Jump to content
  • 0

Проблем с VPN и микротик

master

Asked by master,

 Share

Question

master Collaborator

master

Posted
Posted

Здравейте, проблемът е от доста време. Няколко пъти когато имах възможност правих какви ли не опити но без успех. Постановката е следната - микротик рутер с вдигнат впн сървър който работи и през мобилен телефон с впн клиент и мобилен интернет работи от години. Свързва се, има достъп до локалната мрежа и т.н. Проблемът е когато този телефон се свърже през Wi-Fi рутер който е микротик(ако на същото място е примерно tp-link проблем няма). Въпросния рутер няма никакви правила в защитната стена, има пуснато UPNP и са посочени входящия и изходящия интерфейс. Пробвах да добава разрешавато правило за порт 1723 tcp но без резултат. Вдигнах на нов рутер и с нов физически доставик микротик с VPN сървър - положението е същото през мобилен телефон с мобилен интернет работи. Но през домашен интернет и рутер микротик не се свързва. Пробвах от друг доставчик пак с микротик рутер и положението е същото. Работи единствено през мобилен интернет. Приемам всякакви предложения.

Analog Audio™

Link to comment
Share on other sites
  • Answers 38
  • Created
  • Last Reply

Top Posters For This Question

  • master

    18

  • JohnTRIVOLTA

    15

  • 111111

    4

  • mitakabs

    1

Popular Days

Top Posters For This Question

Popular Days

Popular Posts

111111
111111

Пусни дебъг логовете, се ще излезне от де е яда.

111111
111111

То затова е дебъг лога да показва повече примерно такъв /system logging add disabled=yes topics=dhcp,debug пригоди го за твоите нужди и приятно четене 😉  

38 answers to this question

Recommended Posts

  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted

Добави и на двата рутера необходимите минимални правила в стената и пробвай пак ! Мисля , че клиентският рутер, когато е без правила е възможно да не сработва pptp хелпъра за клиентите зад нат ....

Link to comment
Share on other sites
  • 0
master
Collaborator

master

Posted
  • Author
Posted

  chain=forward action=accept protocol=tcp in-interface=!Wan[Eth01]
      dst-port=1723 log=no log-prefix=""

 

E добавено в клиентския рутер.

 

 

В другия е същото но с input.

 

Analog Audio™

Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted

Клиентското правило не е нужно, а аз говоря за стандартни правила да се добавят, като на вход и за преминаващ да се разрешат established, related, untracked, ICMP и други портове ако е нужно - пример на сървъра и tcp 1723 и GRE, а после дроп на невалиден и всеки останал трафик.

Link to comment
Share on other sites
  • 0
master
Collaborator

master

Posted
  • Author
Posted (edited)

 chain=input action=accept protocol=tcp in-interface=ETH6Wan
      dst-port=1723 log=no log-prefix=""

Добавено е най-отгоре.

Според мен проблемът е в клиентката част когато има микротик.

p.s. Тук https://forum.mikrotik.com/viewtopic.php?t=108644

има същия проблем но го е обяснил по-нагледно.

Edited by master

Analog Audio™

Link to comment
Share on other sites
  • 0
master
Collaborator

master

Posted
  • Author
Posted
преди 13 минути, JohnTRIVOLTA написа:

Цъкни на клиентският рутер кънкшън тракинг да е yes вместо auto и пробвай

Няма промяна.

Analog Audio™

Link to comment
Share on other sites
  • 0
master
Collaborator

master

Posted
  • Author
Posted

Единствено в момента на пускането на VPN клиента в лога излиза "TCP connection established from IP то на клиентската страна"

 

Analog Audio™

Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted

А имаш ли всички необходими деф. правила в стената на клиентският рутер, както подчертах по-горе?

Link to comment
Share on other sites
  • 0
master
Collaborator

master

Posted
  • Author
Posted (edited)
 

      chain=input action=accept protocol=udp in-interface=!WAN[Eth01]
      dst-port=123 log=no log-prefix="NTP Server"

      chain=forward action=accept protocol=tcp in-interface=!WAN[Eth01]
      dst-port=1723 log=no log-prefix=""

      chain=input action=accept
      connection-state=!invalid,established,related,untracked
      connection-limit=100,32 protocol=tcp in-interface=WAN[Eth01]
      limit=1,5:packet log=no log-prefix=""

Само това е в момента.

Добавих и ICMP но без резултат.

Edited by master

Analog Audio™

Link to comment
Share on other sites
  • 0
JohnTRIVOLTA Collaborator

JohnTRIVOLTA

Posted
Posted 
#client side#
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface=wan 
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward ipsec-policy=out,ipsec
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward connection-state=established,related,untracked
add action=accept chain=forward protocol=icmp
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=wan
#server side#
/ip firewall filter
add action=drop chain=input connection-state=invalid
add action=accept chain=input connection-state=established,related,untracked
add action=accept chain=input protocol=icmp
add action=accept chain=input protocol=gre
add action=accept chain=input protocol=tcp port=1723 connection-state=new
add action=drop chain=input in-interface=wan 
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward ipsec-policy=out,ipsec
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward connection-state=established,related,untracked
add action=accept chain=forward protocol=icmp
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=wan

Започни пробите с тези базови настройки. Ако ти трябва си добави правило след това за ICMP за друга услуга, като достъп до WinBOX, ако ти е нужно на публичен адрес и на двата борда:

/add action=accept chain=input protocol=tcp port=8291 connection-state=new

Тръгнат ли нещата може да си до модифицираш стената!

Link to comment
Share on other sites
  • 0
ilko-gd Newbie

ilko-gd

Posted
Posted

На VPN сървъра ти трябват:

/ip firewall filter

INPUT CHAIN
add action=accept chain=input comment="Allow established, related and untracked connections in input chain" connection-state=established,related,untracked

add action=accept chain=input comment="Allow incoming connections for PPTP server" dst-port=1723 protocol=tcp

add action=accept chain=input comment="Allow GRE in input chain for PPTP server" protocol=gre

На клиентският рутер във FORWARD CHAIN ти трябва:

add action=accept chain=forward comment="Allow established, related and untracked connections in forward chain" connection-state=established,related,untracked

 

Това ти е достатъчно за тест. Такива връзки имам изградени много и сървъри и клиенти. Независимо от доставчика (PPPoE, DHCP, Static IP) когато клиентският рутер е MikroTik проблеми не съм имал. Има нещо в конфигурацията. Също така никога не използвам фабричната конфигурация, винаги когато инсталирам ново устройство го нулирам до фабрично състояние БЕЗ никаква конфигурация. Всичко конфигурирам от 0-та.

 

 

Link to comment
Share on other sites
  • 0
master
Collaborator

master

Posted
  • Author
Posted

Благодаря, при първа възможност и това ще пробвам. Просто трябва физически да съм там. По отношение на клиентската част има един маскарад и това което е постнато по-горе. Иначе и аз правя всичко на default без конфигурация и така го настройвам.

Analog Audio™

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept