PPTP-Tunnel mit MikroTik RouterOS einrichten (Anleitung)

Aus Portunity Wiki

Wechseln zu: Navigation, Suche
  • Gerät: MikroTik RB450G
  • Stand der Anleitung: März 2022

Inhaltsverzeichnis

Verwendete Programme

  • MikroTik WinBox


Vorbereitung

Starten Sie das Winbox-Programm und stellen Sie eine Verbindung zu Ihrem MikroTik-Router her.


Interface erstellen

Öffnen Sie nun die Interface-Einstellungen des Routers:

File:PPTP-MikroTik-RouterOS-2022-screenshot010.png

Fügen Sie dort ein neues Interface vom Typ "PPTP Client" hinzu:

File:PPTP-MikroTik-RouterOS-2022-screenshot020.png

Für das neue Interface sollten zunächst MTU- und MRU-Limits gesetzt werden. Die Werte dürfen nicht zu niedrig sein, da IPv6 ansonsten nicht funktioniert. Welche Werte optimal sind, hängt von der Verbindung ab; üblicherweise erzielen Kunden mit MTU/MRU zwischen 1300 und 1400 gute Ergebnisse.

File:PPTP-MikroTik-RouterOS-2022-screenshot030.png

Im Tab "Dial Out" der Interface-Erstellung muss nun der Tunnelserver eingetragen werden. Dieser wird in Ihrem Kundencenter (ISPSuite) dargestellt.

File:PPTP-MikroTik-RouterOS-2022-screenshot035.png

Den Benutzernamen finden Sie ebenfalls im Kundencenter; das Passwort haben Sie als "Produkt-Passwort" selbst dort festgelegt.

Achten Sie darauf, im Feld "Allow:" den "pap"-Algorithmus zu aktivieren.

File:PPTP-MikroTik-RouterOS-2022-screenshot040.png

Klicken Sie zum Abschluss auf "Apply". Im Fenster wird unten rechts ein Statustext angezeigt, der nun auf "Status: connected" wechseln sollte.

File:PPTP-MikroTik-RouterOS-2022-screenshot050.png

Prüfen Sie, dass im Menü "IP -> Addresses" der Router-Konfiguration Ihre IP-Adresse für das Interface "pptp-portunity" angezeigt wird.

File:PPTP-MikroTik-RouterOS-2022-screenshot060.png

File:PPTP-MikroTik-RouterOS-2022-screenshot070.png

Routing konfigurieren

Im Konfigurationsabschnitt "IP -> Routes" wird eine Liste aktiver Routen dargestellt. Eine der Routen ist eine 0.0.0.0/0-Route zum Portunity-Tunnelserver. Bearbeiten Sie diese Route und legen Sie einen Namen für die "Routing Mark" fest, den Sie sich gut merken können. Sie werden Ihn an anderer Stelle wieder benötigen.

Im Menü "IP -> Firewall", Abschnitt "Address Lists", können Sie eine neue Adressliste erstellen.

Diese Liste sollte die IP-Adressen aller Geräte enthalten, die durch den Portunity-Tunnel nach außen kommunizieren. Im Beispiel wurde das gesamte Netz "192.168.*.*" (192.168.0.0/16) eingetragen. Als Namen können Sie beispielsweise "via_pptp_tunnel" verwenden. Dies ist nicht der Name Ihrer "Routing Mark".

File:PPTP-MikroTik-RouterOS-2022-screenshot100.png

Wechseln Sie nun im Menü "IP -> Firewall" zum Abschnitt "Mangle" und erstellen Sie eine neue "Mangle Rule":

Die hier benötigte "Chain" ist "prerouting".

File:PPTP-MikroTik-RouterOS-2022-screenshot120.png

Die Mangle Rule hat die Aufgabe, Ihre IP-Adressliste ("via_pptp_tunnel") Ihrer "Routing Mark" zuzuordnen. Hierfür wird zunächst im Tab "Advanced" die Adressliste abgefragt:

File:PPTP-MikroTik-RouterOS-2022-screenshot130.png

Anschließend wird im Tab "Action" die Aktion "mark routing" gewählt. Füllen Sie im Feld "New Routing Mark" den Namen ein, den Sie sich gemerkt haben. Bestätigen Sie die Eingabe mit einem Klick auf "OK".

File:PPTP-MikroTik-RouterOS-2022-screenshot140.png

NAT einrichten

Wenn Geräte mit lokaler IP-Adresse durch den Tunnel mit dem Internet kommunizieren sollen, muss der Router die Quelladresse der Pakete umschreiben (NAT). Dies wird folgendermaßen eingerichtet:

Source NAT

Erstellen Sie im Menü "IP -> Firewall", Abschnitt "NAT", eine neue NAT-Regel. Diese gilt für die Chain "srcnat".

File:PPTP-MikroTik-RouterOS-2022-screenshot150.png

Wählen Sie als "In. Interface" das Portunity-PPTP-Interface. Falls Sie NAT auf mehreren Interfaces nutzen möchten, können Sie stattdessen eine Liste erstellen und diese dort eintragen ("In. Interface List").

Im Tab "Action" der neuen NAT-Regel ist "masquerade" die gewünschte Aktion. Speichern Sie die neue Regel durch einen Klick auf "OK".

File:PPTP-MikroTik-RouterOS-2022-screenshot160.png

Destination NAT

Falls Sie Dienste wie einen E-Mail-Server über das Internet erreichbar machen möchten, benötigen Sie zusätzlich eine Regel für Destination NAT ("dstnat"):

File:PPTP-MikroTik-RouterOS-2022-screenshot170.png

Als Protokoll und Port kommen beispielsweise TCP und 25 in Betracht. Das Interface ist auch hier das Portunity-PPTP-Interface.

Die Aktion im "Action"-Tab hingegen lautet hier "dst-nat". Es muss eine Zieladresse aus dem internen Netz angegeben werden, beispielsweise 192.168.0.100, und ein Zielport (im einfachsten Fall identisch mit dem nach außen sichtbaren Port, im Beispiel 25).

File:PPTP-MikroTik-RouterOS-2022-screenshot180.png

Persönliche Werkzeuge