toobsen
Goto Top

PPTP VPN Nur eine Verbindung möglich

Hallo,

versuche zwischen zwei Standorten mehrer pptp verbindungen hinzubekommen.

Hier mein aufbau.
1c3dd529a3b6d6037feb2615d9d2b2a8

Auf der seite wo der PPTP server steht ist am Router Port 1723 freigegeben.
Kann von extern eine Verbindung problemlos aufbauen nur sobald ich die zweite Verbindung aufbauen will geht nichts mehr.

Jemand ne idee warum???

Gruß
Toobsen

Content-ID: 171993

Url: https://administrator.de/forum/pptp-vpn-nur-eine-verbindung-moeglich-171993.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

michi1983
michi1983 24.08.2011, aktualisiert am 18.10.2012 um 18:48:01 Uhr
Goto Top
Hallo,

wie schaut den die DHCP Einstellung fürs VPN im DD_WRT aus?

Sonst vielleicht einfach mal hier reinschauen, da ist so ziemlich Alles beschrieben.

Gruß
toobsen
toobsen 24.08.2011 um 13:28:43 Uhr
Goto Top
die IP vergibt doch dann der Server die Synology oder? meine mich erinnert zu haben das es lokal mit zwei client gleichzeitig ging nur halt jetzt extern hab ich probleme...
michi1983
michi1983 24.08.2011 um 13:46:00 Uhr
Goto Top
Kommt drauf an wie du alles eingestellt hast, das kann ich dir nicht beantworten!
toobsen
toobsen 24.08.2011 um 20:03:50 Uhr
Goto Top
nee also das macht die NAS macht das alles.

noch ne idee was es sein könnte? könnte es ein port problem sein ?weil ich ja nur Port1723 nach außen offen hab?
aqui
aqui 25.08.2011, aktualisiert am 18.10.2012 um 18:48:03 Uhr
Goto Top
Verbindest du die Netze per PPTP an den Standorten oder sind das nur einzelne Clients ?
Wenn du schon DD-WRT verwendest ist es ja völliger Blödsinn die PPTP Kopplung nicht gleich direkt auf den DD-WRT Systemen zu machen sondern wie die Neandertaler noch mit Port Forwarding um es dahinter auf einem NAS zu terminieren.
Ein etwas krankes Konzept um es mal vorsichtig auszudrücken, denn ein NAS soll NAS machen und keine VPN Clients bedienen im Netzwerk (Performance) !!
Sinnvoller ist es in jedem Falle die gesamten Netze per PPTP und DD-WRT zu verbinden wenn mehrere Clients hinter den NAT Routern liegen, da der GRE Cache beim NAT Port Forwarding was du dann zwangsweise in Anspruch nimmst bei billigen Routern immer limitiert ist und oft auch nur eine einzige Session supportet. Mit der FB wirst du da allerdings ein Problem bekommen, denn die supportet kein PPTP Protokoll nur per Port Forwarding. Ausnahme man flasht ein alternatives OS drauf wie z.B. Freetz !
Lies dir diese Tutorials durch, da werden alle Einzelheiten erklärt !! PPTP besteht aus TCP 1723 und dem GRE Protokoll (IP Protokoll Nummer 47, nicht TCP oder UDP 47 !)
Du musst wenn dann also auch GRE Forwarden !
VPNs einrichten mit PPTP
VPN Einrichtung (PPTP) mit DSL Routern und DD-WRT Firmware
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP
Da sollten dann keine Fragen mehr offenbleiben !!
Wie gesagt das Ursprungskonzept ist so wie oben beschrieben eigentlich völliger Murks.
toobsen
toobsen 14.09.2011 um 01:18:59 Uhr
Goto Top
Versuche mit einem MikroTik750G eine verbindung zu meinem PPTP Server aufzubauen.
Die verbindung steht aber komm nicht in der das andere Netz,
nur weis nicht weiter wie ich die routen machen soll oder an was es sonst liegt.

PPTP Server 10.0.0.0
Router 10.0.13.1
MikroTik 192.168.88.1

[admin@MikroTik] > export
# jan/02/1970 00:17:32 by RouterOS 5.6
# software id = CJ9Y-F8Q5
#
/interface ethernet
set 0 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
    disabled=no full-duplex=yes l2mtu=1524 mac-address=00:0C:42:5F:8A:28 \
    master-port=none mtu=1500 name=ether1-gateway speed=100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
    disabled=no full-duplex=yes l2mtu=1524 mac-address=00:0C:42:5F:8A:29 \
    master-port=none mtu=1500 name=ether2-local-master speed=100Mbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
    disabled=no full-duplex=yes l2mtu=1524 mac-address=00:0C:42:5F:8A:2A \
    master-port=ether2-local-master mtu=1500 name=ether3-local-slave speed=\
    100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
    disabled=no full-duplex=yes l2mtu=1524 mac-address=00:0C:42:5F:8A:2B \
    master-port=ether2-local-master mtu=1500 name=ether4-local-slave speed=\
    100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited \
    disabled=no full-duplex=yes l2mtu=1524 mac-address=00:0C:42:5F:8A:2C \
    master-port=ether2-local-master mtu=1500 name=ether5-local-slave speed=\
    100Mbps
/interface ethernet switch
set switch1 mirror-source=none mirror-target=none name=switch1
/interface wireless security-profiles
set default authentication-types="" eap-methods=passthrough group-ciphers="" \  
    group-key-update=5m interim-update=0s management-protection=disabled \
    management-protection-key="" mode=none name=default \  
    radius-eap-accounting=no radius-mac-accounting=no \
    radius-mac-authentication=no radius-mac-caching=disabled \
    radius-mac-format=XX:XX:XX:XX:XX:XX radius-mac-mode=as-username \
    static-algo-0=none static-algo-1=none static-algo-2=none static-algo-3=\
    none static-key-0="" static-key-1="" static-key-2="" static-key-3="" \  
    static-sta-private-algo=none static-sta-private-key="" \  
    static-transmit-key=key-0 supplicant-identity=MikroTik tls-certificate=\
    none tls-mode=no-certificates unicast-ciphers="" wpa-pre-shared-key="" \  
    wpa2-pre-shared-key=""  
/ip hotspot profile
set default dns-name="" hotspot-address=0.0.0.0 html-directory=hotspot \  
    http-cookie-lifetime=3d http-proxy=0.0.0.0:0 login-by=cookie,http-chap \
    name=default rate-limit="" smtp-server=0.0.0.0 split-user-domain=no \  
    use-radius=no
/ip hotspot user profile
set default idle-timeout=none keepalive-timeout=2m name=default shared-users=\
    1 status-autorefresh=1m transparent-proxy=no
/ip ipsec proposal
set default auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m \
    name=default pfs-group=modp1024
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp authoritative=after-2sec-delay bootp-support=\
    static disabled=no interface=ether2-local-master lease-time=3d name=\
    default
/ppp profile
set default change-tcp-mss=yes name=default only-one=default use-compression=\
    default use-encryption=default use-mpls=default use-vj-compression=\
    default
set default-encryption change-tcp-mss=yes name=default-encryption only-one=\
    default use-compression=default use-encryption=yes use-mpls=default \
    use-vj-compression=default
/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=\
    84.xxxxxx30 dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 \
    mrru=disabled name=pptp-out1 password=xxxxxxxxxxx profile=\
    default-encryption user=VPN2
/queue type
set default kind=pfifo name=default pfifo-limit=50
set ethernet-default kind=pfifo name=ethernet-default pfifo-limit=50
set wireless-default kind=sfq name=wireless-default sfq-allot=1514 \
    sfq-perturb=5
set synchronous-default kind=red name=synchronous-default red-avg-packet=1000 \
    red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10
set hotspot-default kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=\
    5
set default-small kind=pfifo name=default-small pfifo-limit=10
/routing bgp instance
set default as=65530 client-to-client-reflection=yes disabled=no \
    ignore-as-path-len=no name=default out-filter="" redistribute-connected=\  
    no redistribute-ospf=no redistribute-other-bgp=no redistribute-rip=no \
    redistribute-static=no router-id=0.0.0.0 routing-table=""  
/routing ospf instance
set default disabled=no distribute-default=never in-filter=ospf-in \
    metric-bgp=auto metric-connected=20 metric-default=1 metric-other-ospf=\
    auto metric-rip=20 metric-static=20 name=default out-filter=ospf-out \
    redistribute-bgp=no redistribute-connected=no redistribute-other-ospf=no \
    redistribute-rip=no redistribute-static=no router-id=0.0.0.0
/routing ospf area
set backbone area-id=0.0.0.0 disabled=no instance=default name=backbone type=\
    default
/snmp
set contact="" enabled=no engine-id="" location="" trap-target=0.0.0.0 \  
    trap-version=1
/snmp community
set public address=0.0.0.0/0 authentication-password="" \  
    authentication-protocol=MD5 encryption-password="" encryption-protocol=\  
    DES name=public read-access=yes security=none write-access=no
/system logging action
