VPN to Windows Server 2012 R2 RRAS

Обсуждение ПО и его настройки
Ответить
awstest
Сообщения: 6
Зарегистрирован: 03 май 2019, 16:19

Приветствую!

У меня проблема и я не могу решить ее самостоятельно.
Я установил роль маршрутизации и удаленного доступа на Windows Server 2012 R2.
Маршрутизатор имеет 192.168.20.1, а сервер Windows Server 2012 R2 имеет 192.168.20.2 IP.
Я попытался сделать VPN двух типов: PPTP и Lt2P и открыл следующие правила в моем брандмауэре:

1. Filter Rules:

Изображение

2. NAT
Изображение

В обоих случаях ничего не работает, хотя по некоторым правилам полученные пакеты.
Если я подключаюсь напрямую к серверу (192.168.20.2), он работает, поэтому проблема в настройке микротика, что в моих настройках не так?

Спасибо заранее за вашу помощь.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

правила input для VPN сервера, поднятого на микротике.

Если у вас VPN сервер за микротиком - нужны правила форвард в фильтрах и src-nat в нате.

Плюс судя по портам, у вас там IPSEC присутствует. И он приземлен на микротик, а не на вин сервер.

Вообще есть такие правила
viewforum.php?f=15
они красными буквами написаны.

По приведенным картинкам мало что понятно.


awstest
Сообщения: 6
Зарегистрирован: 03 май 2019, 16:19

Erik_U писал(а): 06 май 2019, 13:20 правила input для VPN сервера, поднятого на микротике.

Если у вас VPN сервер за микротиком - нужны правила форвард в фильтрах и src-nat в нате.

Спасибо за быстрый ответ. Можно, пожалуйста, поподробнее? как быть с правилами в отдельных случаях c L2TP и PPTP?


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

в этой теме рассказывали про проброс портов сквозь микротик на PPTP сервер. В теме роль сервера играет микротик, у вас - виндовс. Прочитайте, проброс одинаково устроен.

viewtopic.php?f=1&t=10141


awstest
Сообщения: 6
Зарегистрирован: 03 май 2019, 16:19

Erik_U писал(а): 06 май 2019, 13:53 в этой теме рассказывали про проброс портов сквозь микротик на PPTP сервер. В теме роль сервера играет микротик, у вас - виндовс. Прочитайте, проброс одинаково устроен.

viewtopic.php?f=1&t=10141

К сожалению, не вижу решение по моему случаю. Вот принт моих правил, возможно будет так легче найти в чем ошибка:

add action=passthrough chain=forward comment=PPPT dst-address=192.168.20.2 \
dst-port=1723 protocol=tcp src-port=1723
add action=passthrough chain=forward dst-address=192.168.20.2 protocol=gre
add action=passthrough chain=forward comment=L2TP dst-address=192.168.20.2 \
in-interface=ether1 port=1701,500,4500 protocol=udp
add action=passthrough chain=forward dst-address=192.168.20.2 in-interface=\
ether1 protocol=ipsec-esp
add action=accept chain=input in-interface=ether1 protocol=ipsec-esp
add action=accept chain=input dst-port=1701,500,4500 in-interface=ether1 \
protocol=udp


/ip firewall nat
add action=masquerade chain=srcnat
add action=passthrough chain=dstnat comment=PPTP protocol=gre
add action=netmap chain=dstnat dst-port=1723 protocol=tcp to-addresses=\
192.168.20.2 to-ports=1723
add action=dst-nat chain=dstnat disabled=yes dst-port=1723 protocol=tcp \
to-addresses=192.168.20.2 to-ports=1723
add action=passthrough chain=dstnat comment=L2TP protocol=ipsec-esp
add action=dst-nat chain=dstnat dst-port=1701 protocol=udp to-addresses=\
192.168.20.2 to-ports=1701
add action=dst-nat chain=dstnat dst-port=500 protocol=udp to-addresses=\
192.168.20.2 to-ports=500
add action=dst-nat chain=dstnat dst-port=4500 protocol=udp to-addresses=\
192.168.20.2 to-ports=4500
add action=dst-nat chain=dstnat dst-address=My publicIP port=1701,500,4500 \
protocol=tcp to-addresses=192.168.20.2 to-ports=1701


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

awstest писал(а): 06 май 2019, 14:17
add action=passthrough chain=forward comment=PPPT dst-address=192.168.20.2 \
dst-port=1723 protocol=tcp src-port=1723
add action=passthrough chain=forward dst-address=192.168.20.2 protocol=gre
add action=passthrough chain=forward comment=L2TP dst-address=192.168.20.2 \
in-interface=ether1 port=1701,500,4500 protocol=udp
add action=passthrough chain=forward dst-address=192.168.20.2 in-interface=\
ether1 protocol=ipsec-esp
add action=accept chain=input in-interface=ether1 protocol=ipsec-esp
add action=accept chain=input dst-port=1701,500,4500 in-interface=ether1 \
protocol=udp



/ip firewall nat
add action=masquerade chain=srcnat
add action=passthrough chain=dstnat comment=PPTP protocol=gre
add action=netmap chain=dstnat dst-port=1723 protocol=tcp to-addresses=\
192.168.20.2 to-ports=1723

add action=dst-nat chain=dstnat disabled=yes dst-port=1723 protocol=tcp \
to-addresses=192.168.20.2 to-ports=1723

add action=passthrough chain=dstnat comment=L2TP protocol=ipsec-esp
add action=dst-nat chain=dstnat dst-port=1701 protocol=udp to-addresses=\
192.168.20.2 to-ports=1701
add action=dst-nat chain=dstnat dst-port=500 protocol=udp to-addresses=\
192.168.20.2 to-ports=500
add action=dst-nat chain=dstnat dst-port=4500 protocol=udp to-addresses=\
192.168.20.2 to-ports=4500
add action=dst-nat chain=dstnat dst-address=My publicIP port=1701,500,4500 \
protocol=tcp to-addresses=192.168.20.2 to-ports=1701
Объясните выделенное красным.

Вообще есть такие правила
viewforum.php?f=15
они красными буквами написаны.

По вашему "принту" не очень понятно, что вы настраиваете.


awstest
Сообщения: 6
Зарегистрирован: 03 май 2019, 16:19

Если хочешь сделать что-то хорошо, сделай это сам. Erik_U, Не понимаю, зачем отвечать, если даже не понял смысл вопроса.
Решение для тех, кому в будущем поможет: поменяте "passthrough" на "accept" в Filter rules и "passthrough" на "dstnat" в NAT. И будет счастье!


Ответить