PPTP-Tunnel mit MikroTik RouterOS einrichten (Anleitung)

Aus Portunity Wiki

(Unterschied zwischen Versionen)
Wechseln zu: Navigation, Suche
Zeile 4: Zeile 4:
== Verwendete Programme ==
== Verwendete Programme ==
* MikroTik WinBox
* MikroTik WinBox
-
 
Zeile 10: Zeile 9:
Starten Sie das Winbox-Programm und stellen Sie eine Verbindung zu Ihrem MikroTik-Router her.
Starten Sie das Winbox-Programm und stellen Sie eine Verbindung zu Ihrem MikroTik-Router her.
 +
== Interface erstellen ==
== Interface erstellen ==
Zeile 38: Zeile 38:
Prüfen Sie, dass im Menü "IP -> Addresses" der Router-Konfiguration Ihre IP-Adresse für das Interface "pptp-portunity" angezeigt wird.
Prüfen Sie, dass im Menü "IP -> Addresses" der Router-Konfiguration Ihre IP-Adresse für das Interface "pptp-portunity" angezeigt wird.
 +
== Routing konfigurieren ==
== Routing konfigurieren ==
Zeile 64: Zeile 65:
Anschließend wird im Tab "Action" die Aktion "mark routing" gewählt. Füllen Sie im Feld "New Routing Mark" den Namen ein, den Sie sich gemerkt haben. Bestätigen Sie die Eingabe mit einem Klick auf "OK".
Anschließend wird im Tab "Action" die Aktion "mark routing" gewählt. Füllen Sie im Feld "New Routing Mark" den Namen ein, den Sie sich gemerkt haben. Bestätigen Sie die Eingabe mit einem Klick auf "OK".
 +
== NAT einrichten ==
== NAT einrichten ==
Zeile 69: Zeile 71:
Wenn Geräte mit lokaler IP-Adresse durch den Tunnel mit dem Internet kommunizieren sollen, muss der Router die Quelladresse der Pakete umschreiben (NAT). Dies wird folgendermaßen eingerichtet:
Wenn Geräte mit lokaler IP-Adresse durch den Tunnel mit dem Internet kommunizieren sollen, muss der Router die Quelladresse der Pakete umschreiben (NAT). Dies wird folgendermaßen eingerichtet:
 +
=== Source NAT ===
 +
Erstellen Sie im Menü "IP -> Firewall", Abschnitt "NAT", eine neue NAT-Regel. Diese gilt für die Chain "srcnat".
 +
 +
(Screenshot)
 +
 +
Wählen Sie als "In. Interface" das Portunity-PPTP-Interface. Falls Sie NAT auf mehreren Interfaces nutzen möchten, können Sie stattdessen eine Liste erstellen und diese dort eintragen ("In. Interface List").
 +
 +
Im Tab "Action" der neuen NAT-Regel ist "masquerade" die gewünschte Aktion. Speichern Sie die neue Regel durch einen Klick auf "OK".
 +
 +
=== Destination NAT ===
 +
 +
Falls Sie Dienste wie einen E-Mail-Server über das Internet erreichbar machen möchten, benötigen Sie zusätzlich eine Regel für Destination NAT ("dstnat"):
 +
 +
(Screenshot)
 +
 +
Als Protokoll und Port kommen beispielsweise TCP und 25 in Betracht. Das Interface ist auch hier das Portunity-PPTP-Interface.
 +
 +
Die Aktion im "Action"-Tab hingegen lautet hier "dst-nat". Es muss eine Zieladresse aus dem internen Netz angegeben werden, beispielsweise 192.168.0.100, und ein Zielport (im einfachsten Fall identisch mit dem nach außen sichtbaren Port, im Beispiel 25).
 +
 +
(Screenshot)

Version vom 15:54, 14. Mär. 2022

  • Gerät: MikroTik RB450G
  • Stand der Anleitung: März 2022

Inhaltsverzeichnis

Verwendete Programme

  • MikroTik WinBox


Vorbereitung

Starten Sie das Winbox-Programm und stellen Sie eine Verbindung zu Ihrem MikroTik-Router her.


Interface erstellen

Öffnen Sie nun die Interface-Einstellungen des Routers:

(Screenshot)

Fügen Sie dort ein neues Interface vom Typ "PPTP Client" hinzu:

(Screenshot)

Für das neue Interface sollten zunächst MTU- und MRU-Limits gesetzt werden. Die Werte dürfen nicht zu niedrig sein, da IPv6 ansonsten nicht funktioniert. Welche Werte optimal sind, hängt von der Verbindung ab; üblicherweise erzielen Kunden mit MTU/MRU zwischen 1300 und 1400 gute Ergebnisse.

(Screenshot)

Im Tab "Dial Out" der Interface-Erstellung muss nun der Tunnelserver eingetragen werden. Dieser wird in Ihrem Kundencenter (ISPSuite) dargestellt.

Den Benutzernamen finden Sie ebenfalls im Kundencenter; das Passwort haben Sie als "Produkt-Passwort" selbst dort festgelegt.

