[MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
Douglas Fischer
fischerdouglas at gmail.com
Mon Sep 28 23:10:13 BRT 2015
[Cross Posting de outra thread / outra lista]
Senhores.
Tornei a bater cabeça com essa parada...
Pelo que pude analisar, o RouterOS não dá suporte a atribuição de endereço
do remote-peer através de DHCP(e consequentementeo suas options), somente
diretamente através IP-Pool(seco).
No link abaixo um tal de Galaxy fez uma explicação exemplar sobre como
publicar as rotas de split-vpn através de DHCP sobre L2TP em um Aceel-PPP.
http://serverfault.com/questions/574121/is-it-possible-for-l2tp-vpn-to-do-auto-route-configuration-for-client-during-con
Também encontrei outras citações sobre o tema com Astaro e outros
fabricantes.
Será que consigo colocar essa parada(DHCP no L2TP-Server) na whish-list da
Mikrotik?
Em 31 de agosto de 2015 09:56, Bruno Cabral <bruno at openline.com.br>
escreveu:
> Ola
>
> Para compartilhar o range da lan do dhcp no mk bastou usar o mesmo nome de
> pool (do dhcpd) no l2tp server e informar que adicione a interface criada
> na bridge no campo correspondente. Funcionou lindamente
>
> Sobre a idéia de passar rotas estaticas durante os testes eu tentei
> diferente. Desativei o dhcp da vpn e usei faixa estática, mas mesmo assim o
> cliente recebeu a rota padrão apontando pro ip do servidor (ou seja, não
> recebeu o ip default da lan do servidor). Penso que tem lógica pois para
> acessar a rede do servidor como a "wan" eh com ele, a rota da rede também
> seria
>
> Mais ou menos como usar /32 no dhcp que provedores fazem
>
> Acho incrível que uma empresa do porte da micosoft cometa deslizes como um
> botao de propriedade que não abra a janela (no w10) e não permita desligar
> rota padrão de ipv4 (no server 2008 e no 2012 também). São coisas básicas!
>
> Obrigado por responder
>
> !3runo Cabral
>
> > From: fischerdouglas at gmail.com
> > Date: Mon, 31 Aug 2015 09:12:38 -0300
> > To: masoch-l at eng.registro.br
> > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> >
> > Bruno, já tem um tempo que eu estou para testar um Workaround para o
> > recurso de SplitVPN.
> > P.S.: Na verdade validar se o recurso não caiu em inviabilidade por
> > desuso.
> >
> > A-long-long-time-ago eu fazia splitvpn usando um DHCP-Pool para atribuir
> > endereços aos PeersRemotos.
> >
> > Ao invés de entregar a opção Default-Router do DHCP, entregar rotas
> > estáticas através da Opção 121 (Lembrar que são do Tipo TLV).
> >
> > Como sempre aparece uma coisa mais importante, acabo sempre deixando para
> > depois.
> > Mas acho que isso pode mesmo funcionar, pois uso essa Option em algumas
> > LANs onde preciso desviar alguns clientes de um determinado router.
> >
> > Se você se animar e resolver testar, "xerêia" conosco os resultados.
> >
> >
> > P.S.2: Tentei usar isso com MK, mas aquela nhaca não sabe usar DHCP como
> > Pool de atribuição de endereços da VPN.
> >
> >
> > 2015-08-30 8:50 GMT-03:00 Bruno Cabral <bruno at openline.com.br>:
> >
> > > Parece que eh um bug conhecido
> > >
> > >
> > >
> http://superuser.com/questions/954801/how-can-i-disable-use-default-gateway-for-remote-networks-setting-in-windows-1
> > >
> > > Possivel solução usando powershell
> > >
> > > Set-VpnConnection -Name "myVPN" -SplitTunneling $True
> > >
> > > Testarei na segunda
> > >
> > > []s !3runo
> > >
> > > > From: bruno at openline.com.br
> > > > To: masoch-l at eng.registro.br
> > > > Date: Sun, 30 Aug 2015 08:38:17 -0300
> > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > >
> > > > Ola
> > > >
> > > > O mikrotik suporta radius mas não sou eu quem administro o server
> 2008 e
> > > se não precisasse instalar nada a mais nele seria preferível
> > > >
> > > > No entanto parece que nao sera possivel pois achei isto
> > > >
> > > > “Enable Default Route Advertisement” should be checked on – if you
> will
> > > like to make this RRAS server as the default IPv6 gateway for the
> remote
> > > access clients (i.e. turning split-tunneling off for the IPv6
> transport in
> > > the remote access client)
> > > > Note: This check-box is not available on IPv4 tab – because in case
> of
> > > IPv4 the remote access client’s VPN configuration is the ONLY
> configuration
> > > that governs whether it has default IPv4 gateway towards VPN server or
> not
> > > >
> > > > Estamos tentando descobrir por que nao temos acesso a caixa de
> dialogo
> > > "use default gateway on remote network" nos clientes, como sugerido
> pelo
> > > Rubens
> > > >
> > > > Agradeço as respostas recebidas de qualquer forma
> > > >
> > > > !3runo Cabral
> > > >
> > > > > From: listas at leonardoamaral.com.br
> > > > > Date: Sat, 29 Aug 2015 12:06:02 -0300
> > > > > To: masoch-l at eng.registro.br
> > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > > >
> > > > > Em 29 de agosto de 2015 09:25, Bruno Cabral <bruno at openline.com.br
> >
> > > > > escreveu:
> > > > >
> > > > > > O mesmo setup com um mikrotik como servidor L2TP funciona
> lindamente
> > > mas
> > > > > > preciso fazer no 2008 devido a integracao com o AD
> > > > > >
> > > > >
> > > > > L2TP na Mikrotik não suporta AAA?
> > > > > __
> > > > > masoch-l list
> > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
--
Douglas Fernando Fischer
Engº de Controle e Automação
More information about the masoch-l
mailing list