PPTP, Mikrotik, Routing
Здравейте! Изправен пред следния проблем: Създаден PPTP тунел между два Mikrotiks:
Mikrotik Aс "White IP" е инсталиран в главния офис, използван като шлюз за потребителите и на него е настроенVPN PPTP сървър. Конфигурацията е: LAN: 192.168.0.0/24PPP>Интерфейс>PPTP Свързване на сървър:потребител1 (например)PPP>Тайни:Име: потребител1 Локален адрес: 192.168.200.1 Отдалечено адрес: 19 2.168.200.2 Добавено маршрутизиране:IP>Маршрути:Dst.Address: 192.168.1.0/24 Шлюз: 192.168.200.2
В клона е инсталиранMikrotik Bс "White IP", който се използва като шлюз за потребителите, на него е конфигуриранVPN PPTP Client. Конфигурацията е както следва: LAN: 192.168.1.0/24PPP>Интерфейс>PPTP клиент:user1 Добавено маршрутизиране:IP>Маршрути:Dst.Address: 192.168.0.0/24 Шлюз: 192.168 .200.1
Връзката се установява. Въпреки това, ping не преминава от мрежата ..1.0 към мрежата ..0.0, или по-скоро преминава само от Mikrotik A към Mikrotik B. Напротив, таймаут. от локално към локално, също таймаут. Помогнете ми да го разбера, моля.
Александър Корюкин: Mikrotik B /ip firewall nat add action=masquerade chain=srcnat comment=Masquerade out-interface=pppoe-out1 add action=masquerade chain=srcnat src-address=192.168.0.0/24
На Mikrotik A имате нужда от:
Александър Корюкин: add action=masquerade chain=srcnat comment=Masquerade out-interface=pppoe-out1
Но защо е това?
Това е nat за достъп до интернет, ако съм разбрал всичко правилно.
Тези. останалите NAT правила не са необходими?
Alex_Buzz: добавете действие=скок верига=напред jump-target=tcp протокол=tcp добавете действие=скокверига=напред jump-target=udp протокол=udp добавяне на действие=прескачане верига=напред jump-target=icmp протокол=icmp
Създавате допълнителни вериги, но не задавате правила за тях. За какво?
Добавено е това правило, пинговете започнаха да преминават между рутери, няма пинг вътре в мрежите. Веригите на защитната стена идват от скрипт, който намерих някъде в интернет. Все още нямам достатъчно познания, за да конфигурирам самостоятелно и смислено защитната стена. Деактивирах тези правила. странното е, че напълно изключих защитната стена и пинговете все още не вървят ..
Alex_Buzz: Google -> ръководство за iptables + https://habrahabr.ru/post/188718/ Все още не се нуждаете от QoS, но статията обяснява подробно как какво къде отива и къде отива вътре в Mikrotik.
Междувременно опитайте временно да деактивирате add action=jump chain=forward jump-target=tcp protocol=tcp add action=jump chain=forward jump-target=udp protocol=udp add action=jump chain=forward jump-target=icmp protocol=icmp
И по-добре дай линк към скрипта. може би той, в допълнение към филтъра, също се изкачва в манглата.
Само динамично създадени правила в мангъла.
Сега няма. По-скоро има, но е деактивиран. Сега това е: Mikrotik A: /ip firewall nat add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=ether1-WAN add action=masquerade chain=srcnat comment=wan src-address=192.168.0.0/24
Mikrotik B: /ip firewall nat add action=masquerade chain=srcnat comment=Masquerade disabled=yes \ out-interface=pppoe-out1 add action=masquerade chain=srcnat comment=wan src-address=192.168.2.0/24
alegzz: Разбира се, че мога. За мен е важно не само да ми кажете как да го направя, но и да разбера как работи всичко и как да го настроя правилно. Като за начало решихзадайте всичко на MT A - MT B. Ако настоявате, тогава тук:
Mikrotik A VPN PPTP сървър.Конфигурация: LAN: 192.168.0.0/24PPP>Интерфейс>PPTP Свързване на сървъра:потребител1 (например) PPP>Тайни: Име: потребител1 Локален адрес: 192.168.20 0.1 Отдалечен адрес: 192.168.200.2
b>PPP>Интерфейс>PPTP обвързване на сървъра: потребител2 (например) PPP>Тайни: Име: потребител2 Локален адрес: 192.168.200.1 Отдалечен адрес: 192.168.200.3
Добавено маршрутизиране: За Mikrotik BIP>Маршрути:Dst.Address: 192.168.1.0/24 Gateway: 192.168.200.2
За Mikrotik CIP>маршрути:Dst.Address: 192.168.2.0/24 Gateway: 192.168.200.3
Mikrotik B VPN PPTP клиент.Конфигурацията е както следва: LAN: 192.168.1.0/24 PPP>Интерфейс>PPTP клиент: user1 Добавено маршрутизиране:IP>Маршрути:Dst.Address: 192.168.0 .0/24 Шлюз: 192.168.200.1
Mikrotik C VPN PPTP клиент.Конфигурацията е както следва: LAN: 192.168.2.0/24 PPP>Интерфейс>PPTP клиент: user2 Добавено маршрутизиране:IP>Маршрути:Dst.Address: 192.168.0 .0/24 Шлюз: 192.168.200.1
Конфигурацията на защитната стена е идентична и на трите устройства, с изключение на Mikrotik A, където PPTP е разрешен.
като цяло алгоритъмът е следният: 1) разрешаваме пренасочване на шлюзовете (или е разрешено по подразбиране и/или трябва да има разрешаващо правило преди първата подходяща забрана). 2) регистрираме маршрутизиране на шлюзове. маскирането трябва да бъде деактивирано (в противен случай значението на маршрутизирането се губи)
ако има успешен пинг от 192.168.200.1 до 192.168.200.2 (съответно и обратно), значи криете нещо, защото от горната схема всичко е наред