Jump to content
  • 0

Проблем с VPN


DuMbh3aD

Въпрос

Здравейте,

Като цяло съм новак с мокротик-а. Постарах се за изчета почти целия форум, но не намерих нищо което да ми помогне. Все пак се възползвах от някои интересни скриптове.

Та проблема ми е следния:

Имам няколко TP-Link-а, който са зад БТК ADSL. Рутерите са с една и съща конфигурация: wan ip 192.168.1.2 и lan ip 192.168.2.1 с пренасочени портове към PC:192.168.2.2

Настроих си един Routerbord за VPN PPTP сървър. Проблема ми е, че когато закача TP-Linkовете към VPN-a, пренасочванията на портовете им не сработва.

Ето и експорт от микротика:

# by RouterOS 6.34.4
# software id = MP3R-1I55
#
/interface bridge
add name=Priv
add name=Pub
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=WiFi \
    supplicant-identity="" wpa-pre-shared-key=******** \
    wpa2-pre-shared-key=********
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed name=WiFi_Pub supplicant-identity="" \
    wpa-pre-shared-key=******** wpa2-pre-shared-key=********
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
    name=WiFi_Priv security-profile=WiFi ssid=WiFi wds-default-bridge=Priv
add disabled=no keepalive-frames=disabled mac-address=xx:xx:xx:xx:xx:xx \
    master-interface=WiFi_Priv multicast-buffering=disabled name=WiFi_Pub \
    security-profile=WiFi_Pub ssid="Public WiFi" wds-cost-range=0 \
    wds-default-cost=0
/ip pool
add name=POOL_Priv ranges=192.168.88.150-192.168.88.254
add name=POOL_Pub ranges=192.168.0.1-192.168.0.254
add name=POOL_VPN ranges=192.168.10.1-192.168.10.254
/ip dhcp-server
add address-pool=POOL_Priv disabled=no interface=Priv name=DHCP_Priv
add address-pool=POOL_Pub disabled=no interface=Pub name=DHCP_Pub
/ppp profile
add local-address=192.168.10.1 name=VPN remote-address=POOL_VPN
/queue simple
add dst=WAN max-limit=512k/4M name=QUEUE_Pub target=Pub
/interface bridge port
add bridge=Priv interface=LAN_1
add bridge=Priv interface=LAN_2
add bridge=Priv interface=LAN_3
add bridge=Priv interface=LAN_4
add bridge=Priv interface=WiFi_Priv
add bridge=Pub interface=WiFi_Pub
/ip firewall connection tracking
set enabled=yes
/interface pptp-server server
set enabled=yes
/ip address
add address=*.*.*.*/* comment="IP for WAN" interface=WAN network=\
    *.*.*.*
add address=192.168.88.1/24 comment="IP for private network" interface=Priv \
    network=192.168.88.0
add address=192.168.0.1/24 comment="IP for public network" interface=Pub \
    network=192.168.0.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=208.67.222.222,208.67.220.220
/ip firewall filter
add action=drop chain=input comment=DROP_NO_BG_IPs in-interface=WAN \
    src-address-list=!BG_IPs
add action=drop chain=forward comment=DROP_PUB_TO_PRIV in-interface=Pub \
    out-interface=Priv
add action=drop chain=forward comment=DROP_TEAMVIEWER dst-port=5937-5939 \
    protocol=tcp src-address=!192.168.88.5
add action=drop chain=forward dst-address-list=TeamViewer src-address=!192.168.88.5
add action=drop chain=forward comment="BLOCK ADS" content=doubleclick.net \
    dst-port=80,443 protocol=tcp
add action=drop chain=forward content=ec-ns.sascdn.com dst-port=80,443 \
    protocol=tcp
add action=drop chain=forward content=ggpht.com dst-port=80,443 protocol=tcp
add action=drop chain=forward content=&ctier dst-port=80,443 protocol=tcp
add action=drop chain=forward content=googleads.g.doubleclick.net dst-port=\
    80,443 protocol=tcp
add action=drop chain=forward content=&ctier dst-port=80,443 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment=GATE_MASQUERADE out-interface=WAN
add action=dst-nat chain=dstnat dst-port=3389 in-interface=WAN protocol=tcp \
    src-address-list=ALLOW_IP to-addresses=192.168.88.5 to-ports=3389 \
    comment=RDPs
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.10.110 \
    dst-port=3389 protocol=tcp to-addresses=192.168.10.110 to-ports=3389
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.10.111 \
    dst-port=3389 protocol=tcp to-addresses=192.168.10.111 to-ports=3389
add action=redirect chain=dstnat comment=DNS dst-port=53 protocol=udp
add action=redirect chain=dstnat dst-port=53 protocol=tcp
/ppp secret
add name=TP-Link1 password=TP-Link1 profile=VPN remote-address=\
    192.168.10.110
add name=TP-Link2 password=TP-Link2 profile=VPN remote-address=\
    192.168.10.111

 

 

Адрес на коментара
Сподели в други сайтове

8 отговори на този въпрос

Recommended Posts

  • 0
  • Администратор

Ползвай отделни адресни листи за локални и за отдалечени адреси

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Всички заявки към Микротика от кои да е TP-Link идват със сорс адрес 192.168.1.2. Нямам достъп до ADSL-ите да пренасоча dmz-то

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
На 1/19/2017 at 0:30, DuMbh3aD написа:

Здравейте,

Като цяло съм новак с мокротик-а. Постарах се за изчета почти целия форум, но не намерих нищо което да ми помогне. Все пак се възползвах от някои интересни скриптове.

Та проблема ми е следния:

Имам няколко TP-Link-а, който са зад БТК ADSL. Рутерите са с една и съща конфигурация: wan ip 192.168.1.2 и lan ip 192.168.2.1 с пренасочени портове към PC:192.168.2.2

Настроих си един Routerbord за VPN PPTP сървър. Проблема ми е, че когато закача TP-Linkовете към VPN-a, пренасочванията на портовете им не сработва.

 

 

Освен 1723 пренасоче ли и GRE /47/ ?

Адрес на коментара
Сподели в други сайтове

  • 0
40 minutes ago, JohnTRIVOLTA said:

Освен 1723 пренасоче ли и GRE /47/ ?

1723 не е пренасочван никъде. GRE в микротика или в tp-link трябва? TP-Link е модел WR1043ND и никаде не видях нищо за GRE протокола.  Достъп до ADSL-ите нямам.

Пуснах torch от микротика и всички заявки от tp-linkовете идват със сорс адрес 192.168.1.2

VPN.png

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Мисля , че бъркаш малко нещата.Сега като гледам схемата първо не виждам защо е нужно пренасочване на портове на модемите и не мога да разбера какво искаш да постигнеш с VPN :

1.Да свържеш локалните мрежите зад тплинковете с тази при борда прозрачно ?

2.По конфига на борда съдя , че искаш да свържеш отдалечените мрежи, но пътища не виждам в конфига пък са и в еднакъв адресен сегмент тези локални мрежи?

или най-добре да споделиш схемата , че така е неразбираемо!

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

mikrotik local-pool 192.168.100.1-254
pool for tp-link 172.16.10.1-254

това във впн профила на микротика

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0

Схемата е следната. PC1 във всеки обект е сървър с база данни. Към тази база са свързани PC2, PC-то което е зад микротика и още един сървър, който не е описан в схемата по-горе. Проблема ми е когато се отваря нов обек. Понякога се налага да чакаме по 2-3 седмици докато прекарат интернет услига със статичен адрес. През този период, варианта за достъп до обекта е с мобилен 3-4G модем във VPN. Та това което се опитвам да направя е да може да се достъпват устройствата след рутерите и през външните адреси и през VPN-a от борда. В същото време с един фри акаунт в OpenDNS да се ограничат всички обекти.

Вариаант две е да се пробвам да уговоря достъпа до обектите да става през адреса на микротика, но по различни портове.

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Няма как да имаш "мулти" нат който да изпълнява функцията на геит без да опишеш доста повече неща

/ip fi na 
add action=dst-nat chain=dstnat comment="Remote Access" dst-address-type=local dst-port=81 protocol=tcp to-addresses=172.31.9.254 to-ports=80

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.