PPTP клиенты после настройки правил firewall не видят LAN внутри

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
deep
Сообщения: 6
Зарегистрирован: 27 мар 2017, 10:41

Приветствую!

Уcтановил Mikrotik Hex.Подключение к Инету Ростелеком- установил. PPTP Сервер поднял. по форуму нашел как решить вопрос по видимости LAN клиентам PPTP. начал поднимать firewall по рекомендациям. Открыл порт 1723 PPTP - клиенты подключаются, но внутри сеть не видят 192.168.1.0/24
п13.-14 задисаблил. какое правило нужно поставить до них, чтобы пофиксить?

второе - как пустить торренто качалку через firewall?
может какое еще правило поставить?
Заранее благодарен.

Код: Выделить всё

 0    ;;; Allow Ping
      chain=input action=accept protocol=icmp log=no log-prefix=""

 1    chain=forward action=accept protocol=icmp log=no log-prefix=""

 2    ;;; Accept established connections
      chain=input action=accept connection-state=established log=no
      log-prefix=""

 3    chain=forward action=accept connection-state=established log=no
      log-prefix=""

 4    chain=forward action=accept in-interface=!pppoe-out1
      out-interface=pppoe-out1 log=no log-prefix=""

 5    ;;; Accept related connections
      chain=input action=accept connection-state=related log=no log-prefix=""

 6    chain=forward action=accept connection-state=related log=no log-prefix=""

 7    chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""

 8    chain=input action=accept protocol=gre log=no log-prefix=""

 9    ;;; Drop invalid connections
      chain=input action=drop connection-state=invalid log=no log-prefix=""

10    chain=forward action=drop connection-state=invalid log=no log-prefix=""

11    ;;; Access to Internet from local network
      chain=forward action=accept src-address=192.168.1.0/24 in-interface=pppoe-out1 log=no log-prefix=""

12    ;;; Access to Mikrotik only from our local network
      chain=input action=accept src-address=192.168.1.0/24 log=no log-prefix=""

13 XI  ;;; All other drop
      chain=input action=drop log=no log-prefix=""

14 XI  chain=forward action=drop log=no log-prefix=""


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) мало информации (адресация, сети, доступы)
2) подключение по РРТР обязательно делайте в отдельном IP-сегменте сети
3) потом между сегментами (между сетями) делайте маршрутизацию
4) настройка сервера РРТР не сложна, но от вышеназванных моментов очень разница
5) Ваша фраза - "не видят сеть" - а) не видят в сетевом окружении или б) не пингуются узлы?
===> а) сложно добиться, ибо сетевое окружение сделано на протоколе,который не маршрутизируется
===> б) как пинговаться будут - значит и сервер РРТР настроили правильно, при условии что в локальной сети шлюзом
для компьютеров является адрес микротика.
6) файрволл лучше при тестах отключать (на недолгое время), а порты ДНС'а защитить отдельными для них правилами.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
deep
Сообщения: 6
Зарегистрирован: 27 мар 2017, 10:41

Vlad-2 писал(а):1) мало информации (адресация, сети, доступы)
2) подключение по РРТР обязательно делайте в отдельном IP-сегменте сети
3) потом между сегментами (между сетями) делайте маршрутизацию
4) настройка сервера РРТР не сложна, но от вышеназванных моментов очень разница
5) Ваша фраза - "не видят сеть" - а) не видят в сетевом окружении или б) не пингуются узлы?
===> а) сложно добиться, ибо сетевое окружение сделано на протоколе,который не маршрутизируется
===> б) как пинговаться будут - значит и сервер РРТР настроили правильно, при условии что в локальной сети шлюзом
для компьютеров является адрес микротика.
6) файрволл лучше при тестах отключать (на недолгое время), а порты ДНС'а защитить отдельными для них правилами.


1. сеть внешняя Ростелеком - поднят PPOE.получен IP
внутренний LAN -192.168.1.0/24 c DHCP. Все стоит за NAT-маскарад.
Кроме того поднят PPPTP сервер с фиксированным клиентом 192.168.1.230
Тунель поднимается.Только приустановке правил по отклонению всех прочих пакетов- пакеты с клиента на внутр IP тоже дропаются
2)-3)-4) для чего огород с доп сеткой?
5) не видят сеть - нет пинга. сетевое окружение с netbios не нужно
6) при отключенном фаерволле - все настроено и работает. последние 2 правила дропают пакеты с 230 адреса на все остальные
думаю какое то разрешение одно поставить и все. как его написать


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

deep писал(а):6) при отключенном фаерволле - все настроено и работает. последние 2 правила дропают пакеты с 230 адреса на все остальные
думаю какое то разрешение одно поставить и все. как его написать

Ну а кто текущий файрвол делал(правила писал)?

