Jump to content
  • 0

Проблем с VPN и микротик


master

Въпрос

Здравейте, проблемът е от доста време. Няколко пъти когато имах възможност правих какви ли не опити но без успех. Постановката е следната - микротик рутер с вдигнат впн сървър който работи и през мобилен телефон с впн клиент и мобилен интернет работи от години. Свързва се, има достъп до локалната мрежа и т.н. Проблемът е когато този телефон се свърже през Wi-Fi рутер който е микротик(ако на същото място е примерно tp-link проблем няма). Въпросния рутер няма никакви правила в защитната стена, има пуснато UPNP и са посочени входящия и изходящия интерфейс. Пробвах да добава разрешавато правило за порт 1723 tcp но без резултат. Вдигнах на нов рутер и с нов физически доставик микротик с VPN сървър - положението е същото през мобилен телефон с мобилен интернет работи. Но през домашен интернет и рутер микротик не се свързва. Пробвах от друг доставчик пак с микротик рутер и положението е същото. Работи единствено през мобилен интернет. Приемам всякакви предложения.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор

Добави и на двата рутера необходимите минимални правила в стената и пробвай пак ! Мисля , че клиентският рутер, когато е без правила е възможно да не сработва pptp хелпъра за клиентите зад нат ....

Адрес на коментара
Сподели в други сайтове

  • 0

  chain=forward action=accept protocol=tcp in-interface=!Wan[Eth01]
      dst-port=1723 log=no log-prefix=""

 

E добавено в клиентския рутер.

 

 

В другия е същото но с input.

 

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Клиентското правило не е нужно, а аз говоря за стандартни правила да се добавят, като на вход и за преминаващ да се разрешат established, related, untracked, ICMP и други портове ако е нужно - пример на сървъра и tcp 1723 и GRE, а после дроп на невалиден и всеки останал трафик.

Адрес на коментара
Сподели в други сайтове

  • 0

 chain=input action=accept protocol=tcp in-interface=ETH6Wan
      dst-port=1723 log=no log-prefix=""

Добавено е най-отгоре.

Според мен проблемът е в клиентката част когато има микротик.

p.s. Тук https://forum.mikrotik.com/viewtopic.php?t=108644

има същия проблем но го е обяснил по-нагледно.

Редактирано от master

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Цъкни на клиентският рутер кънкшън тракинг да е yes вместо auto и пробвай

Адрес на коментара
Сподели в други сайтове

  • 0
преди 13 минути, JohnTRIVOLTA написа:

Цъкни на клиентският рутер кънкшън тракинг да е yes вместо auto и пробвай

Няма промяна.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0

Единствено в момента на пускането на VPN клиента в лога излиза "TCP connection established from IP то на клиентската страна"

 

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

А имаш ли всички необходими деф. правила в стената на клиентският рутер, както подчертах по-горе?

Адрес на коментара
Сподели в други сайтове

  • 0
 

      chain=input action=accept protocol=udp in-interface=!WAN[Eth01]
      dst-port=123 log=no log-prefix="NTP Server"

      chain=forward action=accept protocol=tcp in-interface=!WAN[Eth01]
      dst-port=1723 log=no log-prefix=""

      chain=input action=accept
      connection-state=!invalid,established,related,untracked
      connection-limit=100,32 protocol=tcp in-interface=WAN[Eth01]
      limit=1,5:packet log=no log-prefix=""

Само това е в момента.

Добавих и ICMP но без резултат.

Редактирано от master

Analog Audio™

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
#client side#
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface=wan 
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward ipsec-policy=out,ipsec
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward connection-state=established,related,untracked
add action=accept chain=forward protocol=icmp
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=wan
#server side#
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=accept chain=input protocol=gre
add action=accept chain=input protocol=tcp port=1723 connection-state=new
add action=drop chain=input in-interface=wan 
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward ipsec-policy=out,ipsec
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward connection-state=established,related,untracked
add action=accept chain=forward protocol=icmp
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=wan

Започни пробите с тези базови настройки. Ако ти трябва си добави правило след това за ICMP за друга услуга, като достъп до WinBOX, ако ти е нужно на публичен адрес и на двата борда:

/add action=accept chain=input protocol=tcp port=8291 connection-state=new

Тръгнат ли нещата може да си до модифицираш стената!

Адрес на коментара
Сподели в други сайтове

  • 0

На VPN сървъра ти трябват:

/ip firewall filter

INPUT CHAIN
add action=accept chain=input comment="Allow established, related and untracked connections in input chain" connection-state=established,related,untracked

add action=accept chain=input comment="Allow incoming connections for PPTP server" dst-port=1723 protocol=tcp

add action=accept chain=input comment="Allow GRE in input chain for PPTP server" protocol=gre

На клиентският рутер във FORWARD CHAIN ти трябва:

add action=accept chain=forward comment="Allow established, related and untracked connections in forward chain" connection-state=established,related,untracked

 

Това ти е достатъчно за тест. Такива връзки имам изградени много и сървъри и клиенти. Независимо от доставчика (PPPoE, DHCP, Static IP) когато клиентският рутер е MikroTik проблеми не съм имал. Има нещо в конфигурацията. Също така никога не използвам фабричната конфигурация, винаги когато инсталирам ново устройство го нулирам до фабрично състояние БЕЗ никаква конфигурация. Всичко конфигурирам от 0-та.

 

 

Адрес на коментара
Сподели в други сайтове

  • 0

Благодаря, при първа възможност и това ще пробвам. Просто трябва физически да съм там. По отношение на клиентската част има един маскарад и това което е постнато по-горе. Иначе и аз правя всичко на default без конфигурация и така го настройвам.

Analog Audio™

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.