Jump to content
  • 0

Проблем с VPN


DuMbh3aD
 Share

Question

Здравейте,

Като цяло съм новак с мокротик-а. Постарах се за изчета почти целия форум, но не намерих нищо което да ми помогне. Все пак се възползвах от някои интересни скриптове.

Та проблема ми е следния:

Имам няколко TP-Link-а, който са зад БТК ADSL. Рутерите са с една и съща конфигурация: wan ip 192.168.1.2 и lan ip 192.168.2.1 с пренасочени портове към PC:192.168.2.2

Настроих си един Routerbord за VPN PPTP сървър. Проблема ми е, че когато закача TP-Linkовете към VPN-a, пренасочванията на портовете им не сработва.

Ето и експорт от микротика:

# by RouterOS 6.34.4
# software id = MP3R-1I55
#
/interface bridge
add name=Priv
add name=Pub
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=WiFi \
    supplicant-identity="" wpa-pre-shared-key=******** \
    wpa2-pre-shared-key=********
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed name=WiFi_Pub supplicant-identity="" \
    wpa-pre-shared-key=******** wpa2-pre-shared-key=********
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
    name=WiFi_Priv security-profile=WiFi ssid=WiFi wds-default-bridge=Priv
add disabled=no keepalive-frames=disabled mac-address=xx:xx:xx:xx:xx:xx \
    master-interface=WiFi_Priv multicast-buffering=disabled name=WiFi_Pub \
    security-profile=WiFi_Pub ssid="Public WiFi" wds-cost-range=0 \
    wds-default-cost=0
/ip pool
add name=POOL_Priv ranges=192.168.88.150-192.168.88.254
add name=POOL_Pub ranges=192.168.0.1-192.168.0.254
add name=POOL_VPN ranges=192.168.10.1-192.168.10.254
/ip dhcp-server
add address-pool=POOL_Priv disabled=no interface=Priv name=DHCP_Priv
add address-pool=POOL_Pub disabled=no interface=Pub name=DHCP_Pub
/ppp profile
add local-address=192.168.10.1 name=VPN remote-address=POOL_VPN
/queue simple
add dst=WAN max-limit=512k/4M name=QUEUE_Pub target=Pub
/interface bridge port
add bridge=Priv interface=LAN_1
add bridge=Priv interface=LAN_2
add bridge=Priv interface=LAN_3
add bridge=Priv interface=LAN_4
add bridge=Priv interface=WiFi_Priv
add bridge=Pub interface=WiFi_Pub
/ip firewall connection tracking
set enabled=yes
/interface pptp-server server
set enabled=yes
/ip address
add address=*.*.*.*/* comment="IP for WAN" interface=WAN network=\
    *.*.*.*
add address=192.168.88.1/24 comment="IP for private network" interface=Priv \
    network=192.168.88.0
add address=192.168.0.1/24 comment="IP for public network" interface=Pub \
    network=192.168.0.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=208.67.222.222,208.67.220.220
/ip firewall filter
add action=drop chain=input comment=DROP_NO_BG_IPs in-interface=WAN \
    src-address-list=!BG_IPs
add action=drop chain=forward comment=DROP_PUB_TO_PRIV in-interface=Pub \
    out-interface=Priv
add action=drop chain=forward comment=DROP_TEAMVIEWER dst-port=5937-5939 \
    protocol=tcp src-address=!192.168.88.5
add action=drop chain=forward dst-address-list=TeamViewer src-address=!192.168.88.5
add action=drop chain=forward comment="BLOCK ADS" content=doubleclick.net \
    dst-port=80,443 protocol=tcp
add action=drop chain=forward content=ec-ns.sascdn.com dst-port=80,443 \
    protocol=tcp
add action=drop chain=forward content=ggpht.com dst-port=80,443 protocol=tcp
add action=drop chain=forward content=&ctier dst-port=80,443 protocol=tcp
add action=drop chain=forward content=googleads.g.doubleclick.net dst-port=\
    80,443 protocol=tcp
add action=drop chain=forward content=&ctier dst-port=80,443 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment=GATE_MASQUERADE out-interface=WAN
add action=dst-nat chain=dstnat dst-port=3389 in-interface=WAN protocol=tcp \
    src-address-list=ALLOW_IP to-addresses=192.168.88.5 to-ports=3389 \
    comment=RDPs
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.10.110 \
    dst-port=3389 protocol=tcp to-addresses=192.168.10.110 to-ports=3389
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.10.111 \
    dst-port=3389 protocol=tcp to-addresses=192.168.10.111 to-ports=3389
add action=redirect chain=dstnat comment=DNS dst-port=53 protocol=udp
add action=redirect chain=dstnat dst-port=53 protocol=tcp
/ppp secret
add name=TP-Link1 password=TP-Link1 profile=VPN remote-address=\
    192.168.10.110
add name=TP-Link2 password=TP-Link2 profile=VPN remote-address=\
    192.168.10.111

