PPTP, Mikrotik, Маршрутизація
Вітаю! Зіткнувся з такою проблемою: Створив тунель PPTP між двома Мікротиками:
Mikrotik Ac "Білим IP" встановлений у головному офісі, використовується як шлюз для користувачів, на ньому ж піднятоVPN PPTP Server. Конфігурація така: LAN: 192.168.0.0/24PPP>PPP Server Binding:user1 (для прикладу)PPP>Secrets :Name: user1 Local adress: 192.168.200.1 Remote adress: 192.168.200.2 Додано маршрутизацію:IP>Routes:Dst.Adress: 192.168.1.0/24 Gateway: 192.168.200.2
Mikrotik Bc "Білим IP" встановлений у філії, використовується як шлюз для користувачів, на ньому ж налаштованийVPN PPTP Client. Конфігурація така: LAN: 192.168.1.0/24PPP>Interface>PPTP Client:user1 Додано маршрутизацію:IP> Routes:Dst.Adress: 192.168.0.0/24 Gateway: 192.168.200.1
Підключення встановлюється. Однак не проходить ping з мережі ..1.0 до мережі ..0.0, вірніше проходить тільки від Mikrotik A до Mikrotik B. навпаки - timeout. з локалки в локалку, так само timeout. Допоможіть розібратися, будь ласка.
Олександр Корюкін: Mikrotik B /ip firewall nat add action = masquerade chain = srcnat comment = Masquerade out-interface = pppoe-out1 add action = masquerade chain = srcnat src-address = 192.168 .0.0/24
На Mikrotik A потрібно:
Олександр Корюкін: add action = masquerade chain = srcnat comment = Masquerade out-interface = pppoe-out1
А ось це навіщо?
Це нат для виходу в інтернет, якщо я правильно зрозумів.
Тобто. Інші правила НАТ не потрібні?
Alex_Buzz: add action=jump chain=forward jump-target=tcp protocol=tcp add action=jumpchain = forward jump-target = udp protocol = udp add action = jump chain = forward jump-target = icmp protocol = icmp
Ви створюєте додаткові ланцюжки, але не ставить для них правила. навіщо?
Додав це правило, почали ходити пінги між маршрутизаторами, всередину мереж пінгу немає. Ланцюжки для фаєрвола з'явилися зі скрипту, який знайшов десь в інтернеті. Мені поки не вистачає знань для самостійного та осмисленого налаштування фаєрвола. Ці правила я вимкнув. дивно те, що я повністю відключав фаєрвол і пінги все одно не ходили.
Alex_Buzz: Гугл -> мануал по iptables + https://habrahabr.ru/post/188718/ QoS Вам поки що не потрібен, але в статті докладно розжовано як що куди і звідки ходить усередині мікротика.
А поки спробуйте тимчасово відключити add action=jump chain=forward jump-target=tcp protocol=tcp add action=jump chain=forward jump-target=udp protocol=udp add action=jump chain= forward jump-target=icmp protocol=icmp
А краще дайте посилання на скрипт. може він крім фільтра ще й у мангл лізе.
У манглі лише динамічно створені правила.
Зараз ні. Точніше є, але відключено. Зараз так: Mikrotik A: /ip firewall nat add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=ether1-WAN add action=masquerade chain=srcnat comment =wan src-address=192.168.0.0/24
Mikrotik B: /ip firewall nat add action=masquerade chain=srcnat comment=Masquerade disabled=yes \ out-interface=pppoe-out1 add action=masquerade chain=srcnat comment=wan src-address=192.168.2.0/24
alegzz: Можу звісно. Мені важливо не те, що б ви мені сказали як зробити, але й зрозуміти самому як це все працює і як коректно все це налаштовувати. Для початку, я вирішивналаштувати все на МТА - МТ В. Якщо ви наполягаєте, то ось:
Mikrotik A VPN PPTP Server.Конфігурація: LAN: 192.168.0.0/24PPP>Interface>PPTP Server Binding:user1 (для прикладу) PPP>Secrets: Name: user1 Local adress: 192.168.200.1 Remote adress: 192.168.200.2
b>PPP>Interface>PPTP Server Binding: user2 (для прикладу) PPP>Secrets: Name: user2 Local adress: 192.168.200.1 Remote adress: 192.168.2
Додана маршрутизація: Для Mikrotik BIP>Routes:Dst.Adress: 192.168.1.0/24 Gateway: 192.168.200.2
Для Mikrotik CIP≫Рути:Dst.Adress: 192.168.2.0/24 Gateway: 192.168.200.3
Mikrotik B VPN PPTP Client.Конфігурація така: LAN: 192.168.1.0/24 PPP>Interface>PPTP Client: user1 Додано маршрутизацію:IP>Routes:Dst.Adress: 192.168.0.0/24 Gateway: 192.168.200.1
Mikrotik C VPN PPTP Client.Конфігурація така: LAN: 192.168.2.0/24 PPP>Interface>PPTP Client: user2 Додано маршрутизацію:IP>Routes:Dst.Adress: 192.168.0.0/24 Gateway: 192.168.200.1
Конфігурація Firewall ідентична всім трьох пристроях, крім Mikrotik A, де дозволені PPTP.
в цілому, алгоритм такий: 1) дозволяємо на шлюзах форвардинг (або за замовчуванням дозволено, та/або до першої відповідної заборони має бути дозвільне правило). 2) прописуємо маршрутизацію на шлюзах. маскарадинг при цьому повинен бути відключений (інакше сенс у маршрутизації губиться)
якщо з 192.168.200.1 успішний пінг до 192.168.200.2 (відповідно і навпаки), то ви щось приховуєте, тк з наведеної вище схеми все ок