Страница 1 из 1

PPTP не проходит файрволл RB750UP

Добавлено: 15 май 2019, 21:24
shaihkritzer
Добрый день. Когда-то давно настраивал PPTP на микротике и всё получилось легко и быстро. Но было это давно, а на этот раз не получается.

Цель - простая. На RB750UP поднимается PPTP-сервер. К нему подключаются клиенты с винды или андроида. Клиенты должны ходить в интернет через подключение этого микротика, а также видеть локальную сеть. Интернет в микротик приходит через ethernet-кабель. Подключение через pppoe настроено и поднято. У данного подключения есть статический полноценный айпи. Провайдер не устанавливает никаких ограничений.

Делаю всё по инструкциям, которые в первых ссылках в яндексе по запросу "настройка PPTP на микротик". В файрволле добавлен порт 1723 и GRE протокол, подняты выше всех запрещающих правил. In. Interface выставлен ether1 для обоих пунктов. Клиенты ни в какую не могут подключиться к сети. При этом, аналогичным образом проброшенный порт для VNC viewer (только forward вместо input, разумеется) прекрасно работает и я могу зайти на комп в локалке через VNC.

Стоит отключить правило файрволла 'drop all not coming from LAN', как клиенты сразу же могут подключиться, значит настройки PPTP правильные. Ни в одной инструкции ничего не сказано по поводу этого правила. Остальные запрещающие правила не влияют на возможность подключиться. Честно гуглил и рылся, не нашёл какого-либо внятного примера для аналогичной ситуации.

В логах попытки коннекта при включенном правиле никак не отображаются вообще. При выключенном - всё видно, подключение, отключение. Версия ПО firmware type ar7240, 2.38.

Собственно вопрос: как "протянуть" клиентов PPTP в обход этого правила? Если оставить его отключенным, то в логе сразу появляются левые попытки подключиться к роутеру. Как правильно настроить файрволл для моего случая?

Re: PPTP не проходит файрволл RB750UP

Добавлено: 17 май 2019, 09:19
Erik_U
В разрешающем PPTP правиле должно быть:

Chain - Input
Dst. Address - IP адрес вашего Ether1 (который ему оператор дает, который видно в IP/Adddress)
Protocol - 6 (TCP)
Dst. Port - 1723
In. Interface - Ether1
Action - Accept

Если интернет действительно приходит просто по Ether1 (без наложенных на него клиентов).

Правило про GRE лишнее.

Re: PPTP не проходит файрволл RB750UP

Добавлено: 17 май 2019, 10:52
Erik_U
А, вот ваша проблема.
shaihkritzer писал(а): 15 май 2019, 21:24 Интернет в микротик приходит через ethernet-кабель. Подключение через pppoe настроено и поднято. У данного подключения есть статический полноценный айпи. Провайдер не устанавливает никаких ограничений.
В разрешающем правиле нужно указывать не Ether1, а pppoe. Это другой интерфейс.

Поэтому
В разрешающем PPTP правиле должно быть:

Chain - Input
Dst. Address - IP адрес вашего pppoe (который ему оператор дает, который видно в IP/Adddress)
Protocol - 6 (TCP)
Dst. Port - 1723
In. Interface - pppoe (как у вам этот интерфейс называется)
Action - Accept

Re: PPTP не проходит файрволл RB750UP

Добавлено: 17 май 2019, 20:36
shaihkritzer
Dst. Address не был указан, но его добавление ничего не даёт, равно как и отключение правила для GRE, равно как и изменение интерфейса. покуда включено правило "drop all not coming from LAN" - подключение не проходит. стоит его отключить - можно подключиться независимо от наличия Dst. Address, независимо от активности правила GRE, независимо от выбранного интерфейса в правиле 1723 порта (работает и с ether1, и с pppoe-out1, и с all ppp, и даже с bridge-local).

Re: PPTP не проходит файрволл RB750UP

Добавлено: 03 мар 2021, 20:24
aleksandr.Fg
Мне помогло снять галку с new в правилах firewall для 1723 порта и gre, вкладка general, пункт Connection state. После этого при включенном правиле input !LAN=drop PPTP клиенты смогли подключаться.