Открыть оступ в сеть VPN клиента

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Belfigor
Сообщения: 3
Зарегистрирован: 13 янв 2016, 19:08

Есть VPN сервер поднятый на Kerio Control
Если я подключаю к нему виндовый клиент - трафик направляется через впн, а с впн сервера я нормально пингую его и подключаюсь на нужные порты
Я настроил микротик, подключил его к впн серверу, промаркировал трафик, прописал маршрут и теперь трафик нормально заворачивается на впн сервер.
С клиента подключенного к микротику - я нормально пингую машины находящиеся за впн сервером
А вот в обратном направлении пинг не идет.
WAN интерфейс: ether1
IP микротика: 192.168.1.1
IP пк подключенного к микротику: 192.168.1.254
PPP интерфейс: l2tp-out1
IP микротика после подключения к VPN: 172.29.119.3
IP VPN Сервера: 172.29.119.1
Сеть за впн сервером: 192.168.156.1

Пинг с 192.168.1.254 => 192.168.156.1 идет нормально
Пинг хотябы на микротик 192.168.156.1 => 172.29.119.3 - не идет

Если подключать просто виндовый клиент то всё ходит, так что проблема в настройках микротика а не керии.

Помогите правильно настроить доступ из сети за впн сервером в сеть за микротиком


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ваш ВПН сервер ничего не знает о подсети за микротиком. Нужно прописать маршрут.

И еще отключите ВСЕ правила фаерволла. Хотя бы временно.


Belfigor
Сообщения: 3
Зарегистрирован: 13 янв 2016, 19:08

Но ВПН сервер не пингует даже айпи что выдал микротику :(. А когда он выдает айпи подключившейся виндовой машине, его он пингует нормально


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Рисуйте схему с адресами.

Несколько раз перечитал ничего не могу понять.


Да... вот еще что, на микротке на бридже, который смотрит в сторону локальной сети поставьте ARP-proxy.


Belfigor
Сообщения: 3
Зарегистрирован: 13 янв 2016, 19:08

Изображение
Я беру PC1, вывожу в интернет через GW, подключаю к Kerio Control, получаю IP внутри виртуальной сети. С PC2, который находится внутри локальной сети KerioControl и имеет ip например 192.168.156.66 пингую адрес 172.26.119.2 - пинг идет, пакеты по всем портам летают.

Далее я беру PC1, подключаю его к микротику, микротик вывожу в инет через GW, настраиваю на нем l2tp-ou1, подключаюсь к впн серверу, микротик получает ip 172.26.119.3, настраиваю маршрут на микротике чтобы трафик шел через впн, проверяю IP на яндексе, вижу IP главного офиса, всё нормально, инет работает.
После этого я пытаюсь с PC2 пропинговать адрес микротика = 172.26.119.3 - пинг не идет.
С керией никакие манипуляции не проводятся ни в варианте с микротиком ни в варианте без микротика.
Без микротика пинг до устройства подключенного к впн идет
С микротиком не идет. Фильтры в микротике отключены.

В фаерволле в NAT прописано:
Nat Rule 0
Chain: srcnat
Out. Interface: l2tp-out1
Action: masquerade

Nat Rule 1
Chain: srcnat
Out. Interface: ether1-wan
Action: masquerade

Так же пробовал прописать это:
NAT RUle
Chain: dstnat
Protocol: 1 (icmp)
In. Interface: l2tp-out1
Action: accept

Локальные порты в бридж не объединены, используется только ether1 и ether2, ether3-5 не используются, но назначены рабами ether2.
У ether2 выставил ARP сначала enabled, потом proxy-arp пинг не идет. Где-то я упускаю галочку или правило которое надо поставить :(


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. Все правила фаерволла на микротике отключить!
2. Проверить с GW 192.168.33.1 пинг до микротка по IP VPN. Убедиться, что они есть.
3. Прописать маршрут на керио до локальной сети, которая спрятана за микротиком. Шлюзом будет микротик.
4. Прописать на микротике маршрут до подсети за керио.

5. Возможно нужно еще прописать маршруты на GW 192.168.33.1. Допускаю, что керио не причем, все зависит от настроек самого керио и GW 192.168.33.1.


Belfigor
Сообщения: 3
Зарегистрирован: 13 янв 2016, 19:08

1. Все правила отключены
2. C GW 192.168.33.1 => mikrotik vpnip 172.26.119.3 пинг не идет. Разве промежуточные узлы должны знать о том какой адрес у виртуальной сети подключенных к ним устройств? О_ОC GW 192.168.33.1 => mikrotik ip 192.168.33.114 пинг идет.
3. Маршрут на керио прописал (но когда подключается виндовая машина через windows vpn, все работает без маршрутов, разрешения трафика между локалкой и впн клиентами прописаны на уровне правил)
4. Прописал, но пинг в сеть за впн сервером и так ходит.

5. Это же впн, разве GW вообще учавствует в процессе обмена трафиком через впн, он же только дает интернет? у GW серый айпишник, через него нормально устанавливается соединение с впн, дальше же все должно уже на микротике разруливаться?

Пинг от PC1 до PC2 при подключении через микротик по прежнему не идет.
Может надо где-то в нате создать правило? Прописал правило в фаерволле на разрешение input, результат так же 0 :(


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну я немного не въехал в вашу схему. Сервер VPN - он же керио?? Я правильно понял??? Если да, то тогда точно на GW ничего делать не надо.

Что касается NAT. На микротике сделайте NAT как можно более общим.
chain=srcnat action=masquerade log=no log-prefix=""

без указания интерфейсов и исходящих подсетей.


Еще раз. Выключите ВСЕ!!! правила фаерволла на вкладке filters!!! Потом будете включать.


Belfigor
Сообщения: 3
Зарегистрирован: 13 янв 2016, 19:08

Завтра ресетну микротик и буду поновой настраивать, по результатам напишу. Но в фильтрах у меня всё выключено :(


Belfigor
Сообщения: 3
Зарегистрирован: 13 янв 2016, 19:08

Собственно результат:
Схема работы через ZyXel: Изображение
Беру Zyxel Keenetic II, вывожу его в инет, подключаю к vpn серверу, в межсетевом экране настраиваю разрешение для интерфейса подключенного к впн udp tcp & icmp и всё, с компа в локальной сети впн сервера я спокойно пингую айпишник зюкселя, пробрасываю на нем порты и они проходят в сеть которая сидит за зюкселем.
Следовательно к керио ничего прописывать и настраивать не надо, всё и так работает.

Настраиваю микротик, подключаю к впн, прописываю маршрут к впн серверу, трафик идет через него, но из сети впн сервера микротик даже не пингуется.

Прописывал разрешения для udp icmp & tcp для цепочек input и forward на микротике в firewall всё равно не работает. Подскажите что еще надо настроить?
Вот мои маршруты

Изображение

UPD:Пинг до микротика таки прошел :)
Последний раз редактировалось Belfigor 13 дек 2016, 13:39, всего редактировалось 1 раз.


Ответить