2 въпроса

[gogobyte]

Здравейте, имам 2 проблема с един микротик

1. Проблем е с достъпа през VPN към локалната мрежа на рутера. Всичко е настроено като по учебник. Интерфейса е с proxy-arp. В едни мрежи са но неще пущината да пингне локален компютър отвън и това е. Все минава през гейтуея. Трябва ли да се добавят някакви правила в роутс или файрлола?

2. На рутера имам 2 външни ип-та. На 1-то се връзвам през winbox-a а на 2-то немога. Трябва ли да се правят някакви правила?

Edited June 12, 2015 by gogobyte

[gogobyte]

Това е конфигурацията на ppp-profiles

 

0 * name="default" local-address=192.168.1.1 remote-address=VPN bridge=4-8 use-mpls=default use-compression=default
     use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=default address-list=""
 1 * name="default-encryption" local-address=192.168.1.1 remote-address=VPN bridge=4-8 use-mpls=default use-compression=default
     use-vj-compression=default use-encryption=yes only-one=default change-tcp-mss=default address-list=""
[/code]

във firewalla

 1    chain=forward action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
 2    chain=forward action=accept protocol=gre log=no log-prefix=""

във интерфейсес бриджа е с proxy-arp

[111111]

Сподели съдържанието на защитната стена 

ползвай командата export

Edited June 12, 2015 by 111111

[gogobyte]

add chain=forward dst-port=1723 protocol=tcp
add chain=forward protocol=gre



add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=masquerade chain=srcnat src-address=192.168.2.0/24
add action=masquerade chain=srcnat src-address=192.168.3.0/24
add action=masquerade chain=srcnat src-address=192.168.10.0/24
add action=masquerade chain=srcnat src-address=192.168.100.0/24



add action=mark-routing chain=prerouting new-routing-mark=PC src-address-list=PC
add action=mark-routing chain=prerouting new-routing-mark=Phones src-address-list=Phones
add action=mark-routing chain=prerouting new-routing-mark=Cameras src-address-list=Cameras
add action=mark-routing chain=prerouting new-routing-mark=Unknown src-address-list=Unknown
add action=mark-routing chain=prerouting new-routing-mark=VPN src-address-list=VPN

 

Edited June 12, 2015 by Mupo neTkoB

[gogobyte]

Все още се мъча с тоя достъп. Като си настроя ръчно ип-то да съм в мрежата на впн-а няма проблем но като се връзвам от вън неще. Предлагам заплащане ако някой го оправи.

[gogobyte]

Забелязвам че като се върже клиента към впн-а маската му е 255 което според мен е проблем. Има ли как да се смени маската на 0 ?

[111111]

Преди 23 часа, gogobyte написа:

Забелязвам че като се върже клиента към впн-а маската му е 255 което според мен е проблем. Има ли как да се смени маската на 0 ?

всички тунелни клиенти са с такава маска

 

опитай следното нещо 

създай бридж в който вкарай локалните портове като и съответно зададеш локалния адрес на него

/в случая портове 3-4-5 са със зададен мастер порт 2/

/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local

 

 

/interface bridge
add arp=proxy-arp name=bridge-vpn-lan
/interface bridge port
add bridge=bridge-vpn-lan interface=ether2-master-local

в провила на тунела задай бриджа

/ppp profile
add bridge=bridge-vpn-lan local-address=PPTP name=PPTP-Profile only-one=yes remote-address=PPTP use-compression=no use-mpls=no

 

[gogobyte]

Не мога да ги направя мастер

master-port and bandwidth settings not supported on this port

иначе всичко друго е направено така

[111111]

Махни си лимитите и пусни суича /като им зададеш мастер порт/

трябва да са на unlimited 

[gogobyte]

unlimited са но пак дава същата грешка каквото и да опитам

версията ми е 6.20 може ли в това да е проблема?

[111111]

Обнови го и ще разбереш отнема 2 минути

[gbdesign]

По първият въпрос. Вдигни си отделна мрежа за VPN и разкарай proxy-arp, че това безумие прави страшни мизерии по някога. По отношение на това, което ще виждаш от клиента на VPN-а, зависи от самият му тип. Примерно при pptp ще виждаш всичко от локалната мрежа, както и локалната мрежа, ще вижда теб. При OpenVPN и L2TP ще трябва да укажеш маршрути, кой кого искаш да вижда и от двете страни на тунела. При IPSec е още по-сложно. 

По вторият въпрос. Ако двата публични адреса са ти от една мрежа, няма проблем да ги достъпваш нито от локалната мрежа, нито от Интернет. Ако обаче са от различни мрежи и нямаш BGP, такова поведение е нормално. 

По отношение на версията на Микротик. Минал съм през всичките и никога не съм имал никакви проблеми с VPN тунели, а ползвам много и от всички типове. Предполагам че ползваш  пиратската 6.20, която също бачка безпроблемно или поне аз не съм открил проблеми, когато се заигравах с нея преди години. 

[gogobyte]

VPN-a е в отделна мрежа. Но дори да му дам IP от същата пак нестава. Като махна proxy-arp няма разлика. PPTP е връзката и дори след ъпдейт пак неможе да вижда локалните. Пробвах и с L2TP със маршрути и там нестана.

Реално ако закача компютър със статично ИП в мрежата на ВПН-а всичко работи. Като се закача към ВПН-а има интернет но немога да отварям компютри в мрежата по какавто и да е протокол нито да ги пингвам и обратно. Пробвах и с HAIRPIN NAT да отворя и локален сървър и това не се получи. А при локалните компютри работи.

[gbdesign]

Ако не ти е спешно, пиши ми в неделя вечерта и ще го огледаме заедно през Тийм Вювър или временен акаунт.