Не проходит RDP через PPTP в одну сторону.

Обсуждение ПО и его настройки
benzol45
Сообщения: 3
Зарегистрирован: 01 ноя 2013, 09:03

Добрый день гуру mikrotik'ов, помогите пожалуйста понять в чём я косячу.

Имеем две точки с доступом к интернету и 2 микротика на этих точках. Между роутерами поднят pptp-тонель и дописаны в роутеры маршруты для доступа к внутренним сетям за ними. Сеть за роутером 1 (сервер pptp) - 192.168.1.0/24, за вторым (клиент pptp) - 192.168.0.0/24. Все машины взаимно пингуются, доступ к web-серверам внутри обеих сетей есть с любого компьютера, сессии radminа на любой компьютер поднимаются успешно. Проблема с RDP сессиями - из сети за роутером 1 все клиенты успешно соединяются с RDP-серверами, стоящими за роутером 2 по локальным адресам, а вот в обратную сторону подключиться не удаётся. При попытке подключения из сети за pptp клиентом к RDP-серверу в сети за pptp-сервером примерно минуту пытается подключиться и выдаёт "Не удаётся подключиться к удалённому компьютеру". В фаерволе все правила отключены. Не понимаю как часть сервисов может проходить а часть нет - по идее если работает radmin на том же коме значит доступ к компьютеру есть. Если отключить pptp и подключаться к RDP через проброс порта - подключение отлично устанавливается.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Выкладывайте конфиг, чего годать то?


Есть интересная задача и бюджет? http://mikrotik.site
benzol45
Сообщения: 3
Зарегистрирован: 01 ноя 2013, 09:03

vqd писал(а):Выкладывайте конфиг, чего годать то?

Без проблем. подскажите только пожалуйста какие конфиги нужны, а то все конфы скринить с обоих роутеров боюсь очень много получится.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Export и ничего скринить не надо


Есть интересная задача и бюджет? http://mikrotik.site
benzol45
Сообщения: 3
Зарегистрирован: 01 ноя 2013, 09:03

ДИКО извиняюсь.
Нашёл ошибку. Моя невнимательность - в сети за клиентом в правиле для проброса порта не стоял входящий инетрфейс и роутер честно ВЕСЬ траффик по RDP заворачивал по этому правилу в том числе и исходящий из местной сети.
Спасибо за поддержку и извиняюсь за беспокойство


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Честно горя первое на что подумал т.к. пару раз сам по запарке утыкался в подобное :ti_pa:


Есть интересная задача и бюджет? http://mikrotik.site
CepeLLlka
Сообщения: 9
Зарегистрирован: 09 сен 2013, 14:20

Дабы не плодить новых тем..
Микротик - RB20011UAS
Настроил PPTP-server, подключился с работы..
Пинги идут.. больше ничего не работает.. ни расшаренные папки, ни RDP.. ничего..

Вот конфиг FireWall, я думаю проблема в нём.. потому что когда вырубаю все правила.. всё работает..
0 ;;; Allow ping
chain=input action=accept protocol=icmp

1 chain=forward action=accept protocol=icmp

2 ;;; Allow Remote Access
chain=input action=accept protocol=tcp dst-port=80

3 chain=input action=accept protocol=tcp dst-port=8291

4 chain=input action=accept protocol=tcp dst-port=21

5 chain=input action=accept protocol=tcp dst-port=22

6 ;;; PPTP_VPN
chain=input action=accept protocol=tcp dst-port=1723

7 chain=input action=accept protocol=gre

8 chain=output action=accept protocol=gre

9 ;;; Accept established connections
chain=input action=accept connection-state=established

10 chain=forward action=accept connection-state=established

11 ;;; Accept related connections
chain=input action=accept connection-state=related

12 chain=forward action=accept connection-state=related

13 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid

14 chain=forward action=drop connection-state=invalid

15 ;;; Allow UDP
chain=input action=accept protocol=udp

16 chain=forward action=accept protocol=udp

17 ;;; Acces to internet from local network
chain=forward action=accept src-address=192.168.88.0/24
in-interface=bridge_local

18 ;;; All other drop
chain=input action=drop

19 chain=forward action=drop


Протокол GRE Открыл.. по примеру что нагуглил в интернете.. всё равно не помогает..
С Микротиком знаком второй день.. подскажите пожалуйста..


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Я могу ошибаться, но в 6,7 и 8 правиле вы разрешили input, output - это разрешено роутеру общаться с клиентом, а для локальной сети за ним правил я не вижу, оно всё дропается.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
CepeLLlka
Сообщения: 9
Зарегистрирован: 09 сен 2013, 14:20

Ммм... я этого не сделал, по причине того, что как мне кажется, мы находимся в одной подсети..
Клиент получает IP из пула 192.168.88.100-192.168.88.150, А IP машины за роутером - 192.168.88.254
Если они в одной подсети.. то что я должен написать?

И кстати, разве то, что не указано источника(src-address) и (dst-address) не значит что пакеты будут ходить по этому протоколу (47) from any to any??
Или нужно поставить ещё правило для GRE - С цепочкой - Forward?

Заранее извиняюсь... Возможно я ошибаюсь и чего-то не знаю.. поясните пожалуйста, для всеобщего развития..


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну мне же не видно, что у Вас и в какой сети. Каков вопрос, таков ответ...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить