PPTP-Tunnel mit MikroTik RouterOS einrichten (Anleitung)
Aus Portunity Wiki
(→Routing konfigurieren) |
(→Source NAT) |
||
Zeile 86: | Zeile 86: | ||
Im Tab "Action" der neuen NAT-Regel ist "masquerade" die gewünschte Aktion. Speichern Sie die neue Regel durch einen Klick auf "OK". | Im Tab "Action" der neuen NAT-Regel ist "masquerade" die gewünschte Aktion. Speichern Sie die neue Regel durch einen Klick auf "OK". | ||
+ | |||
+ | [[File:PPTP-MikroTik-RouterOS-2022-screenshot012.png]] | ||
=== Destination NAT === | === Destination NAT === |
Version vom 16:12, 14. Mär. 2022
- Gerät: MikroTik RB450G
- Stand der Anleitung: März 2022
Inhaltsverzeichnis |
Verwendete Programme
- MikroTik WinBox
Vorbereitung
Starten Sie das Winbox-Programm und stellen Sie eine Verbindung zu Ihrem MikroTik-Router her.
Interface erstellen
Öffnen Sie nun die Interface-Einstellungen des Routers:
Datei:PPTP-MikroTik-RouterOS-2022-screenshot001.png
Fügen Sie dort ein neues Interface vom Typ "PPTP Client" hinzu:
Datei:PPTP-MikroTik-RouterOS-2022-screenshot002.png
Für das neue Interface sollten zunächst MTU- und MRU-Limits gesetzt werden. Die Werte dürfen nicht zu niedrig sein, da IPv6 ansonsten nicht funktioniert. Welche Werte optimal sind, hängt von der Verbindung ab; üblicherweise erzielen Kunden mit MTU/MRU zwischen 1300 und 1400 gute Ergebnisse.
Datei:PPTP-MikroTik-RouterOS-2022-screenshot003.png
Im Tab "Dial Out" der Interface-Erstellung muss nun der Tunnelserver eingetragen werden. Dieser wird in Ihrem Kundencenter (ISPSuite) dargestellt.
Den Benutzernamen finden Sie ebenfalls im Kundencenter; das Passwort haben Sie als "Produkt-Passwort" selbst dort festgelegt.
Achten Sie darauf, im Feld "Allow:" den "pap"-Algorithmus zu aktivieren.
Datei:PPTP-MikroTik-RouterOS-2022-screenshot004.png
Klicken Sie zum Abschluss auf "Apply". Im Fenster wird unten rechts ein Statustext angezeigt, der nun auf "Status: connected" wechseln sollte.
Datei:PPTP-MikroTik-RouterOS-2022-screenshot005.png
Prüfen Sie, dass im Menü "IP -> Addresses" der Router-Konfiguration Ihre IP-Adresse für das Interface "pptp-portunity" angezeigt wird.
Datei:PPTP-MikroTik-RouterOS-2022-screenshot006.png
Datei:PPTP-MikroTik-RouterOS-2022-screenshot007.png
Routing konfigurieren
Im Konfigurationsabschnitt "IP -> Routes" wird eine Liste aktiver Routen dargestellt. Eine der Routen ist eine 0.0.0.0/0-Route zum Portunity-Tunnelserver. Bearbeiten Sie diese Route und legen Sie einen Namen für die "Routing Mark" fest, den Sie sich gut merken können. Sie werden Ihn an anderer Stelle wieder benötigen.
Datei:PPTP-MikroTik-RouterOS-2022-screenshot006.png
Im Menü "IP -> Firewall", Abschnitt "Address Lists", können Sie eine neue Adressliste erstellen.
Datei:PPTP-MikroTik-RouterOS-2022-screenshot007.png
Diese Liste sollte die IP-Adressen aller Geräte enthalten, die durch den Portunity-Tunnel nach außen kommunizieren. Im Beispiel wurde das gesamte Netz "192.168.*.*" (192.168.0.0/16) eingetragen. Als Namen können Sie beispielsweise "via_pptp_tunnel" verwenden. Dies ist nicht der Name Ihrer "Routing Mark".
Datei:PPTP-MikroTik-RouterOS-2022-screenshot008.png
Wechseln Sie nun im Menü "IP -> Firewall" zum Abschnitt "Mangle" und erstellen Sie eine neue "Mangle Rule":
Datei:PPTP-MikroTik-RouterOS-2022-screenshot008.png
Die hier benötigte "Chain" ist "prerouting".
Datei:PPTP-MikroTik-RouterOS-2022-screenshot009.png
Die Mangle Rule hat die Aufgabe, Ihre IP-Adressliste ("via_pptp_tunnel") Ihrer "Routing Mark" zuzuordnen. Hierfür wird zunächst im Tab "Advanced" die Adressliste abgefragt:
Anschließend wird im Tab "Action" die Aktion "mark routing" gewählt. Füllen Sie im Feld "New Routing Mark" den Namen ein, den Sie sich gemerkt haben. Bestätigen Sie die Eingabe mit einem Klick auf "OK".
Datei:PPTP-MikroTik-RouterOS-2022-screenshot011.png
NAT einrichten
Wenn Geräte mit lokaler IP-Adresse durch den Tunnel mit dem Internet kommunizieren sollen, muss der Router die Quelladresse der Pakete umschreiben (NAT). Dies wird folgendermaßen eingerichtet:
Source NAT
Erstellen Sie im Menü "IP -> Firewall", Abschnitt "NAT", eine neue NAT-Regel. Diese gilt für die Chain "srcnat".
Datei:PPTP-MikroTik-RouterOS-2022-screenshot011.png
Wählen Sie als "In. Interface" das Portunity-PPTP-Interface. Falls Sie NAT auf mehreren Interfaces nutzen möchten, können Sie stattdessen eine Liste erstellen und diese dort eintragen ("In. Interface List").
Im Tab "Action" der neuen NAT-Regel ist "masquerade" die gewünschte Aktion. Speichern Sie die neue Regel durch einen Klick auf "OK".
Datei:PPTP-MikroTik-RouterOS-2022-screenshot012.png
Destination NAT
Falls Sie Dienste wie einen E-Mail-Server über das Internet erreichbar machen möchten, benötigen Sie zusätzlich eine Regel für Destination NAT ("dstnat"):
Datei:PPTP-MikroTik-RouterOS-2022-screenshot012.png
Als Protokoll und Port kommen beispielsweise TCP und 25 in Betracht. Das Interface ist auch hier das Portunity-PPTP-Interface.
Die Aktion im "Action"-Tab hingegen lautet hier "dst-nat". Es muss eine Zieladresse aus dem internen Netz angegeben werden, beispielsweise 192.168.0.100, und ein Zielport (im einfachsten Fall identisch mit dem nach außen sichtbaren Port, im Beispiel 25).