Jump to content
  • 0

Имам връзка към RB2011 с VPN, но нямам интернет


thebulgarian
Go to solution Solved by thebulgarian,

Question

thebulgarian

Здравейте

Опитах да намеря отговор на въпроса (и проблема ми) във Форума, но не успях и за това започвам нова тема.

Ако вече има подобни разисквания, моля да ми дадете линк и да изтриете тази тема( аз не успях да намеря).

 

Имам rb2011uias-2hnd-in работещ като Home AP вкъщи и искам да мога да се свързвам към него посредством VPN от външно IP.

С Windows 7 и от iPhone се свързвам успешно отвън, но няма интернет.

 

Ето и конфигурацията. вторият WAN и LAN са само за проба и не са ми нужни. Мога да ги махна.

 
/ip pool
add name=dhcp ranges=10.10.10.2-10.10.10.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 lease-time=3d name=dhcp1
/ppp profile
set 1 local-address=192.168.89.1 remote-address=vpn
/interface l2tp-server server
set enabled=yes ipsec-secret=xxxxxxxxxxx use-ipsec=yes
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=10.10.10.1/24 comment="LAN IP Subnet" interface=ether2 network=10.10.10.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=10.10.10.1,75.75.75.75,75.75.76.76 gateway=10.10.10.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=10.10.10.0/24 list=OurLocalLAN
add address=10.0.0.0/24 list=OurLocalLAN
add address=192.168.89.0/24 list=OurLocalLAN
/ip firewall filter
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
add chain=forward comment="Allow connections from the LAN" connection-state=new in-interface=bridge1
add chain=forward comment="Allow established" connection-state=established
add chain=forward comment="Allow related" connection-state=related
add action=drop chain=forward comment="Drop all other traffic to the router"
add chain=input dst-port=8291 protocol=tcp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=ether1 type=external
/ppp secret
add name=xxx password=xxxxxxxxxx
add name=xxxx password=xxxxxxxxxx
/system ntp client
set enabled=yes primary-ntp=108.61.73.244 secondary-ntp=107.191.100.174

Ако имате нужда от допълнителна информация, за да си намеря грешката - пишете.

Edited by 111111
Link to post
Share on other sites

12 answers to this question

Recommended Posts

  • 0
  • Solution
thebulgarian

Да, за това го поправих. Проблемът се следният обаче - каквото и да напишеш там с удивителна отпред, VPN-а си работи, дори и да няма Address List. Става и с OurLocalLAN

 

 

Работи така:

/ip firewall address-list
add address=10.10.10.0/24 list=OurLocalLAN
add address=10.0.0.0/24 list=OurLocalLAN
add address=192.168.89.0/24 list=OurLocalLAN
add address=10.0.1.0/24 list=OurLocalLAN
add address=98.228.196.53 list=VPN
/ip firewall filter
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
add chain=forward comment="Allow connections from the LAN" connection-state=new in-interface=bridge1
add chain=forward comment="Allow established" connection-state=established
add chain=forward comment="Allow related" connection-state=related
add action=drop chain=forward comment="Drop all other traffic to the router" src-address-list=!VPN
add chain=input comment="Allow access to the router from the LAN using an address list" src-address-list=OurLocalLAN
add chain=input dst-port=8291 protocol=tcp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24

Работи и така :


add action=drop chain=forward comment="Drop all other traffic to the router" src-address-list=!OurLocalLAN

И така :
 
add action=drop chain=forward comment="Drop all other traffic to the router" src-address-list=!NothingHereAndWorking

 


ЕВРИКА!!! 

Като добавих следното правило и всичко тръгна както трябва! Благодаря за съдействието на всички! С ваша помощ се оправих.

 

Добавих следното правило и нещата се случиха: 

add chain=forward comment="Allow connections from the PPP" connection-state=new in-interface=all-ppp
Edited by thebulgarian
Link to post
Share on other sites
  • 0
  • Administrator

Интернета искаш да е от впн връзката или от оператора?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
  • Administrator

Настройките на клиента как са настроени?