set memory memory-lines=100 memory-stop-on-full=no name=memory target=memory
set disk disk-file-count=2 disk-file-name=log disk-lines-per-file=100 \
    disk-stop-on-full=no name=disk target=disk
set echo name=echo remember=yes target=echo
set remote bsd-syslog=no name=remote remote=0.0.0.0 remote-port=514 \
    src-address=0.0.0.0 syslog-facility=daemon syslog-severity=auto target=\
    remote
/system routerboard settings
set boot-device=nand-if-fail-then-ethernet boot-protocol=bootp cpu-frequency=\
    680MHz force-backup-booter=no
set boot-device=nand-if-fail-then-ethernet boot-protocol=bootp cpu-frequency=\
    680MHz force-backup-booter=no
/user group
add name=read policy="local,telnet,ssh,reboot,read,test,winbox,password,web,sn\  
    iff,sensitive,api,!ftp,!write,!policy" skin=default  
add name=write policy="local,telnet,ssh,reboot,read,write,test,winbox,password\  
    ,web,sniff,sensitive,api,!ftp,!policy" skin=default  
add name=full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbo\  
    x,password,web,sniff,sensitive,api" skin=default  
/interface bridge settings
set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=\
    no
/interface ethernet switch port
set ether1-gateway vlan-header=leave-as-is vlan-mode=fallback
set ether2-local-master vlan-header=leave-as-is vlan-mode=fallback
set ether3-local-slave vlan-header=leave-as-is vlan-mode=fallback
set ether4-local-slave vlan-header=leave-as-is vlan-mode=fallback
set ether5-local-slave vlan-header=leave-as-is vlan-mode=fallback
set switch1_cpu vlan-header=leave-as-is vlan-mode=fallback
/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=\
    default-encryption enabled=no max-mru=1460 max-mtu=1460 mrru=disabled
/interface ovpn-server server
set auth=sha1,md5 certificate=none cipher=blowfish128,aes128 default-profile=\
    default enabled=no keepalive-timeout=60 mac-address=FE:4B:BA:CD:12:C6 \
    max-mtu=1500 mode=ip netmask=24 port=1194 require-client-certificate=no
/interface pptp-server server
set authentication=mschap1,mschap2 default-profile=default-encryption \
    enabled=no keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled
/interface sstp-server server
set authentication=pap,chap,mschap1,mschap2 certificate=none default-profile=\
    default enabled=no keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=\
    disabled port=443 verify-client-certificate=no
/interface wireless align
set active-mode=yes audio-max=-20 audio-min=-100 audio-monitor=\
    00:00:00:00:00:00 filter-mac=00:00:00:00:00:00 frame-size=300 \
    frames-per-second=25 receive-all=no ssid-all=no
/interface wireless sniffer
set channel-time=200ms file-limit=10 file-name="" memory-limit=10 \  
    multiple-channels=no only-headers=no receive-errors=no streaming-enabled=\
    no streaming-max-rate=0 streaming-server=0.0.0.0
/interface wireless snooper
set channel-time=200ms multiple-channels=yes receive-errors=no
/ip accounting
set account-local-traffic=no enabled=no threshold=256
/ip accounting web-access
set accessible-via-web=no address=0.0.0.0/0
/ip address
add address=192.168.88.1/24 comment="default configuration" disabled=no \  
    interface=ether2-local-master network=192.168.88.0
/ip dhcp-client
add add-default-route=yes comment="default configuration" \  
    default-route-distance=0 disabled=no interface=ether1-gateway \
    use-peer-dns=yes use-peer-ntp=yes
/ip dhcp-server config
set store-leases-disk=5m
/ip dhcp-server lease
add address=192.168.88.254 client-id=1:0:22:19:fc:4a:b3 disabled=no \
    mac-address=00:22:19:FC:4A:B3 server=default
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\  
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB \
    max-udp-packet-size=512 servers=10.0.13.1
/ip dns static
add address=192.168.88.1 disabled=no name=router ttl=1d
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
    tcp-close-wait-timeout=10s tcp-established-timeout=1d \
    tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
    tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
    tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=input comment="Added by webbox" disabled=no protocol=\  
    icmp
add action=accept chain=input comment="Added by webbox" connection-state=\  
    established disabled=no in-interface=pptp-out1
add action=accept chain=input comment="Added by webbox" connection-state=\  
    related disabled=no in-interface=pptp-out1
add action=accept chain=input comment="Added by webbox" disabled=no \  
    in-interface=pptp-out1
add action=accept chain=input disabled=no in-interface=pptp-out1
/ip firewall nat
add action=masquerade chain=srcnat comment="Added by webbox" disabled=no \  
    out-interface=ether1-gateway
add action=accept chain=srcnat disabled=no
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no
/ip hotspot service-port
set ftp disabled=no ports=21
/ip neighbor discovery
set ether1-gateway disabled=yes
set ether2-local-master disabled=no
set ether3-local-slave disabled=no
set ether4-local-slave disabled=no
set ether5-local-slave disabled=no
set pptp-out1 disabled=yes
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 \
