[MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?

Bruno Cabral bruno at openline.com.br
Mon Sep 28 23:44:21 BRT 2015


Ah ta. Você precisa de mais que a rede do DHCP? Pode usar um script de conexão do lado do cliente?

Por sinal tive um problema no ruindows 10 nisso. Ele joga default pro túnel e não há como desligar

!3runo Cabral

> From: fischerdouglas at gmail.com
> Date: Mon, 28 Sep 2015 23:38:23 -0300
> To: masoch-l at eng.registro.br
> Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> 
> Trata-se de Split-VPN
> 
> Através das Options 121(non-microsoft) e 249(microsoft-OSs), atribui-se
> rotas estáticas para o cliente DHCP.
> 
> Se usar DHCP, consegue-se ensinar o client-l2tp(ou pptp) que "tais redes"
> devem vir pelo tunnel, o resto do mundo segue para a o gateway padrão da
> rede lan do cliente.
> 
> 
> Do pouco que eu já aprendi a luitar com o BugKit, seria o equivalente ao
> opção "Split Include" do "Mode Config" no IPSec do Router-OS.
> 
> Em 28 de setembro de 2015 23:18, Bruno Cabral <bruno at openline.com.br>
> escreveu:
> 
> > Desculpa perguntar mas por que precisa de DHCP? Colocar o mesmo pool do
> > dhcp no L2TP não resolve?
> >
> > !3runo Cabral
> >
> > > From: fischerdouglas at gmail.com
> > > Date: Mon, 28 Sep 2015 23:10:13 -0300
> > > To: masoch-l at eng.registro.br
> > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > >
> > > [Cross Posting de outra thread / outra lista]
> > >
> > > Senhores.
> > > Tornei a bater cabeça com essa parada...
> > >
> > > Pelo que pude analisar, o RouterOS não dá suporte a atribuição de
> > endereço
> > > do remote-peer através de DHCP(e consequentementeo suas options), somente
> > > diretamente através IP-Pool(seco).
> > >
> > > No link abaixo um tal de Galaxy fez uma explicação exemplar sobre como
> > > publicar as rotas de split-vpn através de DHCP sobre L2TP em um
> > Aceel-PPP.
> > >
> > >
> > http://serverfault.com/questions/574121/is-it-possible-for-l2tp-vpn-to-do-auto-route-configuration-for-client-during-con
> > >
> > > Também encontrei outras citações sobre o tema com Astaro e outros
> > > fabricantes.
> > >
> > > Será que consigo colocar essa parada(DHCP no L2TP-Server) na whish-list
> > da
> > > Mikrotik?
> > >
> > > Em 31 de agosto de 2015 09:56, Bruno Cabral <bruno at openline.com.br>
> > > escreveu:
> > >
> > > > Ola
> > > >
> > > > Para compartilhar o range da lan do dhcp no mk bastou usar o mesmo
> > nome de
> > > > pool (do dhcpd) no l2tp server e informar que adicione a interface
> > criada
> > > > na bridge no campo correspondente. Funcionou lindamente
> > > >
> > > > Sobre a idéia de passar rotas estaticas durante os testes eu tentei
> > > > diferente. Desativei o dhcp da vpn e usei faixa estática, mas mesmo
> > assim o
> > > > cliente recebeu a rota padrão apontando pro ip do servidor (ou seja,
> > não
> > > > recebeu o ip default da lan do servidor). Penso que tem lógica pois
> > para
> > > > acessar a rede do servidor como a "wan" eh com ele, a rota da rede
> > também
> > > > seria
> > > >
> > > > Mais ou menos como usar /32 no dhcp que provedores fazem
> > > >
> > > > Acho incrível que uma empresa do porte da micosoft cometa deslizes
> > como um
> > > > botao de propriedade que não abra a janela (no w10) e não permita
> > desligar
> > > > rota padrão de ipv4 (no server 2008 e no 2012 também). São coisas
> > básicas!
> > > >
> > > > Obrigado por responder
> > > >
> > > > !3runo Cabral
> > > >
> > > > > From: fischerdouglas at gmail.com
> > > > > Date: Mon, 31 Aug 2015 09:12:38 -0300
> > > > > To: masoch-l at eng.registro.br
> > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > > >
> > > > > Bruno, já tem um tempo que eu estou para testar um Workaround para o
> > > > > recurso de SplitVPN.
> > > > >    P.S.: Na verdade validar se o recurso não caiu em inviabilidade
> > por
> > > > > desuso.
> > > > >
> > > > > A-long-long-time-ago eu fazia splitvpn usando um DHCP-Pool para
> > atribuir
> > > > > endereços aos PeersRemotos.
> > > > >
> > > > > Ao invés de entregar a opção Default-Router do DHCP, entregar rotas
> > > > > estáticas através da Opção 121 (Lembrar que são do Tipo TLV).
> > > > >
> > > > > Como sempre aparece uma coisa mais importante, acabo sempre deixando
> > para
> > > > > depois.
> > > > > Mas acho que isso pode mesmo funcionar, pois uso essa Option em
> > algumas
> > > > > LANs onde preciso desviar alguns clientes de um determinado router.
> > > > >
> > > > > Se você se animar e resolver testar, "xerêia" conosco os resultados.
> > > > >
> > > > >
> > > > > P.S.2: Tentei usar isso com MK, mas aquela nhaca não sabe usar DHCP
> > como
> > > > > Pool de atribuição de endereços da VPN.
> > > > >
> > > > >
> > > > > 2015-08-30 8:50 GMT-03:00 Bruno Cabral <bruno at openline.com.br>:
> > > > >
> > > > > > Parece que eh um bug conhecido
> > > > > >
> > > > > >
> > > > > >
> > > >
> > http://superuser.com/questions/954801/how-can-i-disable-use-default-gateway-for-remote-networks-setting-in-windows-1
> > > > > >
> > > > > > Possivel solução usando powershell
> > > > > >
> > > > > > Set-VpnConnection -Name "myVPN" -SplitTunneling $True
> > > > > >
> > > > > > Testarei na segunda
> > > > > >
> > > > > > []s !3runo
> > > > > >
> > > > > > > From: bruno at openline.com.br
> > > > > > > To: masoch-l at eng.registro.br
> > > > > > > Date: Sun, 30 Aug 2015 08:38:17 -0300
> > > > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > > > > >
> > > > > > > Ola
> > > > > > >
> > > > > > > O mikrotik suporta radius mas não sou eu quem administro o server
> > > > 2008 e
> > > > > > se não precisasse instalar nada a mais nele seria preferível
> > > > > > >
> > > > > > > No entanto parece que nao sera possivel pois achei isto
> > > > > > >
> > > > > > > “Enable Default Route Advertisement” should be checked on – if
> > you
> > > > will
> > > > > > like to make this RRAS server as the default IPv6 gateway for the
> > > > remote
> > > > > > access clients (i.e. turning split-tunneling off for the IPv6
> > > > transport in
> > > > > > the remote access client)
> > > > > > > Note: This check-box is not available on IPv4 tab – because in
> > case
> > > > of
> > > > > > IPv4 the remote access client’s VPN configuration is the ONLY
> > > > configuration
> > > > > > that governs whether it has default IPv4 gateway towards VPN
> > server or
> > > > not
> > > > > > >
> > > > > > > Estamos tentando descobrir por que nao temos acesso a caixa de
> > > > dialogo
> > > > > > "use default gateway on remote network" nos clientes, como sugerido
> > > > pelo
> > > > > > Rubens
> > > > > > >
> > > > > > > Agradeço as respostas recebidas de qualquer forma
> > > > > > >
> > > > > > > !3runo Cabral
> > > > > > >
> > > > > > > > From: listas at leonardoamaral.com.br
> > > > > > > > Date: Sat, 29 Aug 2015 12:06:02 -0300
> > > > > > > > To: masoch-l at eng.registro.br
> > > > > > > > Subject: Re: [MASOCH-L] VPN L2TP IPSEC mikrotik x w2008 r2?
> > > > > > > >
> > > > > > > > Em 29 de agosto de 2015 09:25, Bruno Cabral <
> > bruno at openline.com.br
> > > > >
> > > > > > > > escreveu:
> > > > > > > >
> > > > > > > > > O mesmo setup com um mikrotik como servidor L2TP funciona
> > > > lindamente
> > > > > > mas
> > > > > > > > > preciso fazer no 2008 devido a integracao com o AD
> > > > > > > > >
> > > > > > > >
> > > > > > > > L2TP na Mikrotik não suporta AAA?
> > > > > > > > __
> > > > > > > > masoch-l list
> > > > > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > > > >
> > > > > > > __
> > > > > > > masoch-l list
> > > > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > > >
> > > > > > __
> > > > > > masoch-l list
> > > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Douglas Fernando Fischer
> > > > > Engº de Controle e Automação
> > > > > __
> > > > > masoch-l list
> > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > >
> > >
> > >
> > > --
> > > Douglas Fernando Fischer
> > > Engº de Controle e Automação
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> 
> 
> 
> -- 
> Douglas Fernando Fischer
> Engº de Controle e Automação
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
 		 	   		  


More information about the masoch-l mailing list