+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Quickset VPN — без доступа к локальной сети

Quickset VPN — без доступа к локальной сети, RouterOS

dazzaling69

Guest

22.02.2017 10:40:00

Я настроил VPN на странице Quickset в WebFig, и в целом всё работает хорошо. Я могу подключиться к шлюзу маршрутизатора/webfig и проксировать пакеты с WAN стороны через маршрутизатор к клиенту, но не могу получить доступ ни к чему в подсети шлюза. Уверен, что нужно просто поменять какую-то настройку, но не знаю какую именно. Единственное, что я изменил и что может быть важно — это стандартную подсеть на диапазон 10.x.y.z. Я установил локальный адрес 10.x.y.1 (шлюз) и удалённый — 10.x.y.200 (или dhcp, или vpn), но это никак не помогло. Есть идеи, что я мог сделать не так? Darren.

dazzaling69

Guest

10.03.2017 15:44:00

Спасибо, Janus. Это действительно помогает понять, что происходит. Вот мои результаты: если направить весь трафик через роутер, статический адрес с добавлением \server.local работает, а \server — нет (я понимаю, что так, скорее всего, и должно быть), но этот адрес Windows разрешается в сети. Диапазон 10.160.100.x доступен. Если не направлять весь трафик через роутер и следовать твоим советам по настройке Windows, я всё равно не могу подключиться ни к чему — ни по ping, ни каким-либо другим способом, кроме webfig в браузере. Вот это я никак не могу понять. Не думаю, что проблема в Windows. Всё это отлично (и автоматически) работает на моём Cisco RV180 без какой-либо особой настройки в Windows или на самом Cisco, так что, наверное, дело в моём Mikrotik. Я немного застрял. У тебя есть ещё идеи? Darren.

janus20

Guest

10.03.2017 16:15:00

Привет, что ты имеешь в виду? Если я пустил весь трафик через роутер:

a. не вижу никакого “local-arp” на заданном bridge1
/interface bridge
add arp=proxy-arp name=bridge1
всё равно пинг не проходит?

b. попробуй назначить IP 192.168.89.1 не на ether2-master, а на bridge1

Из твоей конфигурации:
/ip address
add address=10.160.100.1/24 comment=defconf interface=ether2-master network=10.160.100.0
add address=192.168.89.1/24 interface=ether2-master network=192.168.89.0

Должно быть так:
/ip address
add address=10.160.100.1/24 comment=defconf interface=ether2-master network=10.160.100.0
add address=192.168.89.1/24 interface=bridge1 network=192.168.89.0

P.S. Можешь попробовать с отключённым fasttrack (в моём тесте на rb750gr3 fasttrack был отключён, забыл упомянуть об этом, пока не посмотрел твою конфигурацию).

Отключи следующие правила в ip firewall filter:
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related

Есть ли разница?
Надеюсь, поможет.
С уважением,

dazzaling69

Guest

13.03.2017 12:13:00

Хмм, это тоже не работает. Я застрял на этом моменте. Пробовал твои советы, но поведение никак не изменилось. Вот текущая конфигурация:

/interface bridge add arp=proxy-arp name=bridge1
/interface ethernet set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery set ether1 discover=no
/ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal set [ find default=yes ] pfs-group=none
/ip pool add name=dhcp ranges=10.160.100.2-10.160.100.120
add name=vpn ranges=192.168.89.2-192.168.89.254
/ip dhcp-server add address-pool=dhcp disabled=no interface=ether1 name=defconf
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/ppp profile set *0 local-address=192.168.89.1 only-one=no remote-address=vpn use-encryption=yes
add bridge=bridge1 change-tcp-mss=yes comment=“Standard VPN Connection” dns-server=10.160.100.1 local-address=10.160.100.1 name=“Default VPN” only-one=no remote-address=vpn use-encryption=required use-upnp=yes
set *FFFFFFFE bridge=bridge1 dns-server=10.160.100.1 local-address=192.168.89.1 remote-address=vpn
/interface bridge port add bridge=bridge1 interface=ether2-master
/interface l2tp-server server set allow-fast-path=yes authentication=mschap2 default-profile=“Default VPN” enabled=yes use-ipsec=yes
/interface pptp-server server set enabled=yes
/ip address add address=10.160.100.1/24 comment=defconf interface=ether2-master network=10.160.100.0
add address=192.168.89.1/24 interface=bridge1 network=192.168.89.0
/ip cloud set ddns-enabled=yes
/ip dhcp-client add comment=defconf dhcp-options=Virgin,Mikrotik disabled=no interface=ether1
/ip dhcp-server lease add address=10.160.100.163 client-id=Gigaset mac-address=7C:2F:80:A8:90:F9 server=defconf
add address=10.160.100.2 client-id=1:9C:B6:54:04:54:47 comment=Zappa mac-address=9C:B6:54:04:54:47
add address=10.160.100.140 client-id=D-Link mac-address=6C:19:8F:CC:40:1C
add address=10.160.100.118 client-id=1:b8:27:eb:74:36:41 mac-address=B8:27:EB:74:36:41 server=defconf
/ip dhcp-server network add address=10.160.100.0/24 comment=defconf gateway=10.160.100.1 netmask=24
add address=192.168.89.0/24 gateway=192.168.89.1 netmask=24
/ip dns set allow-remote-requests=yes cache-size=8192KiB
/ip dns static add address=10.160.100.1 name=router
add address=10.160.100.2 name=Zappa.local
/ip firewall filter add action=accept chain=input comment=“defconf: accept ICMP” protocol=icmp
add action=accept chain=input comment=“defconf: accept established,related” connection-state=established,related
add action=accept chain=input comment=“allow l2tp” dst-port=1701 protocol=udp
add action=accept chain=input comment=“allow pptp” disabled=yes dst-port=1723 protocol=tcp
add action=accept chain=input comment=“allow sstp” dst-port=443 protocol=tcp
add action=accept chain=input comment=“Allow ipsec” port=1701,500,4500 protocol=udp
add action=accept chain=input comment=“Allow Homserver Dynamic DNS” dst-port=80,443,4125 protocol=tcp
add action=accept chain=input comment=“Accept ping from VPN” in-interface=all-ppp log=yes log-prefix=VPN-Ping protocol=icmp
add action=accept chain=forward comment=“defconf: accept established,related” connection-state=established,related disabled=yes
add action=fasttrack-connection chain=forward comment=“defconf: fasttrack” connection-state=established,related disabled=yes
add action=drop chain=input comment=“Prevent DNS request from WAN” dst-port=53 in-interface=ether1 protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=forward comment=“defconf: drop all from WAN not DSTNATed” connection-nat-state=!dstnat connection-state=new in-interface=ether1
add action=drop chain=input comment=“defconf: drop all from WAN” in-interface=ether1
add action=drop chain=forward comment=“defconf: drop invalid” connection-state=invalid
/ip firewall nat add action=masquerade chain=srcnat comment=“defconf: masquerade” out-interface=ether1
add action=dst-nat chain=dstnat comment=Homeserver dst-port=443,80,4125 in-interface=ether1 protocol=tcp to-addresses=10.160.100.2 to-ports=443
add action=dst-nat chain=dstnat disabled=yes dst-port=80 in-interface=ether1 protocol=tcp to-addresses=10.160.100.2 to-ports=80
add action=dst-nat chain=dstnat dst-port=3389 in-interface=ether1 protocol=tcp to-addresses=10.160.100.2
add action=dst-nat chain=dstnat comment=“Plex Server” dst-port=32400 protocol=tcp to-addresses=10.160.100.2 to-ports=32400
add action=dst-nat chain=dstnat disabled=yes dst-port=32400 in-interface=ether1 protocol=udp to-addresses=10.160.100.2 to-ports=32400
add action=dst-nat chain=dstnat comment=VOIP dst-port=5060,5065 in-interface=ether1 protocol=udp to-addresses=10.160.100.163 to-ports=5060
add action=dst-nat chain=dstnat dst-port=3389 in-interface=ether1 protocol=udp to-addresses=10.160.100.2 to-ports=3389
add action=dst-nat chain=dstnat disabled=yes dst-port=4125 in-interface=ether1 protocol=tcp to-addresses=10.160.100.2 to-ports=4125
add action=masquerade chain=srcnat comment=“masq. vpn traffic” disabled=yes src-address=192.168.89.0/24
/ip service set www-ssl disabled=no
/ip upnp set allow-disable-external-interface=yes enabled=yes
/ppp secret add name=vpn profile=“Default VPN”
/system clock set time-zone-name=Europe/London
/system routerboard settings Warning: memory not running at default frequency set memory-frequency=1200DDR
/tool mac-server set [ find default=yes ] disabled=yes add interface=ether2-master
/tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master

janus20

Guest

13.03.2017 13:04:00

Привет, что ты имеешь в виду? Честно говоря, не понимаю, почему у тебя это не работает; сегодня вечером посмотрю твою конфигурацию и сравню с моей. А пока у меня есть ещё одна быстрая идея: что если взять пул VPN из того же класса сети LAN? Измени пул VPN так, как в /ip pool:
add name=dhcp ranges=10.160.100.2-10.160.100.120
add name=vpn ranges=192.168.89.2-192.168.89.254
add name=vpn ranges=10.160.100.200-10.160.100.230
Ещё нужно поправить профиль ppp — сменить local ip с 192.168.89.1 на 10.160.100.1. Станет ли что-то иначе?
С уважением,

dazzaling69 Guest	#6 0 14.03.2017 13:53:00 Вот и всё. Профиль ppp уже был настроен на локальный IP 10.160.100.1, так что, видимо, в этом и была проблема. \server не разрешается, но я могу жить с IP-адресом. Большое спасибо за всю вашу помощь.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры