+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

PPTP-соединения не могут получить доступ к локальной подсети.

PPTP-соединения не могут получить доступ к локальной подсети., RouterOS

isaac509

Guest

08.05.2007 19:19:00

Привет! Я последовал инструкциям PPTP, опубликованным на Wiki, и успешно подключился с клиента WinXP к Mikrotik. Могу маршрутизировать трафик в Интернет и успешно пинговать локальный адрес Mikrotik (192.168.111.1). Однако, не могу получить доступ ни к одному из остальных адресов в подсети 192.168.111.0/24. Некоторые советы на этом форуме касались proxy-arp, и я думаю, что он у меня включен:

Flags: X - disabled, R - running
NAME MTU MAC-ADDRESS ARP
0 R WAN 1500 00:40:F4:B8:45:43 enabled
1 R ether2 1500 00:40:F4:B8:45:42 enabled
2 R LAN 1500 00:40:F4:B8:45:41 enabled

[admin@MikroTik] interface ethernet> /interface bridge
[admin@MikroTik] interface bridge> print
Flags: X - disabled, R - running
0 R name="lan" mtu=1500 arp=proxy-arp mac-address=00:40:F4:B8:45:43 stp=no priority=32768 ageing-time=5m forward-delay=15s garbage-collection-interval=4s hello-time=2s max-message-age=20s
[admin@MikroTik] interface bridge> (ether2 is not connected to anything)

Виндовс XP, кажется, знает правильный маршрут:
C:\Documents and Settings\isaac>tracert 192.168.111.1
Tracing route to 192.168.111.1 over a maximum of 30 hops
1 13 ms 13 ms 13 ms 192.168.111.1
Trace complete.

C:\Documents and Settings\isaac>tracert 192.168.111.125
Tracing route to 192.168.111.125 over a maximum of 30 hops
1 15 ms 14 ms 13 ms 192.168.111.1
2 * * * Request timed out.
3 *

Боюсь, что столкнулся с проблемой с именами интерфейсов или упустил что-то очевидное. Я тройно перепроверил конфигурацию, как указано в Wiki, и не думаю, что у меня есть опечатки. Буду благодарен за любые советы, спасибо!
Isaac

usrox

Guest

09.05.2007 05:26:00

У меня похожие проблемы, и я использую NAT для доступа к локальной сети. Цепочка NAT-VPN-to-local: chain=srcnat out-interface=eth-local src-address=10.xx.xx.82-10.xx.xx.85 action=src-nat to-addresses=10.xx.xx.80 to-ports=0-65535.

Цепочка NAT-VPN-to-Public: chain=srcnat out-interface=eth-gateway src-address=10.xx.xx.82-10.xx.xx.85 action=src-nat to-addresses=[public-ip] to-ports=0-65535 (10.xx.xx.82-10.xx.xx.85 → ip клиента VPN).

winxp2000

Guest

09.05.2007 07:23:00

Окей, usrox: Как ты знаешь, ты поднимаешь PPTP-соединение к сети. Но я не знаю, какой IP-адрес тебе выдал MT. Ты можешь запустить команду в командной строке WinXP так: c:\ipconfig/all, возможно, ты там найдёшь IP-адрес и подсеть, например, 192.168.111.X 255.255.255.255. Окей, проблема вот в чем. Решение просто поменять IP-адрес VPN-клиента на другой сегмент сети, например, 192.168.112.X. И создать новое правило NAT для него.

usrox Guest	#4 0 09.05.2007 10:50:00 Мой VPN IP-клиент (IP-пул) находится в том же сегменте, что и моя локальная сеть 10.xx.xx.82-10.xx.xx.85. Я просто добавил 2 правила NAT, как в моей предыдущей записи, и все работает отлично.

isaac509

Guest

10.05.2007 19:26:00

USRox, я очень обрадовался твоему ответу, но это не сработало. Вот моя конфигурация: [admin@MikroTik] ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat out-interface=WAN action=masquerade 1 chain=srcnat out-interface=LAN src-address=192.168.111.150-191.168.111.199 action=src-nat to-addresses=192.168.111.1-192.168.111.254 to-ports=0-65535 2 chain=srcnat out-interface=WAN src-address=192.168.111.150-192.168.111.199 action=src-nat to-addresses=64.142.70.192 to-ports=0-65535 .. где 192.168.111.150-199 — мой диапазон PPTP, а 64.142.70.192 — мой WAN IP. Что-то упустил? Спасибо, Isaac.

usrox Guest	#6 0 11.05.2007 04:26:00 Попробуй изменить адреса назначения на 192.168.111.1-192.168.111.254 на что-то вроде to-addresses=192.168.111.1 ← локальный IP на твоем локальном интерфейсе.

isaac509

Guest

12.05.2007 01:32:00

Ну что, я попробовал изменить правило, как советовал USRox, но ничего не получалось. Когда USRox сказал 'локальный IP на локальном интерфейсе', я не понял, что он имел в виду 'неиспользованный IP, который не входит в твой PPTP-пул'. Один парень из нашей NOC объяснил мне: PPTP может быть сложным, потому что даже если твой PPTP-пул находится в локальной LAN-подсети, у него нет Layer 2-соединения с этой подсетью. Поэтому ARP-запросы к 'локальным' адресам никуда не отправляются, хотя может показаться, что они должны идти, учитывая, что все находятся в одной подсети. Есть два способа обойти это - либо ты можешь NAT-ить VPN-трафик через неиспользованный локальный адрес, чтобы установить мост Layer3->Layer 2, либо можно включить proxy-ARP на интерфейсах LAN и WAN. Я попробовал proxy-ARP и все заработало, даже без правил NAT. Заметил, что одна из записей FAQ, наткнувшись на которую я в самом начале, как бы намекала на это, но сам форумный пост был 404, поэтому я свернул в другую сторону. Надеюсь, это объяснение имеет смысл и не является фактической ошибкой. Моя следующая задача – установить работающие IPSec-туннели к нескольким роутерам Netgear FVS318 в других местах сети. У меня сессии подключены, но трафик не проходит. Спасибо всем, кто рассмотрел это, особенно USRox за то, что пытался показать мне ответ. Я действительно доволен Mikrotik, он гибкий, довольно легко конфигурируется, и как только я решу эту проблему с IPSec, я смогу списать на покой Pix 501 и Netgear FVS318! С уважением, Isaac

isaac509 Guest	#8 0 12.05.2007 01:49:00 "winxp2000" тоже был прав. Мне кажется, если бы мы изменили пул PPTP на другую логическую подсеть, отличную от локальной, это, вероятно, установило бы тот же мост layer3->layer2, но я не собираюсь это проверять, потому что сейчас всё работает нормально. Спасибо, Исаак.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры