+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Site-To-Site VPN. Хосты могут пинговать друг друга, но не могут получить доступ к общим файлам.

Site-To-Site VPN. Хосты могут пинговать друг друга, но не могут получить доступ к общим файлам., RouterOS

Tombstone

Guest

25.12.2016 11:50:00

Привет! Как я уже говорил, у меня есть VPN типа Site-to-Site между двумя роутерами Mikrotik. Я могу успешно пинговать любые клиенты/устройства в сети с обеих локаций, но не могу получить доступ к общим файлам. Нужно ли мне пробросить какой-то порт или есть другие идеи? Спасибо!

giga157

Guest

13.01.2017 20:38:00

Всем привет, у меня похожая проблема. У меня есть site-to-site VPN, и он работает нормально, но я не могу пропинговать роутер и компьютеры в сети. У меня уже есть правило NAT, но проблема не исчезла.
Компания: 192.168.100.0/24
Филиал: 192.168.0.0/24

Эти правила стоят в начале:
Роутер компании: add chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.100.0/24
Роутер филиала: add chain=srcnat dst-address=192.168.100.0/24 src-address=192.168.0.0/24

Есть идеи?

bennn Guest	#3 0 14.01.2017 14:17:00 Вы уже настроили маршруты в разделе IP > Routes?

giga157

Guest

14.01.2017 14:58:00

Единственные маршруты, которые у меня есть — для ссылок. Как это должно быть сделано? Компания: 192.168.0.0/24 (LAN филиала), шлюз: VPN-ссылка? Филиал: 192.168.100.0/24 (LAN компании), шлюз: VPN-ссылка? Нужно ли мне отмечать маршрут через IP > Firewall > Mangle? Спасибо.

bennn Guest	#5 0 15.01.2017 14:23:00 Можешь выложить экспорт твоих маршрутов? Ничего менять не нужно. На каждом роутере должно быть как минимум три маршрута: LAN, WAN и VPN. Выложи свою конфигурацию — я гляну.

giga157

Guest

15.01.2017 18:26:00

Хорошо, взгляните. Компания: /ip address
add address=192.168.100.1/24 interface=LOCAL network=192.168.100.0

/ip firewall filter
add chain=forward out-interface=LOCAL
add chain=forward dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add chain=input comment=RDP dst-port=xxxx protocol=tcp
add chain=input dst-port=1723 protocol=tcp
add chain=input dst-port=1701 protocol=tcp
add chain=input dst-port=500 protocol=udp
add chain=input protocol=ipsec-ah
add chain=input protocol=ipsec-esp

/ip firewall nat
add chain=srcnat comment="VPN IPSEC NAT" dst-address=192.168.10.0/24 src-address=192.168.100.0/24
add chain=srcnat dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add action=masquerade chain=srcnat out-interface=Imicro
add action=masquerade chain=srcnat out-interface=Velox
add action=dst-nat chain=dstnat comment=RDP dst-port=xxxxx protocol=tcp to-addresses=192.168.100.xxxx to-ports=xxxx
add action=dst-nat chain=dstnat comment=WINBOX dst-address=xxx.xxx.xxx.xxxx dst-port=xxxx protocol=tcp to-addresses=192.168.100.1 to-ports=xxxx
add action=dst-nat chain=dstnat comment="VPN PORTAS" dst-port=1723 protocol=tcp to-addresses=192.168.0.1 to-ports=1723
add action=dst-nat chain=dstnat dst-port=47 protocol=tcp to-addresses=192.168.0.1 to-ports=47
add action=dst-nat chain=dstnat dst-port=1723 protocol=tcp to-addresses=10.0.0.1 to-ports=1723
add action=dst-nat chain=dstnat dst-port=500 protocol=udp to-addresses=192.168.100.0/24 to-ports=500
add action=dst-nat chain=dstnat dst-port=1701 protocol=udp to-ports=1701
add action=dst-nat chain=dstnat dst-port=4500 protocol=udp to-ports=4500
add action=dst-nat chain=dstnat comment=SRV dst-port=xxxx protocol=tcp to-addresses=192.168.100.xxxx to-ports=xxx

/ip route
add distance=1 gateway=Imicro routing-mark=link1_route
add distance=1 gateway=Velox routing-mark=link2_route
add distance=1 gateway=Imicro
add distance=1 gateway=ISP1
add distance=1 gateway=192.168.100.1
add distance=2 gateway=Velox

Branch:
add address=192.168.0.1/24 interface=LOCAL network=192.168.0.0

/ip dhcp-server network
add address=192.168.0.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1

/ip firewall filter
add chain=forward out-interface=LOCAL
add chain=forward dst-address=192.168.100.0/24 src-address=192.168.0.0/24

/ip firewall nat
add chain=srcnat comment=VPN dst-address=192.168.100.0/24 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=Imicro
add action=dst-nat chain=dstnat comment=WINBOX dst-address=xxx.xxx.xxx.xxx dst-port=xxxx protocol=tcp to-addresses=192.168.0.1 to-ports=xxxx
add action=dst-nat chain=dstnat dst-port=500 protocol=tcp to-addresses=192.168.0.0/24 to-ports=500
add action=dst-nat chain=dstnat dst-port=1701 protocol=tcp to-addresses=192.168.0.0/24 to-ports=1701
add action=dst-nat chain=dstnat dst-port=4500 protocol=tcp to-addresses=192.168.0.0/24 to-ports=4500

/ip route
add distance=1 gateway=Imicro

bennn

Guest

15.01.2017 19:18:00

Хорошо, вижу, что у тебя нет маршрутов, поэтому трафик не знает, как добраться до другой сети. Добавь их и посмотри, что получится.
Компания:
/ip route
add comment=VPN distance=1 dst-address=192.168.0.0/24 gateway=192.168.0.1

Филиал:
/ip route
add comment=VPN distance=1 dst-address=192.168.100.0/24 gateway=192.168.100.1

giga157

Guest

15.01.2017 21:01:00

Все сработало отлично, друг, большое спасибо. Я продолжу быть активным на форуме в поисках знаний. Теперь я могу подключаться через сервер, но через терминал в rb получаю ответ с тайм-аутом пинга, так и должно быть?

bennn

Guest

15.01.2017 21:11:00

Полезно указывать «исходный адрес» при пинге, чтобы Mikrotik понимал, какой маршрут использовать. Я бы помог с командой, но сейчас не за компьютером, извините! Например, если пинговать с Company на Branch, то указывайте в качестве исходного адреса локальный Mikrotik: 192.168.100.1.

giga157 Guest	#10 0 15.01.2017 22:07:00 Понимаю, ты и так мне уже здорово помог. Теперь у меня за тобой холодное пиво здесь, в Бразилии. Всего самого лучшего!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры