Проблем с VPN и микротик

[master]

Здравейте, проблемът е от доста време. Няколко пъти когато имах възможност правих какви ли не опити но без успех. Постановката е следната - микротик рутер с вдигнат впн сървър който работи и през мобилен телефон с впн клиент и мобилен интернет работи от години. Свързва се, има достъп до локалната мрежа и т.н. Проблемът е когато този телефон се свърже през Wi-Fi рутер който е микротик(ако на същото място е примерно tp-link проблем няма). Въпросния рутер няма никакви правила в защитната стена, има пуснато UPNP и са посочени входящия и изходящия интерфейс. Пробвах да добава разрешавато правило за порт 1723 tcp но без резултат. Вдигнах на нов рутер и с нов физически доставик микротик с VPN сървър - положението е същото през мобилен телефон с мобилен интернет работи. Но през домашен интернет и рутер микротик не се свързва. Пробвах от друг доставчик пак с микротик рутер и положението е същото. Работи единствено през мобилен интернет. Приемам всякакви предложения.

[JohnTRIVOLTA]

Добави и на двата рутера необходимите минимални правила в стената и пробвай пак ! Мисля , че клиентският рутер, когато е без правила е възможно да не сработва pptp хелпъра за клиентите зад нат ....

[master]

  chain=forward action=accept protocol=tcp in-interface=!Wan[Eth01]
      dst-port=1723 log=no log-prefix=""

 

E добавено в клиентския рутер.

 

 

В другия е същото но с input.

 

[JohnTRIVOLTA]

Клиентското правило не е нужно, а аз говоря за стандартни правила да се добавят, като на вход и за преминаващ да се разрешат established, related, untracked, ICMP и други портове ако е нужно - пример на сървъра и tcp 1723 и GRE, а после дроп на невалиден и всеки останал трафик.

[master]

 chain=input action=accept protocol=tcp in-interface=ETH6Wan
      dst-port=1723 log=no log-prefix=""

Добавено е най-отгоре.

Според мен проблемът е в клиентката част когато има микротик.

p.s. Тук https://forum.mikrotik.com/viewtopic.php?t=108644

има същия проблем но го е обяснил по-нагледно.

Edited November 13, 2020 by master

[JohnTRIVOLTA]

Цъкни на клиентският рутер кънкшън тракинг да е yes вместо auto и пробвай

[master]

преди 13 минути, JohnTRIVOLTA написа:

Цъкни на клиентският рутер кънкшън тракинг да е yes вместо auto и пробвай

Няма промяна.

[JohnTRIVOLTA]

Някакви логове при сървъра ?

[master]

Единствено в момента на пускането на VPN клиента в лога излиза "TCP connection established from IP то на клиентската страна"

 

[JohnTRIVOLTA]

А имаш ли всички необходими деф. правила в стената на клиентският рутер, както подчертах по-горе?

[master]

 

      chain=input action=accept protocol=udp in-interface=!WAN[Eth01]
      dst-port=123 log=no log-prefix="NTP Server"

      chain=forward action=accept protocol=tcp in-interface=!WAN[Eth01]
      dst-port=1723 log=no log-prefix=""

      chain=input action=accept
      connection-state=!invalid,established,related,untracked
      connection-limit=100,32 protocol=tcp in-interface=WAN[Eth01]
      limit=1,5:packet log=no log-prefix=""

Само това е в момента.

Добавих и ICMP но без резултат.

Edited November 13, 2020 by master

[JohnTRIVOLTA]

#client side#
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface=wan 
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward ipsec-policy=out,ipsec
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward connection-state=established,related,untracked
add action=accept chain=forward protocol=icmp
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=wan
#server side#
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=accept chain=input protocol=gre
add action=accept chain=input protocol=tcp port=1723 connection-state=new
add action=drop chain=input in-interface=wan 
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward ipsec-policy=out,ipsec
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward connection-state=established,related,untracked
add action=accept chain=forward protocol=icmp
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=wan

Започни пробите с тези базови настройки. Ако ти трябва си добави правило след това за ICMP за друга услуга, като достъп до WinBOX, ако ти е нужно на публичен адрес и на двата борда:

/add action=accept chain=input protocol=tcp port=8291 connection-state=new

Тръгнат ли нещата може да си до модифицираш стената!

[JohnTRIVOLTA]

Може да пробваш дори първо дали клиентският микротик би се свързал !

[master]

Благодаря, тези дни пак ще го мъча.

[ilko-gd]

На VPN сървъра ти трябват:

/ip firewall filter

INPUT CHAIN
add action=accept chain=input comment="Allow established, related and untracked connections in input chain" connection-state=established,related,untracked

add action=accept chain=input comment="Allow incoming connections for PPTP server" dst-port=1723 protocol=tcp

add action=accept chain=input comment="Allow GRE in input chain for PPTP server" protocol=gre

На клиентският рутер във FORWARD CHAIN ти трябва:

add action=accept chain=forward comment="Allow established, related and untracked connections in forward chain" connection-state=established,related,untracked

 

Това ти е достатъчно за тест. Такива връзки имам изградени много и сървъри и клиенти. Независимо от доставчика (PPPoE, DHCP, Static IP) когато клиентският рутер е MikroTik проблеми не съм имал. Има нещо в конфигурацията. Също така никога не използвам фабричната конфигурация, винаги когато инсталирам ново устройство го нулирам до фабрично състояние БЕЗ никаква конфигурация. Всичко конфигурирам от 0-та.

 

 

[master]

Благодаря, при първа възможност и това ще пробвам. Просто трябва физически да съм там. По отношение на клиентската част има един маскарад и това което е постнато по-горе. Иначе и аз правя всичко на default без конфигурация и така го настройвам.