Achten Sie darauf, im Feld "Allow:" den "pap"-Algorithmus zu aktivieren.

(Screenshot)

Klicken Sie zum Abschluss auf "Apply". Im Fenster wird unten rechts ein Statustext angezeigt, der nun auf "Status: connected" wechseln sollte.

(Screenshot)

Prüfen Sie, dass im Menü "IP -> Addresses" der Router-Konfiguration Ihre IP-Adresse für das Interface "pptp-portunity" angezeigt wird.


Routing konfigurieren

Im Konfigurationsabschnitt "IP -> Routes" wird eine Liste aktiver Routen dargestellt. Eine der Routen ist eine 0.0.0.0/0-Route zum Portunity-Tunnelserver. Bearbeiten Sie diese Route und legen Sie einen Namen für die "Routing Mark" fest, den Sie sich gut merken können. Sie werden Ihn an anderer Stelle wieder benötigen.

(Screenshot)

Im Menü "IP -> Firewall", Abschnitt "Address Lists", können Sie eine neue Adressliste erstellen.

(Screenshot)

Diese Liste sollte die IP-Adressen aller Geräte enthalten, die durch den Portunity-Tunnel nach außen kommunizieren. Im Beispiel wurde das gesamte Netz "192.168.*.*" (192.168.0.0/16) eingetragen. Als Namen können Sie beispielsweise "via_pptp_tunnel" verwenden. Dies ist nicht der Name Ihrer "Routing Mark".

Wechseln Sie nun im Menü "IP -> Firewall" zum Abschnitt "Mangle" und erstellen Sie eine neue "Mangle Rule":

(Screenshot)

Die hier benötigte "Chain" ist "prerouting".

(Screenshot)

Die Mangle Rule hat die Aufgabe, Ihre IP-Adressliste ("via_pptp_tunnel") Ihrer "Routing Mark" zuzuordnen. Hierfür wird zunächst im Tab "Advanced" die Adressliste abgefragt:

(Screenshot)

Anschließend wird im Tab "Action" die Aktion "mark routing" gewählt. Füllen Sie im Feld "New Routing Mark" den Namen ein, den Sie sich gemerkt haben. Bestätigen Sie die Eingabe mit einem Klick auf "OK".


NAT einrichten

Wenn Geräte mit lokaler IP-Adresse durch den Tunnel mit dem Internet kommunizieren sollen, muss der Router die Quelladresse der Pakete umschreiben (NAT). Dies wird folgendermaßen eingerichtet:

Source NAT

Erstellen Sie im Menü "IP -> Firewall", Abschnitt "NAT", eine neue NAT-Regel. Diese gilt für die Chain "srcnat".

(Screenshot)

Wählen Sie als "In. Interface" das Portunity-PPTP-Interface. Falls Sie NAT auf mehreren Interfaces nutzen möchten, können Sie stattdessen eine Liste erstellen und diese dort eintragen ("In. Interface List").

Im Tab "Action" der neuen NAT-Regel ist "masquerade" die gewünschte Aktion. Speichern Sie die neue Regel durch einen Klick auf "OK".

Destination NAT

Falls Sie Dienste wie einen E-Mail-Server über das Internet erreichbar machen möchten, benötigen Sie zusätzlich eine Regel für Destination NAT ("dstnat"):

(Screenshot)

Als Protokoll und Port kommen beispielsweise TCP und 25 in Betracht. Das Interface ist auch hier das Portunity-PPTP-Interface.

Die Aktion im "Action"-Tab hingegen lautet hier "dst-nat". Es muss eine Zieladresse aus dem internen Netz angegeben werden, beispielsweise 192.168.0.100, und ein Zielport (im einfachsten Fall identisch mit dem nach außen sichtbaren Port, im Beispiel 25).

(Screenshot)

Von „https://www.portunity.de/wiki/PPTP-Tunnel_mit_MikroTik_RouterOS_einrichten_(Anleitung)

Disclaimer Wiki-Seiten:

Das Portunity Wiki ist eine offene Plattform welche von Portunity als ein Bestandteil der Website bereiterstellt und betrieben wird. Sinn und Zweck ist es gemeinschaftlich an Texten zu arbeiten und so einen Wissens- und Knowhow-Pool aufzubauen. Mitarbeiter von Portunity-Firmen, Kunden von Portunity-Firmen und Mitglieder der Portunity-Comunity können diese Plattform gleichermassen lesend und schreibend nutzen und so kollaborativ am gemeinschaftlichen Wissen arbeiten.

Es sollte von daher klar sein, dass die Portunity GmbH, die Portunity Media GmbH oder andere Portunity nahe Firmen als Betreiber der Wiki-Plattform nicht unbedingt Kenntniss von einzelnen Inhalten haben müssen. Dies gilt insbesondere für von Kunden und Community-Mitgliedern beigesteuerten Inhalten. Auch unsere Mitarbeiter haben nicht immer Kenntnis von allen Inhalten.

Weiter (restlichen Disclaimer anzeigen)
Persönliche Werkzeuge