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
thebulgarian

Стандартно.
post-4511-0-01447400-1429381029_thumb.jppost-4511-0-70303800-1429381025_thumb.jppost-4511-0-79642700-1429381026_thumb.jppost-4511-0-39867800-1429381027_thumb.jppost-4511-0-97696100-1429381027_thumb.jppost-4511-0-40322600-1429381028_thumb.jp

Мога да кача и тези от телефона, но и там всичко е стандартно. Ако е нужно кажи.

Link to post
Share on other sites
  • 0
  • Administrator

Свери си настройките

post-52-0-66900600-1429383579_thumb.gif

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to post
Share on other sites
  • 0
thebulgarian

Така са, не съм пипал нищо по настройките.

Още снимки. Виж подчертаното, има ли връзка с проблема?

При забрана на правило №4 има интенет на всяко отдалечено устройство. 

Как разреша VPN трафик без да махна това правило?

 

 

Като забраня правило 4 и интернет през VPN тръгва.

Как да добавя да прави изключение. 

post-4511-0-59240000-1429383962_thumb.jp

post-4511-0-07264100-1429384829_thumb.jp

post-4511-0-33267100-1429384830_thumb.jp

post-4511-0-69588400-1429384830_thumb.jp

post-4511-0-09407900-1429465569_thumb.jp

post-4511-0-49029900-1429466155_thumb.jp

Edited by Mupo neTkoB
Link to post
Share on other sites
  • 0

Така става когато се прави копи пейст на правила. Направи си адрес листа и в нея опиши адресите или мрежата от която ще достъпваш впн-а. След това добави едно правило преди 4-то примерно:

chain=input action=accept protocol=tcp src-address-list=vpn dst-port=1723

Link to post
Share on other sites
  • 0
thebulgarian
/ip firewall address-list
add address=10.10.10.0/24 list=OurLocalLAN
add address=10.0.0.0/24 list=OurLocalLAN
add address=192.168.89.0/24 list=OurLocalLAN
add address=10.0.1.0/24 list=OurLocalLAN
add address=xxx.xxx.xxx.xxx list=vpn 
add address=192.168.1.0/24 list=OurLocalLAN
/ip firewall filter
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
add chain=forward comment="Allow connections from the LAN" connection-state=new in-interface=bridge1
add chain=forward comment="Allow established" connection-state=established
add chain=forward comment="Allow related" connection-state=related
add chain=input dst-port=1723 protocol=tcp src-address-list=vpn
add chain=input dst-port=1723 protocol=tcp src-address-list=OurLocalLAN
add action=drop chain=forward comment="Drop all other traffic to the router"
add chain=input comment="Allow access to the router from the LAN using an address list" src-address-list=OurLocalLAN
add chain=input dst-port=8291 protocol=tcp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24

xxx.xxx.xxx.xxx реалното IP от което се свързвам и нямам интернет. Вътрешното IP от което се свързвам е в OurLocalLAN addess list.

Нямам интернет.

 

Link to post
Share on other sites
  • 0

виж на това правило което добави дали се отброяват пакети.

добави в това правило което дропи всичко адрес листата !vpn (с реверс).

Edited by Tsunami
Link to post
Share on other sites
  • 0
thebulgarian

да

Как с ревърс. Нямам представа.  ???

 

edit:

Добавих листата в правило 4 с знак "!" и VPN-a интернет-а литна  ;D ! Много благодаря! 
Имам още един въпрос, обаче .... Понеже се налага, да се влизам от различни IP адреси постоянно (пътувам често) как мога да реша проблема. Не мога да знам всички IP-ta през които ще влизам. Мога ли да разреша VPN порта само да не е подвластен на правило 4 ( доста поетично се изразих ми се струва... )  ::)

post-4511-0-23579000-1429506184_thumb.jp

Edited by thebulgarian
Link to post
Share on other sites
  • 0

Как с ревърс. Нямам представа.  ???

edit:

Добавих листата в правило 4 с знак "!"

Точно за това "!" става дума. Обратното на това което напишеш.

