PPTP вижу только интерфейсы

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
andrey.kramarenko
Сообщения: 4
Зарегистрирован: 04 фев 2020, 17:14

Сервер
 
/interface bridge
add name=br_LAN
/interface pppoe-client
add add-default-route=yes disabled=no interface=\
ether1 name=pppoe-out1 user=111111111
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=br_LAN interface=ether2
add bridge=br_LAN interface=ether3
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment=Local_Mng interface=ether5 network=\
192.168.88.0
add address=5.5.5.77/24 comment=LAN_DIT_Address interface=br_LAN network=\
5.5.5.0
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
/ip route
add distance=1 dst-address=10.1.1.0/24 gateway=100.1.1.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=100.1.1.1 name=user1 remote-address=100.1.1.2 service=pptp
Клиент
 
/interface bridge
add fast-forward=no name=br_lan
/interface pptp-client
add allow=mschap1,mschap2 connect-to=11.22.33.44 disabled=no name=pptp-out1 \
user=user1
/interface bridge port
add bridge=br_lan interface=ether2
add bridge=br_lan interface=ether3
/ip address
add address=192.168.8.17/24 interface=ether1 network=192.168.8.0
add address=10.1.1.1/24 interface=br_lan network=10.1.1.0
/ip dns
set allow-remote-requests=yes servers=33.44.55.4,8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
/ip route
add distance=1 gateway=192.168.8.1
add distance=1 dst-address=5.5.5.0/24 gateway=100.1.1.1
С клиента пингую только 5.5.5.77, с сервера пингую только 10.1.1.1
Если на сервере делаю "add action=masquerade chain=srcnat disabled=yes out-interface=br_LAN", то могу ходить дальше интерфейса, но с сервера в локалку клиента таким же костылем не получается ходить.
Не понимаю почему вижу только интерфейсы


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Сумбурно у Вас написано.....

НО в целом у Вас как я понял так, когда Вы отключаете правило, то можете дальше ходить.
Значит отключив Маскарайдинг - пакеты бегут дальше. Отсюда следует что Маскарайдинг
прячит их и нарушается маршрутизация (одна сторона не знает что куда отсылать другой и
так и с другой стороны происходит).

А в целом не надо давать роутерам адресацию из РРР подключения. То есть не надо роутеру
задавать постоянно и явно адрес. Надо взять сеть, использовать её в РРР назначениях,
эту сеть описать на роутерах (в маршрутах ТОЛЬКО) (сделать чтобы между другими локальными
сетями она проходила, то есть другие сети должны знать как дойти до этой сети и как
она может дойти до них), то есть - полная маршрутизация, правила НАТ/Маскарайдинга не
должны срабатывать при локальных таких взаимодействиях, но как только сеть РРР
хочет выйти наружу (скажем в Интернет), то именно при выходе наружу,
такой запрос (а точнее пакет сети РРР) надо проМаскарайдить, и уже отправить в сторону провайдера.

Как-то так....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
andrey.kramarenko
Сообщения: 4
Зарегистрирован: 04 фев 2020, 17:14

Vlad-2 писал(а): 04 фев 2020, 18:27 я понял так, когда Вы отключаете правило, то можете дальше ходить.
Значит отключив Маскарайдинг - пакеты бегут дальше. Отсюда следует что Маскарайдинг
прячит их и нарушается маршрутизация (одна сторона не знает что куда отсылать другой и
так и с другой стороны происходит).
Маскарадинг тут костыль, которого быть не должно, убираем маскарадинг, пингую только интерфейс другого микротика
Vlad-2 писал(а): 04 фев 2020, 18:27 А в целом не надо давать роутерам адресацию из РРР подключения. То есть не надо роутеру
задавать постоянно и явно адрес. Надо взять сеть, использовать её в РРР назначениях,
эту сеть описать на роутерах (в маршрутах ТОЛЬКО) (сделать чтобы между другими локальными
сетями она проходила, то есть другие сети должны знать как дойти до этой сети и как
она может дойти до них), то есть - полная маршрутизация, правила НАТ/Маскарайдинга не
должны срабатывать при локальных таких взаимодействиях, но как только сеть РРР
хочет выйти наружу (скажем в Интернет), то именно при выходе наружу,
такой запрос (а точнее пакет сети РРР) надо проМаскарайдить, и уже отправить в сторону провайдера.
тут я не понял, с чего вы взяли, что я даю роутерам адресацию из ррр подключения?для подключения впн использую 100.1.1.1 и 100.1.1.2, на роутерах лан сети 10.1.1.0 и 5.5.5.0 ( к примеру)
10.1.1.1 и 5.5.5.77 которые под спойлером в 1 сообщении это ип, которые назначаются для интерфейса, который смотрит в локальную сеть. интерфейсы я пингую, дальше не вижу

Изображение


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

концы vpn туннеля на клиенте и сервере забыли в бридж воткнуть.
Vlad-2 писал(а): 14 июл 2019, 18:57 (как догадка)
А сделали binding-L2TP ?

