PPTP через mikrotik

Обсуждение оборудования и его настройки
Ответить
zaz-user
Сообщения: 8
Зарегистрирован: 29 окт 2016, 11:49

Добрый день.
При включенных правилах firewall не поднимается PPTP на компе, подключенном к микротику. Выключаю правила - поднимается. При этом если при работающем PPTP снова включить правила - соединение не пропадает.

Код: Выделить всё

[admin@MikroTik] /ip firewall filter> export
# nov/15/2016 20:59:26 by RouterOS 6.37.1
# software id = C21G-5WSB
#
/ip firewall filter
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=br1-lan out-interface=RTK src-address=10.0.0.0/8
add action=accept chain=forward connection-state=established,related in-interface=RTK out-interface=br1-lan
add action=drop chain=output
add action=drop chain=forward
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80,8291,22,23 in-interface=br1-lan protocol=tcp src-address=\
    10.0.0.0/8
add action=drop chain=input in-interface=eth2-wan
add action=accept chain=input connection-mark=allow_in connection-state=new dst-port=80 in-interface=RTK protocol=tcp
add action=accept chain=input connection-state=new dst-port=53,123 protocol=udp src-address=10.0.0.0/8
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=br1-lan out-interface=RTK src-address=10.0.0.0/8
add action=accept chain=forward connection-state=established,related in-interface=RTK out-interface=br1-lan
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward

[admin@MikroTik] /ip firewall filter>

Последний раз редактировалось zaz-user 16 ноя 2016, 14:58, всего редактировалось 1 раз.


zaz-user
Сообщения: 8
Зарегистрирован: 29 окт 2016, 11:49

Не могу понять, где копать(


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Фаервол - он прежде всего понимания требует. А у вас какой-то копипаст-портянка из правил. Поверьте, следуя чужим правилам, вы ничего не закроете, кроме чего-либо вам же необходимого. Запасайтесь терпением и читайте, каким образом и в каком порядке отрабатывают правила в фильтрах. То, что у вас сейчас - ну полный маразм. Там даже советовать нечего кроме одного - удалите вы эту муру....


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
EdkiyGluk
Сообщения: 241
Зарегистрирован: 21 сен 2014, 08:34
Откуда: 34
Контактная информация:

Не будет человек разбираться в правилах фаервола, ему нужно настроить один раз и забыть, правильно я понял?
Поступайте паросто - включайте правила фаервола по одному... И смотрите какое правило вырубает PPTP... на вскидку скажу, что порта 1723 я не вижу в разрешённых, но вижу "дропать всё на вход". А при установленном подключении и включении фаервола не рвётся потому, что у Вас есть правило
add action=accept chain=input connection-state=established,related
оно и не даёт порваться соединению... А т.к. есть строчка add action=drop chain=input то........................ В общем разбирайтесь


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Печально всё то, что:
1) человек делает логику в корне не верно (ну зачем,имея роутер и весь его потенциал, поднимать сессию РРТР на компьютере)
2) опять же, зачем делать какие то файрволлы на роутере, если РРТР будет терминироваться на компе ? (считаю что сессия РРТР подаёт глобал)
3) ну и согласен с podarok66 - надо понимать что делать и знать...хотя бы начальную теорию..



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да вы присмотритесь, какая тут логика? Где?

Код: Выделить всё

/ip firewall filter
add action=accept ........................
...........................
add action=drop chain=output
add action=drop chain=forward
........................................
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=br1-lan out-interface=RTK src-address=10.0.0.0/8
add action=accept chain=forward connection-state=established,related in-interface=RTK out-interface=br1-lan
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward

Запретил, потом опять какие-то разрешения, потом опять запретил, что-то задвоено зачем-то... То есть абсолютно бездумный копипаст. А в этом случае не надо ничего в фильтрах кроме дропа 53 порта. Всё равно это чужие правила для чужого варианта настроек.
Я просто уверен на все 100%, что лучше вообще без правил, чем вот так. Поэтому предлагаю ТС - работайте с отключенными правилами и параллельно почитайте о работе фаервола в RouterOs. Там не настолько сложно в базовом варианте. Думаю, разберетесь.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
zaz-user
Сообщения: 8
Зарегистрирован: 29 окт 2016, 11:49

Всем спасибо за ответы. Виноват, поддался панике. С фаерволлом разобрался.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну и ладушки, рад за вас. Желаю вам дальнейшего продвижения по пути освоения RouterOs


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить