Вводная:
Mikrotik - PPTP Clien (доступен для настройки, подсеть 192.168.0.0/24)
Windows Server - PPTP Server (недоступен для настрйоки, подсети за сервером 192.168.0.0/24, 192.168.100.0/22)
К 100 доступ настроен, все хорошо, а вот к 0 за сервером естественно нет, возможно ли не меняя адрес подсети у mikrotik-а получить доступ к 0 подсети за сервером путем настроек mikrotik-а (ткните носом, как? Или проще будет поменять подсеть (возможно, но не хочется))
Прошу совета, как лучше поступить VPN между одинаковыми подсетями
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Модератор
- Сообщения: 3321
- Зарегистрирован: 01 окт 2012, 14:48
-
- Сообщения: 0
- Зарегистрирован: 20 окт 2017, 21:53
Натыкался на эту ссылку, и даже применил именно вариант "костыля" в том случае мне необходимо было сделать проброс снаружи порта в туннель, но там были сети разные.
chain=srcnat action=src-nat to-addresses=192.168.11.1 dst-address=192.168.1.0/24 log=no log-prefix="" такое правило работает и позволяет корректно работать пробросу порта из вне на ip из подсети 1.
В моем случае проброс не нужен, нужен именно доступ из подсети 0, в подсеть 0. Или нужно еще использовать часть данного мануала - https://hd.zp.ua/mikrotik-dve-seti-s-od ... ranstvami/ ?
chain=srcnat action=src-nat to-addresses=192.168.11.1 dst-address=192.168.1.0/24 log=no log-prefix="" такое правило работает и позволяет корректно работать пробросу порта из вне на ip из подсети 1.
В моем случае проброс не нужен, нужен именно доступ из подсети 0, в подсеть 0. Или нужно еще использовать часть данного мануала - https://hd.zp.ua/mikrotik-dve-seti-s-od ... ranstvami/ ?
-
- Сообщения: 0
- Зарегистрирован: 20 окт 2017, 21:53
По факту нужен один ip из удаленной подсети, 0.100.
Прописал роутинг на 192.168.0.100 через ip выдаваемый сервером 192.168.100.69 пинг пошел с микротика, уже хорошо. Теперь осталось дать доступ с сети компьютера из локальной подсети 0. Тут затык пока, т.к. когда добавляю src nat пропадает связь даже с микротика.
Прописал роутинг на 192.168.0.100 через ip выдаваемый сервером 192.168.100.69 пинг пошел с микротика, уже хорошо. Теперь осталось дать доступ с сети компьютера из локальной подсети 0. Тут затык пока, т.к. когда добавляю src nat пропадает связь даже с микротика.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
kudryaviy писал(а):В моем случае проброс не нужен, нужен именно доступ из подсети 0, в подсеть 0. ?
Коли Вам надо делать подстановка(замену) адреса, то её надо делать на том роутере, который и смотрит хотя бы одним интерфейсом
в ту сеть, куда Вам надо попасть. То есть Вам надо НАТить свои приходящие адреса на роутере, который имеет адрес подсети 0,
но у Вас туда нет доступа. А значит так сделать не получится.
НАТ штука хорошая, но если Все делали НАТ за 2-3 роутера до нужного, даже трудно представить что было бы сетями.
-
- Сообщения: 7
- Зарегистрирован: 04 ноя 2017, 19:12
- Откуда: Москва
Не знаю, актуально ли еще, но сделать это очень легко.
Для одного адреса достаточно:
1. Поменять на lan-интерфейсе (в моем примере это bridge-local) режим arp с enabled на proxy-arp
/interface bridge
set bridge-local arp=proxy-arp
2. Добавить маршрут до нужного адреса через ваш pptp-vpn (здесь это pptp-out1)
/ip route
add distance=1 dst-address=192.168.0.100/32 gateway=pptp-out1
Ну и, конечно, в локалке не должно быть узла с адресом 192.168.0.100 и для туннеля должен быть настроен нат (что у вас уже есть, как я понял).
Для одного адреса достаточно:
1. Поменять на lan-интерфейсе (в моем примере это bridge-local) режим arp с enabled на proxy-arp
/interface bridge
set bridge-local arp=proxy-arp
2. Добавить маршрут до нужного адреса через ваш pptp-vpn (здесь это pptp-out1)
/ip route
add distance=1 dst-address=192.168.0.100/32 gateway=pptp-out1
Ну и, конечно, в локалке не должно быть узла с адресом 192.168.0.100 и для туннеля должен быть настроен нат (что у вас уже есть, как я понял).
