TP em um
>> Aceel-PPP.
>> >
>> >
>> http://serverfault.com/questions/574121/is-it-possible-for-l2tp-vpn-to-do-auto-route-configuration-for-client-during-con
>> >
>> > Também encontrei outras citações sobre o tema com Astaro e outros
>> > fabricantes.
>> >
>> > Será que consigo colocar essa parada(DHCP no L2TP-Server) na whish-list
>> da
>> > Mikrotik?
>> >
>> > Em 31 de agosto de 2015 09:56, Bruno Cabral <bruno at openline.com.br>
>> > escreveu:
>> >
>> > > Ola
>> > >
>> > > Para compartilhar o range da lan do dhcp no mk bastou usar o mesmo
>> nome de
>> > > pool (do dhcpd) no l2tp server e informar que adicione a interface
>> criada
>> > > na bridge no campo correspondente. Funcionou lindamente
>> > >
>> > > Sobre a idéia de passar rotas estaticas durante os testes eu tentei
>> > > diferente. Desativei o dhcp da vpn e usei faixa estática, mas mesmo
>> assim o
>> > > cliente recebeu a rota padrão apontando pro ip do servidor (ou seja,
>> não
>> > > recebeu o ip default da lan do servidor). Penso que tem lógica pois
>> para
>> > > acessar a rede do servidor como a "wan" eh com ele, a rota da rede
>> também
>> > > seria
>> > >
>> > > Mais ou menos como usar /32 no dhcp que provedores fazem
>> > >
>> > > Acho incrível que uma empresa do porte da micosoft cometa deslizes
>> como um
>> > > botao de propriedade que não abra a janela (no w10) e não permita
>> desligar
>> > > rota padrão de ipv4 (no server 2008 e no 2012 também). São coisas
>> básicas!
>> > >
>> > > Obrigado por responder
>> > >
>> > > !3runo Cabral
>> > >
>> > > > From: fischerdouglas at gmail.com
>> > > > Date: Mon, 31 Aug 2015 09:12:38 -0300
>> > > > To: masoch-l at eng.registro.br
>> > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
>> > > >
>> > > > Bruno, já tem um tempo que eu estou para testar um Workaround para o
>> > > > recurso de SplitVPN.
>> > > >    P.S.: Na verdade validar se o recurso não caiu em inviabilidade
>> por
>> > > > desuso.
>> > > >
>> > > > A-long-long-time-ago eu fazia splitvpn usando um DHCP-Pool para
>> atribuir
>> > > > endereços aos PeersRemotos.
>> > > >
>> > > > Ao invés de entregar a opção Default-Router do DHCP, entregar rotas
>> > > > estáticas através da Opção 121 (Lembrar que são do Tipo TLV).
>> > > >
>> > > > Como sempre aparece uma coisa mais importante, acabo sempre
>> deixando para
>> > > > depois.
>> > > > Mas acho que isso pode mesmo funcionar, pois uso essa Option em
>> algumas
>> > > > LANs onde preciso desviar alguns clientes de um determinado router.
>> > > >
>> > > > Se você se animar e resolver testar, "xerêia" conosco os resultados.
>> > > >
>> > > >
>> > > > P.S.2: Tentei usar isso com MK, mas aquela nhaca não sabe usar DHCP
>> como
>> > > > Pool de atribuição de endereços da VPN.
>> > > >
>> > > >
>> > > > 2015-08-30 8:50 GMT-03:00 Bruno Cabral <bruno at openline.com.br>:
>> > > >
>> > > > > Parece que eh um bug conhecido
>> > > > >
>> > > > >
>> > > > >
>> > >
>> http://superuser.com/questions/954801/how-can-i-disable-use-default-gateway-for-remote-networks-setting-in-windows-1
>> > > > >
>> > > > > Possivel solução usando powershell
>> > > > >
>> > > > > Set-VpnConnection -Name "myVPN" -SplitTunneling $True
>> > > > >
>> > > > > Testarei na segunda
>> > > > >
>> > > > > []s !3runo
>> > > > >
>> > > > > > From: bruno at openline.com.br
>> > > > > > To: masoch-l at eng.registro.br
>> > > > > > Date: Sun, 30 Aug 2015 08:38:17 -0300
>> > > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
>> > > > > >
>> > > > > > Ola
>> > > > > >
>> > > > > > O mikrotik suporta radius mas não sou eu quem administro o
>> server
>> > > 2008 e
>> > > > > se não precisasse instalar nada a mais nele seria preferível
>> > > > > >
>> > > > > > No entanto parece que nao sera possivel pois achei isto
>> > > > > >
>> > > > > > “Enable Default Route Advertisement” should be checked on – if
>> you
>> > > will
>> > > > > like to make this RRAS server as the default IPv6 gateway for the
>> > > remote
>> > > > > access clients (i.e. turning split-tunneling off for the IPv6
>> > > transport in
>> > > > > the remote access client)
>> > > > > > Note: This check-box is not available on IPv4 tab – because in
>> case
>> > > of
>> > > > > IPv4 the remote access client’s VPN configuration is the ONLY
>> > > configuration
>> > > > > that governs whether it has default IPv4 gateway towards VPN
>> server or
>> > > not
>> > > > > >
>> > > > > > Estamos tentando descobrir por que nao temos acesso a caixa de
>> > > dialogo
>> > > > > "use default gateway on remote network" nos clientes, como
>> sugerido
>> > > pelo
>> > > > > Rubens
>> > > > > >
>> > > > > > Agradeço as respostas recebidas de qualquer forma
>> > > > > >
>> > > > > > !3runo Cabral
>> > > > > >
>> > > > > > > From: listas at leonardoamaral.com.br
>> > > > > > > Date: Sat, 29 Aug 2015 12:06:02 -0300
>> > > > > > > To: masoch-l at eng.registro.br
>> > > > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
>> > > > > > >
>> > > > > > > Em 29 de agosto de 2015 09:25, Bruno Cabral <
>> bruno at openline.com.br
>> > > >
>> > > > > > > escreveu:
>> > > > > > >
>> > > > > > > > O mesmo setup com um mikrotik como servidor L2TP funciona
>> > > lindamente
>> > > > > mas
>> > > > > > > > preciso fazer no 2008 devido a integracao com o AD
>> > > > > > > >
>> > > > > > >
>> > > > > > > L2TP na Mikrotik não suporta AAA?
>> > > > > > > __
>> > > > > > > masoch-l list
>> > > > > > > https://eng.registro.br/mailman/listinfo/masoch-l
>> > > > > >
>> > > > > > __
>> > > > > > masoch-l list
>> > > > > > https://eng.registro.br/mailman/listinfo/masoch-l
>> > > > >
>> > > > > __
>> > > > > masoch-l list
>> > > > > https://eng.registro.br/mailman/listinfo/masoch-l
>> > > > >
>> > > >
>> > > >
>> > > >
>> > > > --
>> > > > Douglas Fernando Fischer
>> > > > Engº de Controle e Automação
>> > > > __
>> > > > masoch-l list
>> > > > https://eng.registro.br/mailman/listinfo/masoch-l
>> > >
>> > > __
>> > > masoch-l list
>> > > https://eng.registro.br/mailman/listinfo/masoch-l
>> > >
>> >
>> >
>> >
>> > --
>> > Douglas Fernando Fischer
>> > Engº de Controle e Automação
>> > __
>> > masoch-l list
>> > https://eng.registro.br/mailman/listinfo/masoch-l
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the masoch-l mailing list