Проблема с PPTP

[Quantum]

Такая ситуация.
Имеется необходимость построить VPN между домом и офисом. В обоих местах GPON Ростелеком приходит со своим роутером, после него стоят Mikrotik hAP Lite в режиме коммутатора, порты настроены и все работает (LAN/WLAN).
Делал по данному мануалу: https://vcctv.ru/matchast/kogda-videore ... ostup.html
Мануал дочитан до конца, единственное отличие - выдача ip vpn пользователям из другого пула.
Проблема в том, что при добавлении шлюза в NAT происходит вот это

 Тык

Не могу подключиться к VPN ни с другого hAP Lite, ни с ноутбука.

 export hide-sensetive

Код: Выделить всё

# jan/27/2021 19:04:14 by RouterOS 6.48
# software id = 5L03-U4GD
#
# model = RB941-2nD
# serial number = D1160C3E48B3
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
    ssid=MikroTik-Office station-roaming=enabled wireless-protocol=802.11
/interface pptp-server
add name=HomeNAS user=HomeNAS
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.44.5-192.168.44.50
add name=vpnpool ranges=192.168.44.51-192.168.44.55
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=192.168.44.1 name=VPNprofile only-one=no \
    remote-address=vpnpool use-compression=yes use-encryption=yes use-mpls=no
set *FFFFFFFE bridge=bridge1
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
    ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=mschap2 enabled=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/interface pptp-server server
set authentication=mschap2 default-profile=VPNprofile enabled=yes
/ip address
add address=192.168.44.1/24 interface=bridge1 network=192.168.44.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=1d
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.44.0/24 dns-server=192.168.44.1 gateway=192.168.44.1
/ip dns
set allow-remote-requests=yes servers=192.168.44.1,8.8.8.8
/ip firewall filter
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=icmp
/ip firewall nat
add action=netmap chain=dstnat dst-port=554 protocol=tcp to-addresses=\
    192.168.44.43 to-ports=554
add action=netmap chain=dstnat dst-port=9010 protocol=tcp to-addresses=\
    192.168.44.43 to-ports=9010
add action=netmap chain=dstnat dst-port=9020 protocol=tcp to-addresses=\
    192.168.44.43 to-ports=9020
add action=netmap chain=dstnat dst-port=8000 protocol=tcp to-addresses=\
    192.168.44.43 to-ports=8000
add action=netmap chain=dstnat dst-port=80 protocol=tcp to-addresses=\
    192.168.44.43 to-ports=80
add action=masquerade chain=srcnat src-address=192.168.44.0/24
# HomeNAS not ready
add action=masquerade chain=srcnat out-interface=HomeNAS
add action=masquerade chain=srcnat comment="Internet IN" out-interface=ether1
/ip route
add distance=1 dst-address=192.168.89.0/24 gateway=HomeNAS
/ppp secret
add local-address=192.168.5.1 name=HomeNAS profile=VPNprofile remote-address=\
    192.168.5.2 service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Office

Возможно, я очень туплю и проблема в роутере ростелекома, который блочит какой-либо коннект. В настоящий момент оба роутера подключены к одному свитчу после роутера ростелекома, со второго могу пингануть DNS из Cloud'a, но ни локалки друг друга не пингуются, ни сетки pptp 5.1 и 5.2.
Ткните носом, в чем моя проблема.

[xvo]

1) Он у вас не в режиме коммутатора. Вот от слова совсем.
2) Прокинуты ли нужные порты на провайдерском роутере?
3) Почему для проброса портов используется netmap вместо dst-nat?

[Quantum]

1) Он у вас не в режиме коммутатора. Вот от слова совсем.
2) Прокинуты ли нужные порты на провайдерском роутере?
3) Почему для проброса портов используется netmap вместо dst-nat?

1) Жаль, я старался
2) 1723 для pptp?

 Тык

3) Опять таки, делал все по мануалу и там было именно так

 Тык

[xvo]

1) Жаль, я старался

Режим коммутатора - это когда все порты в бридж, нет NAT'а, а DHCP-сервером/шлюзом для клиентов выступает вышестоящий роутер.

2) 1723 для pptp?

 Тык

В сопутствующем разрешающем правиле в firewall'е микротика счетчик пакетов увеличивается (они до микротика вообще доходят)?

3) Опять таки, делал все по мануалу и там было именно так

 Тык

Выкиньте этот мануал и не используйте его больше.
Netmap используется для трансляции целых сетей 1:1.
Для проброса портов используется dst-nat.

[Quantum]

В сопутствующем разрешающем правиле в firewall'е микротика счетчик пакетов увеличивается (они до микротика вообще доходят)?

Как я понял - нет

 Тык

[xvo]

Это не та вкладка.
firewall -> filter

[Quantum]

Это не та вкладка.
firewall -> filter

 Тык

[xvo]

Ну вот: не доходит до него ничего.
Так что разбирайтесь с провайдерским роутером.

Возможно надо helper где-то включить, чтобы он GRE пропускал. В этом смысле PPTP далеко не лучший вариант, с l2tp+ipsec проще, он гарантированно прокидывается.

[Quantum]

Ну вот: не доходит до него ничего.
Так что разбирайтесь с провайдерским роутером.

Возможно надо helper где-то включить, чтобы он GRE пропускал. В этом смысле PPTP далеко не лучший вариант, с l2tp+ipsec проще, он гарантированно прокидывается.

Проблема в том, что l2tp+ipsec тоже не заводится

[xvo]

Ну а хоть что-то у вас через провайдерский роутер получалось пробросить?

Просто на всякий случай: IP то у вас белый?