Проброс портов на PPTP- сервер

Обсуждение ПО и его настройки
gleb2201
Сообщения: 36
Зарегистрирован: 21 мар 2019, 13:07

Здравствуйте!
Помогите, пожалуйста, разобраться с маршрутизацией. (Схема сети и описание во вложении)
Имеется роутер с белым ip-адресом (tp-link), на нем настроен проброс порта до vpn-сервера (mikrotik). Объединяются два локальных офиса.
Компьютеры одного из офисов пингуют компьютеры другого офиса только если на pptp-сервере (mikrorik) включить Nat. Компьютеры другого офиса пингуют и без NAT.

Объясните, пожалуйста, как это всё происходит?
Изображение


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

В маршрутах на Микротиках шлюзами интерфейсы стоят или адреса ?
pref. sourse указаны везде ?
маску /30 вообще лучше выкинуть на фиг и заменить всё что с ней на маску /24

авось и заработает, т.к. по настройкам вроде как ошибок то и нет ...

Ответ "накалякан" :-)
Ждем в гости Гуру IT ... :-)

ps. Учитель ! Если Вы сюда забредёте (а это уж наверняка ...) проверьте личку нашей переписки, плиз ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
gleb2201
Сообщения: 36
Зарегистрирован: 21 мар 2019, 13:07

В маршрутах стояли адреса, поставил интерфейсы - ситуация не поменялась. Без NAT пингуется только из одной подсети (192.168.0.0/24).
А 30 маска там нигде не указана, только local address, remote address (192.168.87.1, 192.168.87.2). Вроде в pptp- сервере невозможно указать маску. Это я так, на схеме для наглядности указал что всего два адреса.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Схема красивая (кстати в чём рисовали?) но:

1) Не совсем понял такое (мож не так увидел), но сетка 192.168.0.0/24 описывается на Р1
как шлюзом 87.2, хотя этот адрес стоит на самом этом же Р1, зачем так?
Надо по идеи указывать шлюз удалённого роутера, то есть 87.1
1.1) При поднятии РРТР - Вы сделали Биндинг-интерфейса? И уже к этому биндингу
сделали маршрут? Иначе если Вы сделали маршрут к рртр подключению, который
при каждом подключении является новым(динамическим), то фактически Вы не
описали маршрут как бы.
(хотя у Вас и приведён пример трассировки и что мы дошли до 87.1, но дальше тишина,
отключаете НАТ и вперёд)

2) Отключите НАТ везде, и сделайте ещё раз тесты (надеюсь на компах файрволы убраны).

3) Смотрите утилитой ТОРЧ (на Р2) = что (вернее какой пакет приходит с компа 15.ххх и что у этого пакета
в качестве DST ?) И уже смотрите, Р2 видит значение DST (то есть может роутер сам для начала дойти до DST назначения?)

НИ раз мне тут приходилось и чуть ли не требовать:
ОТКЛЮЧАЙТЕ НАТЫ и изучайте логику прохода пакета....если не идёт, значит или не правильно
отсылаем, или не правильно получаем (не с того интерфейса/адреса).
Главное смотреть откуда вышел пакет и какой (с каким адресом он идёт).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
gleb2201
Сообщения: 36
Зарегистрирован: 21 мар 2019, 13:07

Рисовал в Dia. Спасибо большое за развернутый ответ! Буду разбираться.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

gleb2201 писал(а): 22 мар 2019, 11:18 Рисовал в Dia. Спасибо большое за развернутый ответ! Буду разбираться.
Напишите потом, а то есть ряд (особенно сильно начинающие),
которые не до конца ничего не доводят и молчат.
Просто интересно, получилось или нет.
Тем более подача материала у Вас хорошая и наглядная.

И ещё, между микротиками нельзя связь (временно) сделать
на другом уровне, скажем IPIP туннель?
Просто может взяв другой тип туннеля, у Вас заработает, значит
есть момент того, что в РРТР не так что-то до-настроили?

P.S.
Я понимаю что на роутерах Интернет есть, и он нужен, но лучше на 5-7 минут
отключить ВЕСЬ полный НАТ, чтобы проверить...заработала ли локальная
маршрутизация, бывает в этом проблема, мы уверены что всё отключили,
а на деле не всё так.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
gleb2201
Сообщения: 36
Зарегистрирован: 21 мар 2019, 13:07

Vlad-2 писал(а): 22 мар 2019, 11:25
gleb2201 писал(а): 22 мар 2019, 11:18 Рисовал в Dia. Спасибо большое за развернутый ответ! Буду разбираться.
Напишите потом, а то есть ряд (особенно сильно начинающие),
которые не до конца ничего не доводят и молчат.
Просто интересно, получилось или нет.
Тем более подача материала у Вас хорошая и наглядная.

И ещё, между микротиками нельзя связь (временно) сделать
на другом уровне, скажем IPIP туннель?
Просто может взяв другой тип туннеля, у Вас заработает, значит
есть момент того, что в РРТР не так что-то до-настроили?

P.S.
Я понимаю что на роутерах Интернет есть, и он нужен, но лучше на 5-7 минут
отключить ВЕСЬ полный НАТ, чтобы проверить...заработала ли локальная
маршрутизация, бывает в этом проблема, мы уверены что всё отключили,
а на деле не всё так.
Обязательно отвечу, но позже, убегаю на собеседование ) С микротиками только начал работать, уровень MTCNA, поэтому много чего недопонимаю, а на MTCRE чувствую рано идти. Про IPIP туннель не знаю, знаю только про PPP - туннели. Буду разбираться, спасибо.


gleb2201
Сообщения: 36
Зарегистрирован: 21 мар 2019, 13:07

Vlad-2 писал(а): 22 мар 2019, 08:08 Схема красивая (кстати в чём рисовали?) но:

1) Не совсем понял такое (мож не так увидел), но сетка 192.168.0.0/24 описывается на Р1
как шлюзом 87.2, хотя этот адрес стоит на самом этом же Р1, зачем так?
Надо по идеи указывать шлюз удалённого роутера, то есть 87.1
Там 87.1, на схеме ошибся, на роутере всё верно.


gleb2201
Сообщения: 36
Зарегистрирован: 21 мар 2019, 13:07

1.1) При поднятии РРТР - Вы сделали Биндинг-интерфейса? И уже к этому биндингу
сделали маршрут? Иначе если Вы сделали маршрут к рртр подключению, который
при каждом подключении является новым(динамическим), то фактически Вы не
описали маршрут как бы.

Подскажите, пожалуйста, как это сделать? Не делал. Добавляю интерфейс pptp-server binding, а дальше не понял что нужно.


gleb2201
Сообщения: 36
Зарегистрирован: 21 мар 2019, 13:07

gleb2201 писал(а): 22 мар 2019, 11:53 1.1) При поднятии РРТР - Вы сделали Биндинг-интерфейса? И уже к этому биндингу
сделали маршрут? Иначе если Вы сделали маршрут к рртр подключению, который
при каждом подключении является новым(динамическим), то фактически Вы не
описали маршрут как бы.

Подскажите, пожалуйста, как это сделать? Не делал. Добавляю интерфейс pptp-server binding, а дальше не понял что нужно.
Навешиваю на него IP адрес 192.168.87.1? он становится красным.


Ответить