VPN, ресурсы за роутером

Обсуждение ПО и его настройки
yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

Здравствуйте.
Подскажите пожалуйста. Router OS свежая версия, белый ip. Подключаюсь к роутеру по vpn. Соединение проходит. По ip из ЛВС роутер открывается, но сервисы за роутером не доступны.
Как можно открыть доступ к ресурсам сети, такой же как внутри ЛВС, через vpn.

благодарю


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Перечитал 5 раз, ничего не понял.

1. Вы подключитесь к VPN из локальной сети микротика или с реального внешнего интернета???
2. К сервисам как обращаетесь? По имени или по IP.
3. Что пингуется с компьютера клиента VPN? Удаленный микротик, элементы локальной сети за микротиком???
4. Пробовали ли интерфейсе микротика, который смотрит в сторону локальной сети параметр ARP ставить в arp-proxy???
5. Что у вас с IP адресацией локальной сети и клиентов VPN, какая она???


Вопросом намного больше,чем ответов.


yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

gmx писал(а):Перечитал 5 раз, ничего не понял.

1. Вы подключитесь к VPN из локальной сети микротика или с реального внешнего интернета???
2. К сервисам как обращаетесь? По имени или по IP.
3. Что пингуется с компьютера клиента VPN? Удаленный микротик, элементы локальной сети за микротиком???
4. Пробовали ли интерфейсе микротика, который смотрит в сторону локальной сети параметр ARP ставить в arp-proxy???
5. Что у вас с IP адресацией локальной сети и клиентов VPN, какая она???


Вопросом намного больше,чем ответов.

1. подключение с реального внешнего интернета
2. по ip
3. только микротик, что за ним не пингуется
4. proxy-arp стоит
5. адресация ЛВС и VPN статика, подсети не пересекаются.

Код: Выделить всё

Настройка протокола IP для Windows


Адаптер беспроводной локальной сети Подключение по локальной сети* 11:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Адаптер PPP m12:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.20
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0

Адаптер беспроводной локальной сети Беспроводная сеть:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   DNS-суффикс подключения . . . . . :
   IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:6ab8:245c:
   Локальный IPv6-адрес канала . . . : fe80::245c:1775:
   Основной шлюз. . . . . . . . . : ::

Адаптер Ethernet Ethernet:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.56.30
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.56.1




благодарю


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

yden писал(а):5. адресация ЛВС и VPN статика, подсети не пересекаются.
[code]


Если у вас адресация не пересекается - зачем вам прокси-арп?

Там чистая маршрутизация тогда должна быть, и никакого прокси арпа не надо

Конфиг давайте


yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

[quote="enzain"][quote="yden"]
5. адресация ЛВС и VPN статика, подсети не пересекаются.

Код: Выделить всё

[/quote]

Если у вас адресация не пересекается - зачем вам прокси-арп?

Там чистая маршрутизация тогда должна быть, и никакого прокси арпа не надо

Конфиг давайте[/quote]

[code]
# jan/18/2018 15:01:57 by RouterOS 6.41
# software id = ****
#
# model = RouterBOARD 750 r2
# serial number = ****
/caps-man channel
add band=2ghz-g/n extension-channel=Ce name=channel1 tx-power=15
add band=2ghz-b/g/n name=channel2
add band=2ghz-b/g/n extension-channel=Ce name=channel3 tx-power=5
/interface bridge
add admin-mac=E4:8D:8C:98:74:8D arp=proxy-arp auto-mac=no fast-forward=no \
    name=bridge_lan
/interface ethernet
set [ find default-name=ether4 ] name=ether4-slave-local
set [ find default-name=ether5 ] name=ether5-slave-local
set [ find default-name=ether3 ] arp=proxy-arp name=iptv
set [ find default-name=ether2 ] arp=proxy-arp name=lan
set [ find default-name=ether1 ] name=wan
/caps-man datapath
add bridge=bridge_lan client-to-client-forwarding=yes local-forwarding=no \
    name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=******
/caps-man configuration
add channel=channel2 datapath=datapath1 distance=dynamic hide-ssid=yes mode=\
    ap name=cfg1 rx-chains=0,1,2 security=security1 ssid=m12 tx-chains=0,1,2
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.1.100-192.168.1.200
add name=iptv ranges=192.168.2.100-192.168.2.200
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
    bridge_lan name=lan1
add address-pool=iptv disabled=no interface=iptv name=iptv
/ppp profile
add change-tcp-mss=yes local-address=192.168.1.1 name=pptp_profile \
    remote-address=iptv
/system logging action
set 1 disk-file-name=log
/caps-man access-list
add comment=lenovo disabled=no mac-address=**** signal-range=\
    -120..120 ssid-regexp="" time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add comment="iphone dizya" disabled=no mac-address=******** \
    signal-range=-120..120 ssid-regexp="" time=\
    0s-1d,sun,mon,tue,wed,thu,fri,sat
add comment=papik disabled=no mac-address=******* signal-range=\
    -120..120 ssid-regexp="" time=0s-1d,sun,mon,tue,wed,thu,fri,sat
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1 name-format=\
    prefix-identity name-prefix=cap_
/interface bridge filter
add action=accept chain=output disabled=yes out-interface=lan packet-type=\
    multicast
add action=drop chain=output disabled=yes out-interface=*15 packet-type=\
    multicast
add action=drop chain=output disabled=yes out-interface=*16 packet-type=\
    multicast
add action=drop chain=output disabled=yes out-interface=*18 packet-type=\
    multicast
add action=drop chain=output disabled=yes out-interface=*1F packet-type=\
    multicast
add action=drop chain=output disabled=yes out-interface=ether5-slave-local \
    packet-type=multicast
/interface bridge port
add bridge=bridge_lan interface=lan
add bridge=bridge_lan interface=ether4-slave-local
add bridge=bridge_lan interface=ether5-slave-local
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=lan list=discover
add interface=iptv list=discover
add interface=ether4-slave-local list=discover
add interface=ether5-slave-local list=discover
add interface=bridge_lan list=discover
add interface=lan list=mactel
add interface=iptv list=mactel
add interface=lan list=mac-winbox
add interface=ether4-slave-local list=mactel
add interface=iptv list=mac-winbox
add interface=ether5-slave-local list=mactel
add interface=ether4-slave-local list=mac-winbox
add interface=ether5-slave-local list=mac-winbox
/interface pptp-server server
set default-profile=pptp_profile enabled=yes
/ip address
add address=192.168.1.1/24 comment="default configuration" interface=lan \
    network=192.168.1.0
add address=192.168.2.1/24 comment=iptv interface=iptv network=192.168.2.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=\
    no interface=wan
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=\
    192.168.1.1 gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 dns-server=192.168.1.1 gateway=192.168.2.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.192.8,192.168.192.4
/ip dns static
add address=192.168.1.1 name=router
add address=****** name=nas.yujjjj
/ip firewall filter
add action=accept chain=input comment="IPTV UDP incoming" dst-port=1234 \
    in-interface=wan protocol=udp
add action=accept chain=forward comment="IPTV UDP forwarding" dst-port=1234 \
    protocol=udp
add action=accept chain=input comment="Allow IGMP" in-interface=wan protocol=\
    igmp
add action=accept chain=input comment="dostup iz vne" disabled=yes \
    dst-address=******* in-interface=wan protocol=tcp src-port=80
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="default configuration" \
    connection-state=established,related
add action=accept chain=input comment=vpn dst-port=1723 in-interface=wan \
    protocol=tcp
add action=accept chain=input comment=vpn protocol=gre
add action=accept chain=forward comment="default configuration" \
    connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=wan
add action=drop chain=input comment=iptv dst-port=53 in-interface=wan \
    protocol=udp
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
add action=drop chain=forward comment="default configuration" \
    connection-nat-state=!dstnat connection-state=new in-interface=wan
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=wan
add action=netmap chain=dstnat comment=mqtt dst-port=1883 in-interface=wan \
    protocol=tcp to-addresses=192.168.1.70 to-ports=1883
add action=netmap chain=dstnat comment="Plex in" dst-port=34400 in-interface=\
    wan protocol=tcp to-addresses=192.168.1.245 to-ports=32400
add action=netmap chain=dstnat in-interface=wan port=32443 protocol=tcp \
    to-addresses=192.168.1.245 to-ports=32443
add action=netmap chain=dstnat dst-port=5353 in-interface=wan protocol=udp \
    to-addresses=192.168.1.245 to-ports=5353
add action=netmap chain=dstnat comment="dostup iz vne -> nas (smb) " \
    in-interface=wan port=445 protocol=tcp to-addresses=192.168.1.245 \
    to-ports=445
add action=netmap chain=dstnat comment="dostup iz vne -> nas (afp)" \
    in-interface=wan port=548 protocol=tcp to-addresses=192.168.1.245 \
    to-ports=548
add action=netmap chain=dstnat comment="dostup iz vne -> nas (afp)" \
    in-interface=wan port=427 protocol=tcp to-addresses=192.168.1.245 \
    to-ports=427
add action=netmap chain=dstnat comment="dostup iz vne -> openhab2" dst-port=\
    7070 in-interface=wan protocol=tcp to-addresses=192.168.1.70 to-ports=\
    8080
add action=netmap chain=dstnat comment="dostup iz vne for nas adminka" \
    dst-port=443 in-interface=wan protocol=tcp to-addresses=192.168.1.245
add action=dst-nat chain=dstnat comment="dostup iz lan -> wan (nas) smb" \
    dst-address=******* dst-port=445 in-interface=bridge_lan protocol=\
    tcp to-addresses=192.168.1.245
add action=masquerade chain=srcnat comment="lan -> wan (nas) smb" \
    dst-address=192.168.1.245 dst-port=445 protocol=tcp
add action=dst-nat chain=dstnat dst-address=******* dst-port=445 \
    in-interface=iptv protocol=tcp to-addresses=192.168.1.245
add action=masquerade chain=srcnat dst-address=192.168.1.245 dst-port=445 \
    protocol=tcp
/ip route
add disabled=yes distance=1 gateway=83.234.38.1
/ip service
set www address=192.168.1.0/24,0.0.0.0/0
/ip smb shares
set [ find default=yes ] directory=/pub
/ppp secret
add local-address=192.168.1.1 name=**** password=****** remote-address=\
    192.168.1.20 service=pptp
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=wan upstream=yes
add interface=iptv
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Irkutsk
/system identity
set name=hex_lite
/system ntp client
set enabled=yes primary-ntp=89.109.251.21 secondary-ntp=89.109.251.22
/system ntp server
set enabled=yes multicast=yes
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox


благодарю


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

yden писал(а):5. адресация ЛВС и VPN статика, подсети не пересекаются.

Я правильно развидел.
ЛАН - это 56 подсеть
а РРТР - это 1я подсеть?

Пропишите статический маршрут, где сети 1й искать сеть 56 и наоборот.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

Vlad-2 писал(а):
yden писал(а):5. адресация ЛВС и VPN статика, подсети не пересекаются.

Я правильно развидел.
ЛАН - это 56 подсеть
а РРТР - это 1я подсеть?

Пропишите статический маршрут, где сети 1й искать сеть 56 и наоборот.


Да, правильно.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

yden писал(а):
Vlad-2 писал(а):
yden писал(а):5. адресация ЛВС и VPN статика, подсети не пересекаются.

Я правильно развидел.
ЛАН - это 56 подсеть
а РРТР - это 1я подсеть?

Пропишите статический маршрут, где сети 1й искать сеть 56 и наоборот.


Да, правильно.


На роутере у вас в конфиге я что-тоне вижу сетку 56ую ...
Где она?


yden
Сообщения: 96
Зарегистрирован: 27 июл 2017, 21:12

enzain писал(а):
yden писал(а):
Vlad-2 писал(а):Я правильно развидел.
ЛАН - это 56 подсеть
а РРТР - это 1я подсеть?

Пропишите статический маршрут, где сети 1й искать сеть 56 и наоборот.


Да, правильно.


На роутере у вас в конфиге я что-тоне вижу сетку 56ую ...
Где она?

Честно, я тогда не понял этот vpn. Например я в "тьме-таракани" выхожу в интернет, мне нужна домашняя сеть. Я по впн соединяюсь. Мне нужно каждый раз маршруты прописывать? Ладно я научусь это делать, а, сотрудники например. Им админа давать от микротика?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

yden писал(а):
enzain писал(а):
yden писал(а):
Да, правильно.


На роутере у вас в конфиге я что-тоне вижу сетку 56ую ...
Где она?

Честно, я тогда не понял этот vpn. Например я в "тьме-таракани" выхожу в интернет, мне нужна домашняя сеть. Я по впн соединяюсь. Мне нужно каждый раз маршруты прописывать? Ладно я научусь это делать, а, сотрудники например. Им админа давать от микротика?


Подождите с маршрутами ...
Я не вижу, чтобы у вас микротик что-то знал вообще про 56 подсеть, откуда она взялась? куда подключен ПК с этим адресом что вы тут писали?


Ответить