l2tp/ipsec vpn server на mikrotik

[tmz]

Добрый день.
Не могу разобраться как настроить vpn server на RB750Gr3 6.39.1
Используется USB Modem 4G (динамический ip add), internet ip add 192.168.8.100, local network 192.168.88.1/24, dhcp 192.168.88.10-192.168.88.254
Подключаться буду с машины Win10х64

[Dragon_Knight]

Ничего непонятно... Кто подключатся?, откуда?, куда? 192.168.8.100 явно не внешний IP адрес и к нему подключится нельзя...

[tmz]

в микротик вставлен USB Modem Huawei E8372 (оператор МТС МСК)

модем 192.168.8.1
IP-адрес WAN: 10.167.133.192

root@MikroTik] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERF
0 ;;; defconf
192.168.88.1/24 192.168.88.0 ether2
1 D 192.168.8.100/24 192.168.8.0 lte1

Задача попасть в локалку за микротик из сети проводного провайдера (белый ip)

[Vlad-2]

модем 192.168.8.1
IP-адрес WAN: 10.167.133.192

Ну опять 25:
адрес на WAN какой? Серый же!?
Значит на Ваш роутер никак не попасть из вне!

Задача попасть в локалку за микротик из сети проводного провайдера (белый ip)

Если я правильно понял эту фразу, (прочитал раза 2), то надо попасть в локальную серую
сеть, за микротиком, которая работает через 3G оператора (в данном случаи через МТС)
при этом находясь на хорошем проводном канале с белым айпи?

Если всё так, то Вам надо из той сети (серой) инициировать подключение(создания канала/туннеля/сессии)
до роутера/компьютера в хорошей сети (где белый айпи) и уже создав оттуда до Вас канал,
Вы можете потом в оба направления использовать свои сети.

[tmz]

Да, все верно wan серый (ошибся)
а никак нельзя выкрутится с фичей mikrotik cloud?

[Vlad-2]

Да, все верно wan серый (ошибся)
а никак нельзя выкрутится с фичей mikrotik cloud?

Мне кажется Вы путаете разные сущности.

1) Cloud лишь позволяет выкручиваться когда у Вас динамический адрес,
и создавая имя, Вы точно будете знать какой адрес у Вашего роутера.
А сейчас даже если Вы включите Cloud - он Вам сообщит, типа ой,
а Вы за НАТом....
2) даже если Cloud и покажет адрес реальный или Вы его узнаете,
зайдя на 2ip.ru - смысла опять же нету, чтобы ВПН-сервер работал,
надо иметь реальный адрес на той железке, которая ВПН-услугу и предоставляет,
то есть Вы иметь должны адрес куда кто-то и должен подключаться.
А сейчас адрес находиться у провайдера, я буду при использовании ВПН
подключаться на железку провайдера...естественно толку будет мало.

Я Вам дал решение задачи, Вы из серой сети создаёте подключение на белый IP,
и уже в рамках созданного подключения(этому подключению можно дать IP-адресацию)
и можно работать.
Да, процесс реализации не прост, ну или покупайте (если вообще даёт провайдер) реальный адрес.

[tmz]

На домашнем ПК Win10 с белым ip поднял vpn server.
На микротике создал pptp client и правило NAT chain=srcnat out.int=pptp-out1 action=masquerade
Микротик установил связь (status interface pptp-out1 local add 192.168.89.1, remote add 192.168.1.100)
Далее на ПК добавил следующий маршрут route add 192.168.88.0 mask 255.255.255.0 192.168.1.101
С домашнего ПК получил управление микротиком, но локалка за ним не пингуется.
Верно ли все сделано? и как получить доступ к сети за микротиком?

[KARaS'b]

Вы маскарадите сеть за микротиком, таким образом доступ вы не получите никак (если только пробросами портов), вообще непонятно, для чего вы это делаете.

[tmz]

Конечная цель получить доступ с домашнего ПК (белый ip) по RDP к машинам, находящемся в локальной сети за микротиком, который является для них dhcp server'ом
шлюзом для микротика выступает usb modem с sim (серый ip)

[Vlad-2]

Уберите маскарадинг, то есть не надо одну сеть прятать за другой.

Наоборот, "подружите" их, то есть опишите, где Вашей домашней сети искать
офисную сеть (то есть идти через ВПН), и в офисе наоборот, опишите, где
искать Вашу домашнюю сеть. То есть сделайте обычную статическую простую
маршрутизацию двух IP-сетей.
И будет всё работать...хорошо и прозрачно.