    cache-on-disk=no enabled=no max-cache-size=none max-client-connections=\
    600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 \
    parent-proxy-port=0 port=8080 serialize-connections=no src-address=\
    0.0.0.0
/ip service
set telnet disabled=no port=23
set ftp disabled=no port=21
set www disabled=no port=80
set ssh disabled=no port=22
set www-ssl certificate=none disabled=yes port=443
set api disabled=yes port=8728
set winbox disabled=no port=8291
/ip socks
set connection-idle-timeout=2m enabled=no max-connections=200 port=1080
/ip ssh
set forwarding-enabled=no
/ip traffic-flow
set active-flow-timeout=30m cache-entries=4k enabled=no \
    inactive-flow-timeout=15s interfaces=all
/ip upnp
set allow-disable-external-interface=no enabled=yes show-dummy-rule=yes
/ip upnp interfaces
add disabled=no interface=ether1-gateway type=internal
add disabled=no interface=ether2-local-master type=internal
add disabled=no interface=ether3-local-slave type=internal
add disabled=no interface=ether4-local-slave type=internal
add disabled=no interface=ether5-local-slave type=internal
add disabled=no interface=pptp-out1 type=external
add disabled=no type=internal
/mpls
set dynamic-label-range=16-1048575 propagate-ttl=yes
/mpls interface
add disabled=no interface=all mpls-mtu=1508
/mpls ldp
set distribute-for-default-route=no enabled=no hop-limit=255 loop-detect=no \
    lsr-id=0.0.0.0 path-vector-limit=255 transport-address=0.0.0.0 \
    use-explicit-null=no
/port firmware
set directory=firmware
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
/queue interface
set ether1-gateway queue=ethernet-default
set ether2-local-master queue=ethernet-default
set ether3-local-slave queue=ethernet-default
set ether4-local-slave queue=ethernet-default
set ether5-local-slave queue=ethernet-default
/radius incoming
set accept=no port=3799
/routing bfd interface
set all disabled=no interface=all interval=0.2sec min-rx=0.2sec multiplier=5
/routing mme
set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m \
    gateway-selection=no-gateway origination-interval=5s preferred-gateway=\
    0.0.0.0 timeout=1m ttl=50
/routing rip
set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 \
    metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no \
    redistribute-connected=no redistribute-ospf=no redistribute-static=no \
    routing-table=main timeout-timer=3m update-timer=30s
/store
add disabled=no disk=system name=web-proxy1 type=web-proxy
/system clock
set time-zone-name=manual
/system clock manual
set dst-delta=+00:00 dst-end="jan/01/1970 00:00:00" dst-start=\  
    "jan/01/1970 00:00:00" time-zone=+00:00  
/system console
add disabled=no term=vt102
/system health
set
/system identity
set name=MikroTik
/system logging
add action=memory disabled=no prefix="" topics=info  
add action=memory disabled=no prefix="" topics=error  
add action=memory disabled=no prefix="" topics=warning  
add action=echo disabled=no prefix="" topics=critical  
/system note
set note="" show-at-login=yes  
/system ntp client
set enabled=no mode=broadcast primary-ntp=0.0.0.0 secondary-ntp=0.0.0.0
/system resource irq
set 0 cpu=auto
set 1 cpu=auto
/system upgrade mirror
set check-interval=1d enabled=no primary-server=0.0.0.0 secondary-server=\
    0.0.0.0 user=""  
/system watchdog
set auto-send-supout=no automatic-supout=yes no-ping-delay=5m watch-address=\
    none watchdog-timer=yes
/tool bandwidth-server
set allocate-udp-ports-from=2000 authenticate=yes enabled=yes max-sessions=\
    100
/tool e-mail
set address=0.0.0.0 from=<> password="" port=25 user=""  
/tool graphing
set page-refresh=300 store-every=5min
/tool graphing interface
add allow-address=0.0.0.0/0 disabled=no interface=all store-on-disk=yes
/tool mac-server
set (unknown) disabled=no interface=ether2-local-master
set (unknown) disabled=no interface=ether3-local-slave
set (unknown) disabled=no interface=ether4-local-slave
set (unknown) disabled=no interface=ether5-local-slave
/tool mac-server ping
set enabled=yes
/tool sms
set allowed-number="" channel=0 keep-max-sms=0 receive-enabled=no secret=""  
/tool sniffer
set file-limit=10 file-name="" filter-address1=0.0.0.0/0:0-65535 \  
    filter-address2=0.0.0.0/0:0-65535 filter-protocol=all-frames \
    filter-stream=yes interface=all memory-limit=10 memory-scroll=yes \
    only-headers=no streaming-enabled=no streaming-server=0.0.0.0
/tool traffic-generator
set latency-distribution-scale=10 test-id=0
/user aaa
set accounting=yes default-group=read interim-update=0s use-radius=no
[admin@MikroTik] > 
aqui
aqui 14.09.2011 um 10:45:02 Uhr
Goto Top
PPTP Server 10.0.0.0 = Das ist keine gültige IP Adresse für einen PPTP Server oder generell für ein IP Endgerät, das solltest du zwingend ändern, denn es ist ein IP Netzwerk was so nie als Endgeräte IP vergeben werden darf !!
Der Rest steht hier:
http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
Kapitel 2 beinhaltet eine Anleitung wie der Mikrotik al PPTP Client rennt mitsamt eines "Quick Example" Beispiels, das alles erklärt.
Wie sieht denn dein Szenario überhaupt aus ?? So...

826a7a3a4c1f748e476b150fc0eb6a04

In deiner Mikrotik Konfig fehlen sämtliche IP Adressierung aus dem 10.0.0.0 /16 Netz (Subnetzmaske geraten weil du die auch nicht angibst face-sad )
Ebenso fehlt die Angabe welche Routerports in welches IP Segment gehen ?
Weiter die Frage ob du rein routest ohne NAT oder NAT benutzt wie es in der Default Konfig aktiviert ist !
All diese Fragen sind ungeklärt....und zwingen uns so zum raten im freien Fall hier face-sad
Auf deine IPs übertragen (Mit Ausnahme der falschen Server IP oben !) funktioniert das auf Anhieb wenn man es richtig einrichtet !
Sinnvoll ist das grafische WinBox Tool für den Mikrotik zu verwenden wenn du mit dem CLI unsicher bist !
http://www.mikrotik.com/download/winbox.exe
toobsen
toobsen 14.09.2011 um 12:27:45 Uhr
Goto Top
Ja bin noch nicht ganz so fit darin face-smile

PPTP Server 10.0.11.70/24
Netz 10.0.0.0
Subnet weis ich nicht das kann man nicht einstellten an meiner NAS die ich als PPTP Server benutze..

Routerports:
1.Gateway (hängt sozusagen am Modem)
2.PC1 komm

soll später so funktionieren das ich es an einen AP hänge und einfach auf die Geräte auf der anderen Seite komme.Als wäre ein Normales Kabel dazwischen
Also mit dem Laptop komm ich ohne weiteres in das 10.0.0.0 Netz wenn ich unter Windows eine PPTP Verbindung einrichte.
Auf der Winbox Oberfläche gibt es die möglichkeit einen Ping über ein bestimmtes Inerterface zu machen,wenn ich da die PPTP-Verbindung auswähle kann ich die Geräte auf der andern Seite pingen z.b 10.0.11.1(Router auf der andern Seite)

ins Internet Route ich immer mit NAT das ja normal glaube..Netz-Intern da bin ich überfragt face-smile
aqui
aqui 14.09.2011 um 14:31:17 Uhr
Goto Top
Das kann niemals so funktionieren:
PPTP Server 10.0.11.70/24 = 24 Bit Netzwerk Maske !!!
Der Mikrotik hat aber nach deiner Aussage die 10.0.13.1. Damit wäre er dann in einem kompletten anderen IP Netzwerk (Netzwerkanteil in der IP ist dick gedruckt !) wenn man hier auch eine 24 Bit Netzwerkmaske zugrunde legt .
So kommen die natürlich niemals zueinander. Abgesehen davon fehlt auch die 10er IP Adresse im Mikrotik.

Irgendwie ist auch deine Beschreibung total konfus... face-sad Diese gesamte IP Adressierung setzt voraus das du nur in lokalen privaten Netzwerken arbeitest. Höchst ungewöhnlich für ein VPN Szenario wo man aus remoten Netzen zugreifen will.
Wenn VOR dem NAS noch ein Router ist dann ist die öffentliche Router IP deine PPTP Serveradresse (der Router macht dann PPTP Port Forwarding auf den PPTP Server), niemals aber eine lokale 10er IP Adressen, denn solche RFC 1918 IP Adressen werden im Internet gar nicht geroutet und wandern gleich in den Datenmülleimer !!

Nur mal der Nachfrage: Das ist erstmal ein Laboraufbau ??? Richtig ?? Oder ist das ein Live Netz ??
Aussagen wie "...Subnet weis ich nicht das kann man nicht einstellten an meiner NAS" ist auch völliger Unsinn, denn du wirst dem NAS doch sicher eine statische IP Adresse gegeben haben im 10.0.11er Netz, was du oben mit der .70 ja auch bestätigst. Ferner gibst du oben zur NAS dann ja auch eine 24 Bit Subnetzmaske an.
Fazit: Du hast also eine Subnetzmaske eingestellt !!! Wie soll man denn nun diese Aussage von dir "... kann man nicht einstellten an meiner NAS" verstehen ?
Hier widersprichst du dir selber und schaffst noch mehr Konfusion !!
Ebenso:
Routerports:
1.Gateway (hängt sozusagen am Modem)
2.PC1 komm

Was soll das bedeuten ?? Ist der Mikrotik als PPPoE Router zum DSL im Einsatz, also ein Port hängt am DSL Modem (in der Grundkonfig des Mikrotik ist das der Port 5 !) und "PC1 komm" (was ist denn "komm" ??) ist am lokalen LAN (Ports 1 bis 4 in der Default Konf) ??
Alles völlig wirr und unverständlich und korrespondiert auch nicht mit der IP Adressierung, denn dann wäre hier noch eine Internet IP im Spiel...
Ist der Mikrotik einer der Accessrouter aus der obigen Zeichnung (oder eher Gekritzel) ?? Dann stimmen die IP Adressen niemals.
WAS also machst du ?? Oder was hast du genau vor ??
  • Einen Test Laboraufbau wie oben in der Zeichnung zu sehen (was Sinn machen würde um alles wasserdicht auszuprobieren !)
  • oder ist das eine Live Konfig mit Mikrotik am DSL Internet als VPN Accessrouter zum NAT ?
  • oder ist das eine Live Konfig mit Mikrotik und NAS am DSL Internet als VPN Server ? Dann wäre aber widerum der PPTP Server auf dem NAS Blödsinn....
Da solltest du erstmal sauber Licht ins Dunkel bringen bevor wir uns hier wild verzetteln !!
toobsen
toobsen 20.09.2011 um 19:20:52 Uhr
Goto Top
Hi,
also das ist eine live Konfiguration über das Internet.
Ich will vom einen Standort auf den anderen zugreifen können.Also auf die clients und die NAS.
Aber wenn ich surfen will u.s.w soll das jeweils von jedem standort direkt ins Internet gehen und nicht erste über das VPN.

