Не удается поднять VPN сервер

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там export. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
pervomi
Сообщения: 0
Зарегистрирован: 10 дек 2017, 13:33

14 дек 2017, 20:06

Доброго времени суток.
Помогите разобраться с проблемой. Не могу поднять сервер vpn на Микротик. Пробовал и L2TP и PPTP сервера - безрезультатно. Клиент VPN отвечает: "Сервер не доступен". Пинги к микроту приходят. Настройки адреса сервера на клиентах правильные проверено не раз. Не могу понять получает микротик запросы от клиентов или не отвечает на них. Пробовал подключаться без правил в фаерволе результат тот же. Профиль, пользователь созданы. Сервер включен.
Модель устройства 951Ui-2nD версия ROS 6.40.3
Вот настройки фаервола:
 
0 ;;; vpn
chain=input action=accept protocol=tcp connection-type=pptp dst-port=1723 log=yes log-prefix="VPN2"

1 chain=input action=accept protocol=icmp

2 chain=forward action=accept protocol=icmp

3 chain=input action=drop protocol=udp in-interface=ether1 dst-port=53,8291 log=no log-prefix=""

4 ;;;
chain=input action=drop connection-state=invalid log=no log-prefix=""

5 ;;;
chain=input action=accept connection-state=related log=no log-prefix=""

6 ;;;
chain=input action=accept connection-state=established log=no log-prefix=""
Подскажите куда копать?

7 ;;;
chain=input action=drop in-interface=ether1 log=no log-prefix=""


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1087
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

14 дек 2017, 21:49

Ну просто нет слов...хочется сругануться...
Вы показали 7 правил файрвола, а вопрос касается ВПН,
значит я наивно ждал увидеть под сполером хотя бы
какие то настройки ВПН, а где они?

Нужно:
1) правила файрвола отключить и попробовать.
2) показать конфиг (как - читаем 5й пункт выше красным)
3) описать свою ситуацию, куда воткнут провайдер, тип подключения, адресация и так далее...


На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
pervomi
Сообщения: 0
Зарегистрирован: 10 дек 2017, 13:33

14 дек 2017, 22:51

1) Да отключал. Об этом я еще в первом посте писал.
2) Вот конфиг:
 
export
# dec/14/2017 22:19:48 by RouterOS 6.40.3
# software id = 5J44-GVJY
#
# model = 951Ui-2nD
# serial number = 7C2607595914
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full comment=WAN mac-address=**** rx-flow-control=\
auto tx-flow-control=auto
set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full
set [ find default-name=ether4 ] comment=IPTV master-port=ether1
/interface pptp-server
add name=pptp-in1 user=****
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name=Home supplicant-identity="" \
wpa2-pre-shared-key=****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors frequency=2447 mode=ap-bridge security-profile=Home ssid=home \
tx-power=7 tx-power-mode=all-rates-fixed
add keepalive-frames=disabled mac-address=66:D1:54:47:A4:61 master-interface=wlan1 multicast-buffering=disabled name=Guest ssid=Guest \
wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=LAN ranges=192.168.*.2-192.168.*.11
/ip dhcp-server
add address-pool=LAN disabled=no interface=bridge1 lease-time=1h name=LAN
/port
set 0 baud-rate=9600 data-bits=8 flow-control=none name=usb1 parity=none stop-bits=1
set 1 baud-rate=9600 data-bits=8 flow-control=none name=usb2 parity=none stop-bits=1
set 2 baud-rate=9600 data-bits=8 flow-control=none name=usb3 parity=none stop-bits=1
/ppp profile
add change-tcp-mss=yes local-address=192.168.10.11 name=profile1 remote-address=VPN-pool use-compression=no use-encryption=yes use-mpls=yes
set *FFFFFFFE use-compression=yes
/queue simple
add max-limit=1M/1M name=Guest target=Guest
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether5
/ip settings
set allow-fast-path=no
/interface l2tp-server server
set ipsec-secret=****