В любом случаи делаете правила, в правилах ставите "писать в лог", смотрите попадает что-то в логах,
также у правила любого есть счётчик (как пакетов, так и трафика), смотрите и на него.
Ну и ещё раз подчеркну, файрволл дело тонкое, каждый сам его делает как хочет,
я могу лишь кратко поделиться с чего я начинаю:
а) блокирую ИНВАЛИДНЫЕ пакеты
б) по старой привычке и для верности - делаю разрешения для Эстаблиш и Рилейтед пакетов
в) создаю список внешних WAN-интерфейсов (чтобы потом можно его использовать)
г) JUMP правилами делают аналитику по нужным мне портам (в частности тот же Флуд ДНСа и так далее),
и уже после джампа создаю списки и закрываю атакующие адреса.
Параллельно надо в роутере отключить не используемые сервисы (IP-Services) и оставить то что надо.

P.S.
а) советую на роутере для локальной сети и локальной адресации использовать бридж и на бридж
дав адресацию и пересадить DHCP также.
б) почему делают отдельную сеть для РРТР - наверно так удобнее, в какой то степени безопаснее,
можно манипулировать этим(ими) подключениями, зарулить её в отдельный канал/порт, ограничить,
проНАТить или не НАТить, и иные изыскания.
А давая туже адресацию что и в локальной сети,Вы как бы "растягиваете" сеть, а при таком подходе могут быть
разные казусы и мелкие проблемы.

Вот как-то так...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
deep
Сообщения: 6
Зарегистрирован: 27 мар 2017, 10:41

Vlad-2 писал(а):
deep писал(а):6) при отключенном фаерволле - все настроено и работает. последние 2 правила дропают пакеты с 230 адреса на все остальные
думаю какое то разрешение одно поставить и все. как его написать

Ну а кто текущий файрвол делал(правила писал)?



Правила писал я. по образцу. именно в таком порядке как вы и говорите.просто дайте мне пожалуйста совет - какое правило написать для того,чтобы был рутинг на ip адреса локалки РАЗРЕШАЮЩЕЕ - еще раз - без правил дроп - все работает нормально.

дефолтный рутинг скорее всего править не нужно, без правил работает все... насчет логов - да. я как раз в эту сторону и пошел.

бридж стоит на портах внутрь сети. там стоит Proxy-arp


deep
Сообщения: 6
Зарегистрирован: 27 мар 2017, 10:41

deep писал(а):
Vlad-2 писал(а):
deep писал(а):6) при отключенном фаерволле - все настроено и работает. последние 2 правила дропают пакеты с 230 адреса на все остальные
думаю какое то разрешение одно поставить и все. как его написать

Ну а кто текущий файрвол делал(правила писал)?



Правила писал я. по образцу. именно в таком порядке как вы и говорите.просто дайте мне пожалуйста совет - какое правило написать для того,чтобы был рутинг на ip адреса локалки РАЗРЕШАЮЩЕЕ - еще раз - без правил дроп - все работает нормально.

дефолтный рутинг скорее всего править не нужно, без правил работает все... насчет логов - да. я как раз в эту сторону и пошел.

бридж стоит на портах внутрь сети. там стоит Proxy-arp



ВСЕ получилось! спасибо за подсказку по логам

поставил accept по интерфейсу ppptp-in на локалку -все заработало.спасибо


deep
Сообщения: 6
Зарегистрирован: 27 мар 2017, 10:41

deep писал(а):
deep писал(а):
Vlad-2 писал(а):Ну а кто текущий файрвол делал(правила писал)?



Правила писал я. по образцу. именно в таком порядке как вы и говорите.просто дайте мне пожалуйста совет - какое правило написать для того,чтобы был рутинг на ip адреса локалки РАЗРЕШАЮЩЕЕ - еще раз - без правил дроп - все работает нормально.

дефолтный рутинг скорее всего править не нужно, без правил работает все... насчет логов - да. я как раз в эту сторону и пошел.

бридж стоит на портах внутрь сети. там стоит Proxy-arp



ВСЕ получилось! спасибо за подсказку по логам

поставил accept по интерфейсу ppptp-in на локалку -все заработало.спасибо


вот только правило красным подсвечивается когда pptp не поднят.это в порядке вещей? нет такой настройки?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

deep писал(а):вот только правило красным подсвечивается когда pptp не поднят.это в порядке вещей? нет такой настройки?

Это норма.
А вообще сами посудите, есть правило, в этом правиле одна переменная это интерфейс,
интерфейс не поднят (не активен), правило не работает....вот и сигнализирует об этом.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
deep
Сообщения: 6
Зарегистрирован: 27 мар 2017, 10:41

Приветствую!

Подскажите следующее. ppp соединение работает , все хорошо. Но в какой то момент после 9-10 соединений ppp клиент заходит, но не видит сеть... странно. где можно покопаться?
после перезагрузки все восстанавливается и работает хорошо. в логах ничего сомнительного


deep
Сообщения: 6
Зарегистрирован: 27 мар 2017, 10:41

deep писал(а):Приветствую!

Подскажите следующее. ppp соединение работает , все хорошо. Но в какой то момент после 9-10 соединений ppp клиент заходит, но не видит сеть... странно. где можно покопаться?
после перезагрузки все восстанавливается и работает хорошо. в логах ничего сомнительного



спасибо, разобрался... забыл установить keepalive timeout и поэтому сессия прошлого соединения могла висеть... видимо поэтому правило Drop forward начало дропать пакеты. Хотя при обном клиенте все работает змечатеьно


Ответить