Hoffe das bild hilft nicht ganz die Norm ;)


0a373b38fe3c8490f6a8b7718cbfaadb

port 1723 nicht port 1720 im bild

83033ba3dd07ddc5e2c580e987306d3c
laufen tut es
aqui
aqui 21.09.2011, aktualisiert am 18.10.2012 um 18:48:27 Uhr
Goto Top
Wie kann eine Fritzbox die im 192.168.178.0 /24 Netz arbeitet von einem Client der im 10.0.13.0 /24er Netz arbeitet eine sinnvolle Verbindung machen ??
Irgendwas stimmt mit deiner Topologie Zeichnung nicht oder ist konfus dargestellt. Das solltest du erstmal korrigieren und klarstellen !!
Wenn das Design so aussehen sollte stellen sich folgende Kardinalsfragen:

ac9ffe2ef6859d60ebf5e31f415f6997

  • Warum der Unsinn das NAS als PPTP VPN Server zu vergewaltigen ? Der Linksys mit DD-WRT kann das viel besser und auch sinnvoller: VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP Damit erspartst du dir den ganzen Unsinn PPTP durch den WRT54 zu schleifen und auf dem NAS zu terminieren !!! Zusätzlich entfällt der Port Forwarding Aufwand und so realisiert man in der Regel eine Netzwerk zu Netzwerk Kopplung ! Nicht wie du es machst !
  • Wie ist das verwirrende Zusammenspiel des 10.0.13.0er Netzes am Mikrotik Router ?? Ist das ein separates Segment ? Ist das das Segment wo der WLAN Client drin ist der zur FB verbindet ? (dann wäre die IP Konfig falsch !). Wie ist das .88.0er Netz angeschlossen. Das ist konfuses Chaos !
  • Was hat die NetGear Gurke in diesem Netz für eine Funktion ?? Routet sie ein weiteres Segment ?? Wenn ja welche und wie ist sie angeschlossen (WAN / LAN Port ?) Mit oder ohne NAT ? Ist sie nur dummer WLAN Accesspoint...
Das solltest du also besser nochmal genau beschreiben, sonst macht weiteres Troubleshooting keinen Sinn und endet im Ratespiel !!
toobsen
toobsen 22.09.2011, aktualisiert am 18.10.2012 um 18:48:28 Uhr
Goto Top
Zitat von @aqui:
Wie kann eine Fritzbox die im 192.168.178.0 /24 Netz arbeitet von einem Client der im 10.0.13.0 /24er Netz arbeitet eine sinnvolle
Verbindung machen ??
Irgendwas stimmt mit deiner Topologie Zeichnung nicht oder ist konfus dargestellt. Das solltest du erstmal korrigieren und
klarstellen !!

Also das stimmt schon so, oder eher gesagt in dieser Konfiguration läuft es bei mir und funktioniert


* Warum der Unsinn das NAS als PPTP VPN Server zu vergewaltigen ? Der Linksys mit DD-WRT kann das viel besser und auch sinnvoller:
VPNs mit DD-WRT, pFsense oder OPNsense auf Basis von PPTP Damit erspartst du
dir den ganzen Unsinn PPTP durch den WRT54 zu schleifen und auf dem NAS zu terminieren !!! Zusätzlich entfällt der Port
Forwarding Aufwand und so realisiert man in der Regel eine Netzwerk zu Netzwerk Kopplung ! Nicht wie du es machst !
Die NAS läuft halt immer, und sehr stabil.Mein Linksys WRT54G hat halt nicht soviel Leistung und will ihn nicht überfordern.

* Wie ist das verwirrende Zusammenspiel des 10.0.13.0er Netzes am Mikrotik Router ?? Ist das ein separates Segment ? Ist das das
Segment wo der WLAN Client drin ist der zur FB verbindet ? (dann wäre die IP Konfig falsch !). Wie ist das .88.0er Netz
angeschlossen. Das ist konfuses Chaos !
der 10.0.13.0 ist einfach ein accesspoint der als WLAN client fungiert da ich kein Kabel zur fritzbox legen will.Er hat halt einen DHCP 10.0.13.2 - 10.0.13.254 auf den LAN ports.

* Was hat die NetGear Gurke in diesem Netz für eine Funktion ?? Routet sie ein weiteres Segment ?? Wenn ja welche und wie ist
sie angeschlossen (WAN / LAN Port ?) Mit oder ohne NAT ? Ist sie nur dummer WLAN Accesspoint...
Das solltest du also besser nochmal genau beschreiben, sonst macht weiteres Troubleshooting keinen Sinn und endet im Ratespiel !!

Er soll später dazu dienen um in mein VPN und ins Internet zu kommen(mit meinen Clients).Am liebsten ohne NAT... Aber das erst mal egal. VPN muss erst mal laufen.
An der stelle hängt mein Notebook.


Die VPN läuft ja soweit ich kann ja auch über die Winbox z.b die NAS auf der anderen Seite Pingen aber halt nur über die Winbox.Wie oben auf dem Foto.

Ich denke es ist nur noch eine Sache des Routing oder Firewall oder sonstigen Einstellungen in der Winbox. Nur da komme ich nicht weiter.
aqui
aqui 23.09.2011, aktualisiert am 18.10.2012 um 18:48:28 Uhr
Goto Top
."...Also das stimmt schon so, oder eher gesagt in dieser Konfiguration läuft es bei mir und funktioniert "
Das wäre dann ein technisches Wunder !! Vergiss das ... Keine Ahnung was du da verbastelt hast aber generell funktioniert es eben nicht. Leuchtet auch schon jedem laien ein, denn wie sollen Clients in 2 völlig verschiedenen IP netzen ohne Router direkt miteinander kommunizieren.
Das kannst du der berühmten Großmutter erzählen aber nicht dem Forum. De facto ist es eine IP Fehlkonfiguration die auch ein völliger Laie sofort sieht und Quell von Fehlern !

"...Mein Linksys WRT54G hat halt nicht soviel Leistung und will ihn nicht überfordern." Ooooch der Arme....
Das ist völliger Blödsinn, sorry. Wenn du dort DD-WRT drauf hast kannst du über die Systemsteuerung dir die Auslastung des Routers grafisch als Statistik ansehen. In so einem Simpel Szenario mit ein bischen PPTP hat der nicht mehr zu tun als sonst auch. Ausserdem kannst du bei DD-WRT das sehr konservative CPU Clocking erhöhen und so erheblich mehr aus dem Potenzial des WRT54 machen !!

"...der 10.0.13.0 ist einfach ein accesspoint der als WLAN client fungiert "
OK, dagegen spricht ja nix, allerdings ist das IP Netz auf der Fritzboxseite dann mit 192.168.178.0 logischerweise völlig falsch konfiguriert und kann so niemals klappen wenn der AP wirklich al WLAN Client (Bridge) rennt. Dir sollte auch bewusst und bekannt sein das die Komponenten dann zwangsweise ,wenn dann, in einem gemeinsamen IP Netzwerk liegen müssen !!
Du musst also dann der FB auch eine 10.0.13.0er IP konfigurieren oder andererseits den Mikrotik in das 192.168.178.0er Netzwerk bringen !
Oder....arbeitet der AP etwa als Router zwischen dem Mikrotik und der Fritzbox und verbindet so diese IP Netze wie hier beschrieben:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Damit wäre der AP dann natürlich kein VLAN Client !! Vermutlich ist das der Fall, denn der obige in unterschiedlichen IP Netzen kann so niemals funktionieren !

"...Er soll später dazu dienen um in mein VPN und ins Internet zu kommen"
Häää ?? Wozu hast du denn den Mikrotik ?? Das ist doch immerhin ein 5 Port Router der das mit allem Drum und Dran und auch ohne NAT auch kann. Wozu also dann diesen überflüssigen NetGear ??

Sorry aber man kann hier nur vermuten das du aus Unkenntniss irgenwas zusammengeschmissen hast und nicht wirklich weisst was du vorhast.
Auch deine o.a. Antworten bringen keinerlei Klarheit in das Szenario und machen eine Hilfe so gut wie aussichtslos, da du vermutlich nicht in der Lage bist klar technisch zu beschreiben was du vorhast und vor allen Dingen warum du es so megaumständlich und problembehaftet machst ??
Versuche da also Klarheit reinzubringen, dann kommen wir auch weiter hier !!
toobsen
toobsen 23.09.2011 um 17:57:23 Uhr
Goto Top
was müsste ich denn ändern? Damit es läuft?
und was muss ich in die Routing Tabelle schreiben?

Könnte das Router Board zum testen auch an die fritzbox anschließen...

In welchen Port vom routerboard müsste ich die FB stecken und an welchen das Laptop (zum testen)? Und hauptsächlich was muss ich in der winbox einstellen damit es läuft?
aqui
aqui 23.09.2011, aktualisiert am 18.10.2012 um 18:48:29 Uhr
Goto Top
Vorab dazu 3 wichtige Fragen die zu klären sind bevor wir hier ins Eingemachte gehen:
  • Rennt auf dem Linksys WRT54 im NAS Netz ein DD-WRT oder ist dort die Original Software drauf ? (Migration PPTP Server vom NAS ?!)
  • Der WLAN Client am Mikrotik: Rennt der wirklich als transparenter WLAN Client oder ist das ein WLAN Router der zw. FB Netz und Mikrotik Netz routet ? (Hardware Modell ?)
  • Hast du den Mikrotik mit dem Kommando /system reset-conf skip-backup=yes no-defaults=yes vorher auf die Werkseinstellungen gesetzt oder benutzt du die Default Standard Konfig ?? Siehe hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
(Mit der Standardkonfig Port 5=WAN und NAT und Port1-4 LAN Switch) funktioniert dein Setup nicht. Du musst die Standardkonfig mit dem o.a. Kommando vorher löschen !
toobsen
toobsen 23.09.2011 um 19:28:01 Uhr
Goto Top
Zitat von @aqui:
Vorab dazu 3 wichtige Fragen die zu klären sind bevor wir hier ins Eingemachte gehen:
  • Rennt auf dem Linksys WRT54 im NAS Netz ein DD-WRT oder ist dort die Original Software drauf ? (Migration PPTP Server vom NAS
?!)
DD-WRT auf dem Router....PPTP Server glaube schon.