-
- Сообщения: 7
- Зарегистрирован: 04 ноя 2017, 19:12
- Откуда: Москва
Ну и для всей подсети, а не только для отдельных адресов тоже легко можно настроить доступ - в routeros много инструментов черной магии.
Для этого нам уже не нужен прокси арп, но понадобится двойной нат и policy based routing. В таком общем случае мы можем иметь связь с адресами в удаленной подсети 192.168.0.0/24 которые одновременно назначены и у наших соседей по локалке, чего нельзя сделать при использовании прокси арп.
При обращении из подсети 192.168.0.0/24 в 192.168.0.0/24 узлы не будут отдавать пакеты роутеру, а просто будут арпать адрес назначения. Чтобы это обойти, мы будем обращаться к удаленной подсетке 192.168.0.0/24 по адресам 192.168.20.0/24.
На роутере мы занатим всю подсеть 192.168.20.0/24 в 192.168.0.0/24 одним правилом:
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.20.0/24 to-addresses=192.168.0.0/24
Это правило будет менять адрес назначения 192.168.20.x на эквивалентный 192.168.0.x. Именно для таких целей и был придуман action netmap, использование его для проброса портов признак безграмотности.
Чтобы роутер не начал искать для пакетов идущих в дальнюю подсеть 192.168.0.0/24 адресатов в своей же локалке мы создадим специальную таблицу маршрутизации teleport и будем помечать в Mangle еще не заначеные пакеты в 192.168.20.0/24, чтобы они маршрутизировались по этой таблице:
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=pptp-out1 routing-mark=teleport
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=192.168.20.0/24 new-routing-mark=teleport passthrough=yes
В этом примере опять используется интерфейс pptp-out1, вы должны использовать название своего vpn-интерфейса. Опять же, необходимо. чтобы на выходе из него был настроен src-nat action=mascarade. Прокси arp, повторюсь, настраивать не надо.
Таким образом, при обращении из локалки по адресам 192.168.20.x пакеты будут приходить на роутер, помечаться на роутинг в таблице teleport, в них будет подменяться адрес назначения на 192.168.0.x, они будут маршрутизироваться по таблице teleport, в них будет изменен src-adress на адрес vpn-интерфейса и они будут отправлены vpn-серверу. Кроме, конечно, пакетов на 192.168.20.1, т.к. 192.168.0.1 это local adress и роутер его определит как пакет для себя.
Конфигурация проверена, я проверял работоспособность на практике.
Для этого нам уже не нужен прокси арп, но понадобится двойной нат и policy based routing. В таком общем случае мы можем иметь связь с адресами в удаленной подсети 192.168.0.0/24 которые одновременно назначены и у наших соседей по локалке, чего нельзя сделать при использовании прокси арп.
При обращении из подсети 192.168.0.0/24 в 192.168.0.0/24 узлы не будут отдавать пакеты роутеру, а просто будут арпать адрес назначения. Чтобы это обойти, мы будем обращаться к удаленной подсетке 192.168.0.0/24 по адресам 192.168.20.0/24.
На роутере мы занатим всю подсеть 192.168.20.0/24 в 192.168.0.0/24 одним правилом:
/ip firewall nat
add action=netmap chain=dstnat dst-address=192.168.20.0/24 to-addresses=192.168.0.0/24
Это правило будет менять адрес назначения 192.168.20.x на эквивалентный 192.168.0.x. Именно для таких целей и был придуман action netmap, использование его для проброса портов признак безграмотности.
Чтобы роутер не начал искать для пакетов идущих в дальнюю подсеть 192.168.0.0/24 адресатов в своей же локалке мы создадим специальную таблицу маршрутизации teleport и будем помечать в Mangle еще не заначеные пакеты в 192.168.20.0/24, чтобы они маршрутизировались по этой таблице:
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=pptp-out1 routing-mark=teleport
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=192.168.20.0/24 new-routing-mark=teleport passthrough=yes
В этом примере опять используется интерфейс pptp-out1, вы должны использовать название своего vpn-интерфейса. Опять же, необходимо. чтобы на выходе из него был настроен src-nat action=mascarade. Прокси arp, повторюсь, настраивать не надо.
Таким образом, при обращении из локалки по адресам 192.168.20.x пакеты будут приходить на роутер, помечаться на роутинг в таблице teleport, в них будет подменяться адрес назначения на 192.168.0.x, они будут маршрутизироваться по таблице teleport, в них будет изменен src-adress на адрес vpn-интерфейса и они будут отправлены vpn-серверу. Кроме, конечно, пакетов на 192.168.20.1, т.к. 192.168.0.1 это local adress и роутер его определит как пакет для себя.
Конфигурация проверена, я проверял работоспособность на практике.