Вход
Авторизация

PPTP тунель на Mikrotik с шифрованием

Подробнее
2 дн. 10 ч. назад - 2 дн. 10 ч. назад #1 от ivtts
ivtts создал тему: PPTP тунель на Mikrotik с шифрованием
Добрый день.
Имеется роутер Mikrotik. Пробовал на нем настраивать тунель pptp по инструкции с сайта , чтобы подключение было с шифрованием.
Туннель запускается, пакеты проходят,
[admin@MikroTik] /interface pptp-client> pr Flags: X - disabled, R - running 0 R name="pptp-vpnki" max-mtu=1450 max-mru=1450 mrru=disabled connect-to=msk.vpnki.ru user="xxx" password="yyy" profile=default-encryption keepalive-timeout=60 use-peer-dns=no add-default-route=no dial-on-demand=no allow=pap,chap,mschap1,mschap2
но в свойствах интерфейса почему-то не отмечено что включено шифрование (поле Encoding)
[admin@MikroTik] /interface pptp-client> monitor pptp-vpnki
status: connected
uptime: 1m19s
encoding:
mtu: 1450
mru: 1450
local-address: 172.16.xx.yy
remote-address: 172.16.0.1


Пробовал создать подключение с этими же учетными данными на ПК с linux - соединение устанавливается с шифрованием.
Тут видел на сайте что c этим сервером подключение pptp может работать в 2 режимах (если я правильно понял)
  • с типом авторизации chap без шифрования
  • с типом авторизации mschap2 c шифрованием MPPE
Если в настройках подключения на Mikrotik оставить только mschap2, то подключение не устанавливается.
Методом перебора выяснил, что подключение устанавливается только если отмечены методы chap или pap.
Либо я что-то упускаю в настройках, либо может на Mikrotik своя реализация mschapv2, которая совместима не со всеми серверами?
Здесь на форуме не получилось найти описание похожих проблем.

Возможно ли на Mikrotik настроить pptp подключение к этому серверу с шифрованием?

Пока на роутере настроил подключение через SSTP, оно запустилось и работает с шифрованием.

Лог с Mikrotika, когда отмечены все протоколы и подключение устанавливается без шифрования
ВНИМАНИЕ: Спойлер!

Лог с Mikrotika, когда отмечен только метом mschap2 и подключение не устанавливается
ВНИМАНИЕ: Спойлер!
Последнее редактирование: 2 дн. 10 ч. назад пользователем ivtts. Причина: форматирование

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
2 дн. 5 ч. назад #2 от ivtts
ivtts ответил в теме PPTP тунель на Mikrotik с шифрованием

Лог с Mikrotika, когда отмечены все протоколы и подключение устанавливается без шифрования

ВНИМАНИЕ: Спойлер!

Лог с Mikrotika, когда отмечен только метод mschap2 и подключение не устанавливается

ВНИМАНИЕ: Спойлер!

Лог подключения с компьютера
ВНИМАНИЕ: Спойлер!


Пробовал сравнить логи подключения в разных случаях.
Если на Mikrotike отмечены все методы, то похоже сервер предлагает использовать метод chap и дальше все согласовывается, но работает без шифрования.
Если на Mikrotike выбран только mschap2, то сервер также сначала предлагает chap, Mikrotik его отклоняет. Потом сервер предлагает использовать метод pap, Mikrotik его тоже отколняет. И так до истечения таймаута.
При подключении с компьютера от сервера сначала приходит запрос на использование метода chap, клиент его отклоняет и отправляет запрос на использование mschapv2. Сервер это подтверждает, согласование проходит и устанавливается соединение с шифрованием mppe.
Похоже что проблема где-то в согласовании параметров выбора метода авторизации.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Подробнее
1 день 18 ч. назад #3 от admin
admin ответил в теме PPTP тунель на Mikrotik с шифрованием
Добрый день,
когда мы создавали систему, то тестировали на Windows клиентах и на устройствах с достаточно древними вариантами имплементации PPTP. В некоторых и не было никакого шифрования. Чтобы найти баланс между такими старыми устройствами и клиентами с Windows способы шифрования и аутентификации были подобраны таким образом, чтобы могли подключаться старые-старые VPN устройства и клиенты с Windows (тогда еще версии 7). Любое изменение в этих параметрах приводило к тому, что либо старые устройства не подключались, либо пользователи с Windows. Ведь профиль подключения по PPTP един для всех. Позже к устройствам которые могут подключать и с шифрованием и без него добавились Кинетики.
Почему в Микротике сделано именно так и этот алгоритм в чем-то отличается от Windows и Кинетика мне сказать сложно.
Но судя по описанному вами разница в том, что Микротик сам не предлагает использовать mschap, а ждет что-то от сервера. И видимо сервер предлагает не то...

Тут есть два варианта - либо заставить Микротик после получения PAP, отказаться и самому предложить mschap. Либо заставить сервер не предлагать PAP, а предложить mschap. Но к каким последствиям второй вариант приведет для уже работающих клиентов я предсказать не могу.
если все заработало, то, пожалуйста, donate сюда - yoomoney.ru/to/410014618210530

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Время создания страницы: 0.102 секунд