* Der WLAN Client am Mikrotik: Rennt der wirklich als transparenter WLAN Client oder ist das ein WLAN Router der zw. FB Netz und
Mikrotik Netz routet ? (Hardware Modell ?)
Kein reiner client er routet von einen in andere Netz

* Hast du den Mikrotik mit dem Kommando /system reset-conf skip-backup=yes no-defaults=yes vorher auf die Werkseinstellungen
gesetzt oder benutzt du die Default Standard Konfig ?? Siehe hier:
Nein benutze Port 1 für WAN und den Rest für Clients sonst geht es nicht?!? also bei mir.Wenn is die Standard Einstellungen sind.
aqui
aqui 26.09.2011, aktualisiert am 18.10.2012 um 18:48:31 Uhr
Goto Top
..."glaube schon..." Keine gute Aussage in der IT ! Glauben heisst nicht wissen...!!
Zurück zum Design...
Also du hast ein relativ schlechtes und vermutlich aus Unwissenheit und schlechter HW Kenntniss Design und Konfiguration vorliegen. Das macht dir die Umsetzung doppelt schwer wenn du wenig Fachkenntnisse hast.
Sofern du dein Design nicht etwas anpassen bzw. optimieren willst musst du folgende Dinge beachten:
  • Da du doppeltes NAT machst also einmal an der FritzBox und am "WLAN Client" der gar kein WLAN Client ist sondern ein Router im WISP Modus !! solltest du diesen Client wirklich besser im Client Modus (Bridge) oder reinen Routing Modus betreiben wie du es HIER sehen kannst ! Hier nochmals NAT zu machen (der Mikrotik macht ja auch noch ein 3tes mal NAT) ist mehr als kontraproduktiv und verschlimmert das design zusätzlich. Mindestens sollte dieser "Client" transparent routen OHNE NAT, besser ist ein Bridging als wirklicher Client.
  • Als PPTP Server für die NAS Seite sollte immer der DD-WRT fungieren und NICHT das NAS, da du hier wieder in NAT und Port Forwarding Probleme gerätst !!
  • So wie du es jetzt hast musst du auf der FB Seite 3 mal PPTP Forwarding machen (Fritz und WLAN Router) und auf der NAS Seite am Linksys. Sowas ist mehr als krank.

Ein kurzer Laboraufbau zeigt das so ein Konzept absolut sauber funktioniert und in 10 Minuten zum Fliegen kommt:
So sieht der Aufbau aus:
6e8b6b4b71c6da71716b3aec1f20424a

Die PPTP Konfiguration des DD-WRT Linksys siehst du hier:
0e565fbdd71d7f8230f50e0b6088fa30

Hier die entsprechenden Routen die am DD-WRT nachzutragen sind:
0ec23b93eb7ad334f03a7508280043ac
(Im Produktivbetrieb sollte man den DD-WRT mit einem DynDNS Account einrichten um immer eine feste Adresse für den Mikrotik zu haben.)

Die Interfaces des Mikrotik richtest du entsprechend ein:
c31c3e2f3274c7896bb47e33bb89916a
Es ist übrigens völliger Blödsinn was du oben schreibst das der Mikrotik in der Router only Konfiguration nicht funktioniert. Der Fehler liegt dann klar bei dir und deiner Konfiguration !!
Die o.a. Konfig funktioniert ohne diese Default Konfig mit transparentem Routing ohne NAT wie du ja selber sehen kannst !

Auf dem Mikrotik richtest du zusätzlich einen PPTP Client ein auf dem Interface was zum PPTP Server (dd-wrt) geht:
956a94350a3ac16c18109d665b5cee27

Fertig ist die Konfig. Dafür braucht man nicht mal 10 Minuten und der PPTP Tunnel ist sofort oben und aktiv ! (Siehe "connected" und "enabled" Status im WinBox Screenshot !
Der Client kann dann problemlos das NAS anpingen und darauf arbeiten !

Was du zwingend beachten musst ist das du auf der Fritzbox und wenn du den WLAN Router auch mit NAT betreibst dort zwingend ein Port Forwarding von TCP 1723 und dem GRE Protokoll auf die IP des Mikrotik machen musst:
2222bbe2e89ed20b33ca44132dfe5325-portfor
Deshalb ist es sinnvoller die WLAN Anbindung eben NICHT mit NAT sondern als transparenter Client laufen zu lassen oder wenigstens Routing OHNE NAT wie #toc3 HIER.
Ebenso sollte aus den gleichen Gründen der Mikrotik NICHT mit der Default Konfig und NAT arbeiten. Das 3fach NAT wird letztlich zum Scheitern führen früher oder später...

Ob der PPTP Client im Mikrotik aktiv ist kannst du immer mit einem Klick auf das "Status" Fenster sehen. Dort muss "connected" und "enabled" stehen und ebenfalls zählt die Zeit der "Uptime" hoch !

Wenn du das alles sauber beherzigst funktioniert dein Setup vollkommen problemlos. Zwingend solltest du die o.a. Vereinfachungen umsetzen !!
toobsen
toobsen 01.10.2011 um 13:41:39 Uhr
Goto Top
cool das klappt schon mal face-smile
jetzt muss ich es nur noch in einer live Situation hin bekommen..
an die Fritzbox komm ich leider nicht dran,geht es anders nicht?
aqui
aqui 03.10.2011, aktualisiert am 18.10.2012 um 18:48:38 Uhr
Goto Top
OK, wenn du an die FB nicht rankommst musst du zwangsweise NAT (Masquerading) auf dem Mikrotik machen oder...auf dem WLAN Client (Router) der die Verbindung zur FritzBox herstellt !
Ist das auch ein DD-WRT Router ??
Wenn ja, lässt du dem im WISP Modus laufen wie hier beschrieben:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Das wäre sehr wichtig zu wissen WIE diese Kopplung funktioniert um dir hier eine lauffähige Konfig zu präsentieren !!