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Similar Content

    • mladentod
      By mladentod
      Здравейте, проблемът е следния:
      Преди няколко дни лаптопът ми (Asus с win 10) изведнъж спря да се свързва с L2TP/IPSec от hAP AC 2.
      Рестартирах рутера , гледах настройките - нищо.
      Същото име и парола от се закача за смартфона и един друг лаптоп. На PPTP също се свързва.
      Само и единствено на ASUS-a на L2TP не успява.
    • mladentod
      By mladentod
      Здравейте, 
      Не знам как да си формулирам въпроса за да търся в гуугъл, затова пиша тук.
      Отскоро започнах да експериментирам с мрежата си вкъщи и да се уча да я конфигурирам.
      Накратко . Като доставчик ползвам ВИВАКОМ и след тяхното устройство имам hAP AC2. Изтрих цялата конфигурация и започнах от началото. 
      По LAN съм закачил  3 РС-та, 2 телевизора и NAS (който закупих скоро).    По WI-FI са - 6 телефона и 2 лаптопа.  Дотук всичко е ОК.
      Проблемът ми е при VPN-ите, когато не съм вкъщи.  Телефоните и лаптопите се закачат и обменям информация с  NAS-а , но опитам ли да влезна в Интернет,  ми показва че страницата не може да бъде достъпена. Това става и на PPTP, и L2TP IPSec.  Във Вивакомския модем съм пренасочил портове 4500 и 500.
      На вилата ми също пуснах VPN за пробата (там съм на Мтел,  при който няма такива схеми с портове на модем-ът им) и пак същото.
      Предполагам че пропускам някаква дребна настройка.
       Предварително благодаря.
    • portnoy
      By portnoy
      Здравейте колеги, продавам си домашния рутер RB2011UiAS-2HnD-IN
      Служил ми е вярно около 2 години вкъщи, работи безотказно.
      Причината да го продавам е, че минавам на 5Ghz.
      Цена: 139лв.
      Намира се в гр. Златица
      Пращам по Еконт с 20% отстъпка.
      тел. 0888 94 93 81
      Антонио

    • windwalker78
      By windwalker78
      Здравейте,
                Опитвам се да вдигна един SSTP VPN  между mikrotik 6.40.4 (Намира се зад NAT с port forward на 443) - Windows 7 x64 sp1 и виждам зор със сертификата май:
      Генерирам ги така и пускам и sstp услугата + ppp:
      /system identity set name=sstp.tbrook /certificate add name=ca-template common-name=sstp.tbrook days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign add name=server-template common-name=*.sstp.tbrook days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server add name=client-template common-name=client1.sstp.tbrook days-valid=3650 key-size=2048 key-usage=tls-client sign ca-template name=ca-certificate sign server-template name=server-certificate ca=ca-certificate sign client-template name=client-certificate ca=ca-certificate /ip pool add name=”vpn-pool” ranges=10.30.0.2-10.30.0.10 /ppp profile add name=”vpn-profile” use-encryption=yes local-address=10.30.0.250 dns-server=10.30.0.250 remote-address=vpn-pool secret add name=client1 profile=vpn-profile password=TestPass /interface sstp-server server set enabled=yes default-profile=vpn-profile authentication=mschap2 certificate=server-certificate force-aes=yes pfs=yes /certificate export-certificate ca-certificate export-passphrase=”” След това копирам cert_export_ca-certificate.crt на Win7 и го вмъквам под  Certificates (Local Computer) -> Trusted Root Certification Authorities
      Вкарах и  sstp.tbrook с ip адрес в hosts файла.
      Като опитам да се свържа, в windows виждам това:
      Error is again 0x800B010F The certificate’s CN name does not match the passed value. В логовете на микротика само това:
      sstp,ppp,debug: LCP lowerdown sstp,ppp,debug: LCP down event in initial state Някой с идея какво да пробвам?
    • Taner
      By Taner
      Привет, съфорумници.


      Ще ми помогнете ли да си направя пълен списък с всички VPN протоколи, чрез които могат да се изградят VPN мрежи прод Mikrotik Router OS, както и различните комбинации?
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.