VPN для подключения удаленных пользователей - как?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

Блин нигде не могу найти мануала как настроить на микротике VPN сервер чтобы удаленные пользователи могли подключаться к локальной сети. ткните носом плз :))

у меня ситуация такая :
есть постоянный IP в инете. от провайдера приходит оптика, оптика воткнута в провайдерский PON модем, который в режиме бридж. от этого роутера идет кабель в микротик. Микротик поднимает соединение PPPoE на том порте в коорый воткнут модем. Остальные порты микрота используются в качестве свитча. И там за NAT-ом локалка.

как мне поднять впн сервер чтобы удаленные юзеры видели локальную сеть?

что сделал я:
1) создал пул адресов в IP--->Pool, обозвал его VpnPool
2) в PPP ---> profiles создал профиль, в Loal Adress прописал адрес самого микрота в локалке, в Remote Adress выбрал пул адресов который я создал в пункте 1. в качестве DNS сервера указал локальный адрес самого микрота.
3) в PPP ---> Secrets создал учетку пользователя, выбрав имя, пароль, сервис (pptp), профиль, в Local Adress - адрес микрота, в Remote Adress - просто выбрал адрес для этого пользователя (чувствую что уже что то сделал тут не так) тут указываешь напрямую адрес юзера, зачем тогда пул? как сделать чтоб юзеру выдалал DHCP ip шник?

что имею в итоге: удаленный пользователь подклдючается, но начинает лазить в инет через этот вот VPN туннель. кроме того локалка подсети микрота пользователю не видна, а виден только сам микрот. :((

помогите я запутался


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Вроде бы Вы хотели подрабатывать настройщиком по микротикам? :du_ma_et:
1) какая локальная адресация?
2) какая адресация сделана в пуле?
3) если Вы делаете через профиль настройки, зачем адрес указывать в свойствах каждого юзера?
4) если в первом и во втором пункте адресация одинакова - то как бы на уровне IP сети и сегмента Вы должны видеть, если
конечно случайно не натите то что не надо
5) если адресации разные - то ВПН адресацию проНАТИТь от адреса локального микротика ( это решение мне нравится больше,
и так правильнее делать...ВПН и локалка - разные сети и разные должны быть адреса)
5.1) при настройке ВПН при разделении сети (используется отличное IP-адресация, то в профиле РРР всё должно быть настроено
из этой же и адресации...)
Ну и банально, пинг, трасерт...какие результаты? Где инженерный подход.
И да, видеть локальную сеть для меня - значить пинговать узлы, заходить на них и с ними работать,
а видеть локальную сеть - как сетевое окружение - то увы, формально виндовой протокол не маршрутизируемый.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

Vlad-2 писал(а):Вроде бы Вы хотели подрабатывать настройщиком по микротикам?

хотел и хочу, поэтому ищу инфу о курсах..


Ну и банально, пинг, трасерт...какие результаты? Где инженерный подход.
все что я написал выше - оно и есть на основе пингов и трасертов. естественно не с потолка я все это написал.

И да, видеть локальную сеть для меня - значить пинговать узлы, заходить на них и с ними работать,
- для меня тоже самое.

в пуле та же адресация что и в локалке. пул я так понимаю это просто диапазон адресов. я просто выделил кусок адресов: " 192.168.13.140-192.168.13.200"
конечно где то в глубине души я пониаю что это не комльфо)
а адреса (еще один пул) "192.168.13.20-192.168.13.139" - выдаются DHCP

С трафиком валящим через туннель уже разобрался- надо было просто снять одну галку в настройках впн подключения клиента.


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

:ps_ih: подскажите как все это сделать по госту?


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Phantom87
Сообщения: 0
Зарегистрирован: 21 июн 2017, 14:26

Подскажите пожалуйста 3 дня топчусь на месте не могу сообразить. Имею 2 микротика с между ними поднят ovpn в режиме eth с адресами 192.168.254.10 на сервере и 192.168.254.11 на клиенте за сервером впн сеть 192.168.2.0/24 за клиентом 192.168.3.0/24
Статические роуты прописаны на сервере сеть 192.168.3.0/24 доступна через 192.168.254.11 на клиенте 192.168.0.2/24 через 192.168.254.10. С клиента и с сервера пингуются только адреса которые назначены интерфейсам т.е с клиента пингуется 192.168.2.20 это адрес интерфейса которым тик сервер подключен к сети 192.168.2.0/24. С сервера пингуется 192.168.3.1 это адрес интерфейса за которым тик клиент подключен к сети 192.168.3.0/24. На рабочих станциях впринципе можно прописать статический роут, и устройства где он прописан начинают друг с другом общаться и все бы нечего, но некоторые девайсы не имеют таких настроек. Подскажите как бы реализовать связь двух сетей без применения статических настроек маршрута. Заранее спасибо.


Ответить