Просто при каждом подключении, сессия(и) - они для роутера новые, и маршруты
на них ранее созданные/прописанные = НЕ применяются.
Надо "прибить" юзера(логин) к интерфейсу (сделать статический) и уже этот статический
созданный (прибитый) интерфейс и использовать в таблице маршрутизации и делать маршрутизацию.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
andrey.kramarenko
Сообщения: 4
Зарегистрирован: 04 фев 2020, 17:14

Думаю, что воткнул впн в бридж. но ситуация такая же
 
/ppp profile
add bridge=LAN_Bridge change-tcp-mss=yes name=pptp
/interface bridge port
add bridge=LAN_Bridge interface=ether2
add bridge=LAN_Bridge interface=ether3
add bridge=LAN_Bridge interface=ether4
add bridge=LAN_Bridge interface=wlan1
/ppp secret
add name=user1 profile=pptp service=pptp

на сервере по аналогии сделал, в профиль учетки добавил бридж в котором есть интерфейсы
Грешу на файервол в одной из локальных сетей т.к на другой паре микротиков. в других локалках, при тех же действиях все работает без бриджов. завтра уточню


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

andrey.kramarenko писал(а): 04 фев 2020, 19:13 тут я не понял, с чего вы взяли, что я даю роутерам адресацию из ррр подключения?для подключения впн использую 100.1.1.1 и 100.1.1.2, на роутерах лан сети 10.1.1.0 и 5.5.5.0 ( к примеру)
10.1.1.1 и 5.5.5.77 которые под спойлером в 1 сообщении это ип, которые назначаются для интерфейса, который смотрит в локальную сеть. интерфейсы я пингую, дальше не вижу
mage.jpg[/img]
1) Потому что 100 и 10 сливаются сети. Вот схема это сразу стало хорошо.
2) Трасертами проверьте где затык (трасерты делать лучше с компов/с клиентов, НО не с роутеров)
и уже смотреть как и где и почему.
3) И повторю своё высказывания на счёт НАТ/Маскарайдинг = надо так составлять правила, чтобы
НАТ/Маскарайдинг не срабатывал при локальном взаимодействии. Чаще в этом ошибка.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
andrey.kramarenko
Сообщения: 4
Зарегистрирован: 04 фев 2020, 17:14

Vlad-2 писал(а): 05 фев 2020, 03:33
andrey.kramarenko писал(а): 04 фев 2020, 19:13 тут я не понял, с чего вы взяли, что я даю роутерам адресацию из ррр подключения?для подключения впн использую 100.1.1.1 и 100.1.1.2, на роутерах лан сети 10.1.1.0 и 5.5.5.0 ( к примеру)
10.1.1.1 и 5.5.5.77 которые под спойлером в 1 сообщении это ип, которые назначаются для интерфейса, который смотрит в локальную сеть. интерфейсы я пингую, дальше не вижу
mage.jpg[/img]
1) Потому что 100 и 10 сливаются сети. Вот схема это сразу стало хорошо.
2) Трасертами проверьте где затык (трасерты делать лучше с компов/с клиентов, НО не с роутеров)
и уже смотреть как и где и почему.
3) И повторю своё высказывания на счёт НАТ/Маскарайдинг = надо так составлять правила, чтобы
НАТ/Маскарайдинг не срабатывал при локальном взаимодействии. Чаще в этом ошибка.
Спасибо за подсказку, сдлал маскарадинг для отдельной сети, которая выходит в инет.

А проблема была в том что на ДНС сервере сети были не так прописаны маршруты.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

andrey.kramarenko писал(а): 04 фев 2020, 19:13
Изображение
На картинке точно ошибка.
10.1.1.1 есть у клиента (int) и у сервера (смотрит в сторону клиента). Тут и сети перемешаны, и конфликт адресов.

А фактически как?


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

andrey.kramarenko писал(а): 04 фев 2020, 19:13
тут я не понял, с чего вы взяли, что я даю роутерам адресацию из ррр подключения?для подключения впн использую 100.1.1.1 и 100.1.1.2, на роутерах лан сети 10.1.1.0 и 5.5.5.0 ( к примеру)
10.1.1.1 и 5.5.5.77 которые под спойлером в 1 сообщении это ип, которые назначаются для интерфейса, который смотрит в локальную сеть. интерфейсы я пингую, дальше не вижу
Если вы на клиенте пингуете 10.1.1.1, отвечает не сервер, а интерфейс int клиента.
А если будете с клиента пинговать 5.5.5.77, то сервер не отправит ответ по маршруту, указанному в таблице, потому, что вы ему интерфейс сделали в сети 10.1.1.0, он с него будет искать хост отправивший пинг, и не найдет.


Ответить