[MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?

Bruno Cabral bruno at openline.com.br
Mon Sep 28 23:18:25 BRT 2015


Desculpa perguntar mas por que precisa de DHCP? Colocar o mesmo pool do dhcp no L2TP não resolve?

!3runo Cabral

> From: fischerdouglas at gmail.com
> Date: Mon, 28 Sep 2015 23:10:13 -0300
> To: masoch-l at eng.registro.br
> Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> 
> [Cross Posting de outra thread / outra lista]
> 
> Senhores.
> Tornei a bater cabeça com essa parada...
> 
> Pelo que pude analisar, o RouterOS não dá suporte a atribuição de endereço
> do remote-peer através de DHCP(e consequentementeo suas options), somente
> diretamente através IP-Pool(seco).
> 
> No link abaixo um tal de Galaxy fez uma explicação exemplar sobre como
> publicar as rotas de split-vpn através de DHCP sobre L2TP em um Aceel-PPP.
> 
> http://serverfault.com/questions/574121/is-it-possible-for-l2tp-vpn-to-do-auto-route-configuration-for-client-during-con
> 
> Também encontrei outras citações sobre o tema com Astaro e outros
> fabricantes.
> 
> Será que consigo colocar essa parada(DHCP no L2TP-Server) na whish-list da
> Mikrotik?
> 
> Em 31 de agosto de 2015 09:56, Bruno Cabral <bruno at openline.com.br>
> escreveu:
> 
> > Ola
> >
> > Para compartilhar o range da lan do dhcp no mk bastou usar o mesmo nome de
> > pool (do dhcpd) no l2tp server e informar que adicione a interface criada
> > na bridge no campo correspondente. Funcionou lindamente
> >
> > Sobre a idéia de passar rotas estaticas durante os testes eu tentei
> > diferente. Desativei o dhcp da vpn e usei faixa estática, mas mesmo assim o
> > cliente recebeu a rota padrão apontando pro ip do servidor (ou seja, não
> > recebeu o ip default da lan do servidor). Penso que tem lógica pois para
> > acessar a rede do servidor como a "wan" eh com ele, a rota da rede também
> > seria
> >
> > Mais ou menos como usar /32 no dhcp que provedores fazem
> >
> > Acho incrível que uma empresa do porte da micosoft cometa deslizes como um
> > botao de propriedade que não abra a janela (no w10) e não permita desligar
> > rota padrão de ipv4 (no server 2008 e no 2012 também). São coisas básicas!
> >
> > Obrigado por responder
> >
> > !3runo Cabral
> >
> > > From: fischerdouglas at gmail.com
> > > Date: Mon, 31 Aug 2015 09:12:38 -0300
> > > To: masoch-l at eng.registro.br
> > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > >
> > > Bruno, já tem um tempo que eu estou para testar um Workaround para o
> > > recurso de SplitVPN.
> > >    P.S.: Na verdade validar se o recurso não caiu em inviabilidade por
> > > desuso.
> > >
> > > A-long-long-time-ago eu fazia splitvpn usando um DHCP-Pool para atribuir
> > > endereços aos PeersRemotos.
> > >
> > > Ao invés de entregar a opção Default-Router do DHCP, entregar rotas
> > > estáticas através da Opção 121 (Lembrar que são do Tipo TLV).
> > >
> > > Como sempre aparece uma coisa mais importante, acabo sempre deixando para
> > > depois.
> > > Mas acho que isso pode mesmo funcionar, pois uso essa Option em algumas
> > > LANs onde preciso desviar alguns clientes de um determinado router.
> > >
> > > Se você se animar e resolver testar, "xerêia" conosco os resultados.
> > >
> > >
> > > P.S.2: Tentei usar isso com MK, mas aquela nhaca não sabe usar DHCP como
> > > Pool de atribuição de endereços da VPN.
> > >
> > >
> > > 2015-08-30 8:50 GMT-03:00 Bruno Cabral <bruno at openline.com.br>:
> > >
> > > > Parece que eh um bug conhecido
> > > >
> > > >
> > > >
> > http://superuser.com/questions/954801/how-can-i-disable-use-default-gateway-for-remote-networks-setting-in-windows-1
> > > >
> > > > Possivel solução usando powershell
> > > >
> > > > Set-VpnConnection -Name "myVPN" -SplitTunneling $True
> > > >
> > > > Testarei na segunda
> > > >
> > > > []s !3runo
> > > >
> > > > > From: bruno at openline.com.br
> > > > > To: masoch-l at eng.registro.br
> > > > > Date: Sun, 30 Aug 2015 08:38:17 -0300
> > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > > >
> > > > > Ola
> > > > >
> > > > > O mikrotik suporta radius mas não sou eu quem administro o server
> > 2008 e
> > > > se não precisasse instalar nada a mais nele seria preferível
> > > > >
> > > > > No entanto parece que nao sera possivel pois achei isto
> > > > >
> > > > > “Enable Default Route Advertisement” should be checked on – if you
> > will
> > > > like to make this RRAS server as the default IPv6 gateway for the
> > remote
> > > > access clients (i.e. turning split-tunneling off for the IPv6
> > transport in
> > > > the remote access client)
> > > > > Note: This check-box is not available on IPv4 tab – because in case
> > of
> > > > IPv4 the remote access client’s VPN configuration is the ONLY
> > configuration
> > > > that governs whether it has default IPv4 gateway towards VPN server or
> > not
> > > > >
> > > > > Estamos tentando descobrir por que nao temos acesso a caixa de
> > dialogo
> > > > "use default gateway on remote network" nos clientes, como sugerido
> > pelo
> > > > Rubens
> > > > >
> > > > > Agradeço as respostas recebidas de qualquer forma
> > > > >
> > > > > !3runo Cabral
> > > > >
> > > > > > From: listas at leonardoamaral.com.br
> > > > > > Date: Sat, 29 Aug 2015 12:06:02 -0300
> > > > > > To: masoch-l at eng.registro.br
> > > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > > > >
> > > > > > Em 29 de agosto de 2015 09:25, Bruno Cabral <bruno at openline.com.br
> > >
> > > > > > escreveu:
> > > > > >
> > > > > > > O mesmo setup com um mikrotik como servidor L2TP funciona
> > lindamente
> > > > mas
> > > > > > > preciso fazer no 2008 devido a integracao com o AD
> > > > > > >
> > > > > >
> > > > > > L2TP na Mikrotik não suporta AAA?
> > > > > > __
> > > > > > masoch-l list
> > > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > >
> > > > > __
> > > > > masoch-l list
> > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > >
> > >
> > >
> > > --
> > > Douglas Fernando Fischer
> > > Engº de Controle e Automação
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> 
> 
> 
> -- 
> Douglas Fernando Fischer
> Engº de Controle e Automação
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
 		 	   		  


More information about the masoch-l mailing list