 

 

Link to comment
Share on other sites

8 answers to this question

Recommended Posts

  • 0
  • Administrator

Ползвай отделни адресни листи за локални и за отдалечени адреси

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Всички заявки към Микротика от кои да е TP-Link идват със сорс адрес 192.168.1.2. Нямам достъп до ADSL-ите да пренасоча dmz-то

Link to comment
Share on other sites

  • 0
На 1/19/2017 at 0:30, DuMbh3aD написа:

Здравейте,

Като цяло съм новак с мокротик-а. Постарах се за изчета почти целия форум, но не намерих нищо което да ми помогне. Все пак се възползвах от някои интересни скриптове.

Та проблема ми е следния:

Имам няколко TP-Link-а, който са зад БТК ADSL. Рутерите са с една и съща конфигурация: wan ip 192.168.1.2 и lan ip 192.168.2.1 с пренасочени портове към PC:192.168.2.2

Настроих си един Routerbord за VPN PPTP сървър. Проблема ми е, че когато закача TP-Linkовете към VPN-a, пренасочванията на портовете им не сработва.

 

 

Освен 1723 пренасоче ли и GRE /47/ ?

Link to comment
Share on other sites

  • 0
40 minutes ago, JohnTRIVOLTA said:

Освен 1723 пренасоче ли и GRE /47/ ?

1723 не е пренасочван никъде. GRE в микротика или в tp-link трябва? TP-Link е модел WR1043ND и никаде не видях нищо за GRE протокола.  Достъп до ADSL-ите нямам.

Пуснах torch от микротика и всички заявки от tp-linkовете идват със сорс адрес 192.168.1.2

VPN.png

Link to comment
Share on other sites

  • 0

Мисля , че бъркаш малко нещата.Сега като гледам схемата първо не виждам защо е нужно пренасочване на портове на модемите и не мога да разбера какво искаш да постигнеш с VPN :

1.Да свържеш локалните мрежите зад тплинковете с тази при борда прозрачно ?

2.По конфига на борда съдя , че искаш да свържеш отдалечените мрежи, но пътища не виждам в конфига пък са и в еднакъв адресен сегмент тези локални мрежи?

или най-добре да споделиш схемата , че така е неразбираемо!

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0
  • Administrator

mikrotik local-pool 192.168.100.1-254
pool for tp-link 172.16.10.1-254

това във впн профила на микротика

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Схемата е следната. PC1 във всеки обект е сървър с база данни. Към тази база са свързани PC2, PC-то което е зад микротика и още един сървър, който не е описан в схемата по-горе. Проблема ми е когато се отваря нов обек. Понякога се налага да чакаме по 2-3 седмици докато прекарат интернет услига със статичен адрес. През този период, варианта за достъп до обекта е с мобилен 3-4G модем във VPN. Та това което се опитвам да направя е да може да се достъпват устройствата след рутерите и през външните адреси и през VPN-a от борда. В същото време с един фри акаунт в OpenDNS да се ограничат всички обекти.

Вариаант две е да се пробвам да уговоря достъпа до обектите да става през адреса на микротика, но по различни портове.

Link to comment
Share on other sites

  • 0
  • Administrator

Няма как да имаш "мулти" нат който да изпълнява функцията на геит без да опишеш доста повече неща

/ip fi na 
add action=dst-nat chain=dstnat comment="Remote Access" dst-address-type=local dst-port=81 protocol=tcp to-addresses=172.31.9.254 to-ports=80

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Similar Content

    • mladentod
      By mladentod
      Здравейте, проблемът е следния:
      Преди няколко дни лаптопът ми (Asus с win 10) изведнъж спря да се свързва с L2TP/IPSec от hAP AC 2.
      Рестартирах рутера , гледах настройките - нищо.
      Същото име и парола от се закача за смартфона и един друг лаптоп. На PPTP също се свързва.
      Само и единствено на ASUS-a на L2TP не успява.
    • mladentod
      By mladentod
      Здравейте, 
      Не знам как да си формулирам въпроса за да търся в гуугъл, затова пиша тук.
      Отскоро започнах да експериментирам с мрежата си вкъщи и да се уча да я конфигурирам.
      Накратко . Като доставчик ползвам ВИВАКОМ и след тяхното устройство имам hAP AC2. Изтрих цялата конфигурация и започнах от началото. 
      По LAN съм закачил  3 РС-та, 2 телевизора и NAS (който закупих скоро).    По WI-FI са - 6 телефона и 2 лаптопа.  Дотук всичко е ОК.
      Проблемът ми е при VPN-ите, когато не съм вкъщи.  Телефоните и лаптопите се закачат и обменям информация с  NAS-а , но опитам ли да влезна в Интернет,  ми показва че страницата не може да бъде достъпена. Това става и на PPTP, и L2TP IPSec.  Във Вивакомския модем съм пренасочил портове 4500 и 500.
      На вилата ми също пуснах VPN за пробата (там съм на Мтел,  при който няма такива схеми с портове на модем-ът им) и пак същото.
      Предполагам че пропускам някаква дребна настройка.
       Предварително благодаря.
    • windwalker78
      By windwalker78
      Здравейте,
                Опитвам се да вдигна един SSTP VPN  между mikrotik 6.40.4 (Намира се зад NAT с port forward на 443) - Windows 7 x64 sp1 и виждам зор със сертификата май:
      Генерирам ги така и пускам и sstp услугата + ppp:
      /system identity set name=sstp.tbrook /certificate add name=ca-template common-name=sstp.tbrook days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign add name=server-template common-name=*.sstp.tbrook days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server add name=client-template common-name=client1.sstp.tbrook days-valid=3650 key-size=2048 key-usage=tls-client sign ca-template name=ca-certificate sign server-template name=server-certificate ca=ca-certificate sign client-template name=client-certificate ca=ca-certificate /ip pool add name=”vpn-pool” ranges=10.30.0.2-10.30.0.10 /ppp profile add name=”vpn-profile” use-encryption=yes local-address=10.30.0.250 dns-server=10.30.0.250 remote-address=vpn-pool secret add name=client1 profile=vpn-profile password=TestPass /interface sstp-server server set enabled=yes default-profile=vpn-profile authentication=mschap2 certificate=server-certificate force-aes=yes pfs=yes /certificate export-certificate ca-certificate export-passphrase=”” След това копирам cert_export_ca-certificate.crt на Win7 и го вмъквам под  Certificates (Local Computer) -> Trusted Root Certification Authorities
      Вкарах и  sstp.tbrook с ip адрес в hosts файла.
      Като опитам да се свържа, в windows виждам това:
      Error is again 0x800B010F The certificate’s CN name does not match the passed value. В логовете на микротика само това:
      sstp,ppp,debug: LCP lowerdown sstp,ppp,debug: LCP down event in initial state Някой с идея какво да пробвам?
    • Taner
      By Taner
      Привет, съфорумници.


      Ще ми помогнете ли да си направя пълен списък с всички VPN протоколи, чрез които могат да се изградят VPN мрежи прод Mikrotik Router OS, както и различните комбинации?
    • полуемигрант
      By полуемигрант
      Здравейте,
      Имам си интернет и телевизия в София от Мтел.
      Живея обаче в Шотландия, и се чудя дали мога с два микротика (един в софия и е един на острова) да направя така, че като си взема STB-то да си гледам телевизия?
      Също се чудя дали някой може да ми продаде две рутерчета баш настроени, така че да ги бодна и всичко да потече красиво?
      Последното ми чудене ще мога ли да вземам банани от замунда?
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.