3) Я извеняюсь, но я же в первом посте писал о проблеме. То ли микротик не отвечает на запросы, то ли запросы к нему не приходят. Я склонен думать, что первый вариант.
Кабель провайдера подключается к первому порту (ether1). Провайдер билайн, технология подключения IPoE. Адресация примитивная. dhcp клиент - получает адрес от провайдера. Локальная сеть с своим DHCP сервером. Между ними настроен NAT. Сети типа - 192.168.10.* использую как тестовые.
С данным девайсом недавно стал заниматься, поэтому конфигурация минимальная. Дефолтные настройки не применял. Настраивал с нуля.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1087
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

15 дек 2017, 04:28

1) я не увидел адреса локального микротика, который необходимо задать бриджу?
2) Вы не до конца (не полностью) настроили DHCP сервер (так же не указано какую сеть анонсировать,
шлюз, маску, домен и так далее).
3) При создании ВПН подключения - лучше использовать отдельную сеть (адресацию) относительно
локальной адресации. Грубо говоря у Вас должна быть локальная сеть и ВПН-овская сеть.
4) настройка ВПН профиля = зачем Вы включили MPLS ? А шифрование я бы поставил по запросу лишь
5) Не совсем понятно что за конфигурации с USB портами сделаны?
6) маленький совет: на счёт вифи - ну зачем Вы все band'ы юзаете, оставьте N-only, надо будет
измените...не надо старые протоколы которые отбирают скорость = их использовать.
7) НАТа я не увидел, но с натом часто делают его всё для всех, сложно сейчас что-то
посоветовать явное и однозначное, я всё же часто рекомендую оформлять свои локальные сети
в виде адрес-листа, и только этому адрес-листу явно через явно указанный внешний интерфейс и выходить.
Это ещё и обезопасит в целом.

НУ и главный совет:
попробуйте даже будучи в локальной сети, с компа подключиться на роутер по ВПН-протоколам и посмотреть
Если с локальной сети заработает, то уже часть задачи понятно будет, что проблема либо со стороны провайдера,
либо файрвол, либо ещё что-то связанно с внешкой.
Опять же, я просил уточнить тип подключения, я по конфигу понял что статика, но другой вопрос: адрес реальный или
нет????


На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
pervomi
Сообщения: 0
Зарегистрирован: 10 дек 2017, 13:33

15 дек 2017, 19:25

Доброго времени суторк.
1 и 2) Все эти параметры настроены настроены. Похоже в export не вошли. По работе DHCP в локальной сети нареканий нет, все работает четко. Вот параметры адресации:
 
/ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.*.1/28 192.168.*.0 bridge1
1 X 192.168.10.9/29 192.168.10.8 Guest - это для тестов сеть
2 X 192.168.0.1/24 192.168.0.0 *D
3 D 37.144.*.*/21 37.144.*.0 ether1

/ip dns> print
servers: 77.88.8.8,198.153.192.40
dynamic-servers: 85.21.192.5,213.234.192.7
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 224KiB


3) Это я уже пробовал. И в своей сети адреса назначал, и в тестовой даже пул адресов настраивал. По идеи клиент при подключении сообщил бы о ошибке получения адреса, а тут жалуется что сервер не доступен.
4) Поправил как рекомендовали. Настройку смотрел с разных сайтов, тестировал.
5)usb-модемы подключал. Не обращайте внимание.
6)Использую старый ноутбук, он только по b может работать.
7)В данный момент скорее всего стоит все для всех. С микротиком пока на Вы))). Поэтому точно не скажу. Вот единственное правило NAT:
 
0 chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

Буду благодарен за любые статьи по настройке NAT.

Выполнил Ваши рекомендации вот результат:
1) Из локалки VPN подымается.
2)Из внешки подымается при следующих условиях:
-если отключено правило NAT,
-если отключено последнее правило Firewall.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1087
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Камчатка
Контактная информация:

16 дек 2017, 05:52

pervomi писал(а):Доброго времени суторк.
1 и 2) Все эти параметры настроены настроены. Похоже в export не вошли. По работе DHCP в локальной сети нареканий нет, все работает четко. Вот параметры адресации:

Я имел ввиду другие данные, а именно примерно такова вида:

Код: Выделить всё

/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24 ntp-server=192.168.1.1
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1 netmask=24 ntp-server=192.168.2.1

pervomi писал(а):Вот единственное правило NAT:
 
0 chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""

Буду благодарен за любые статьи по настройке NAT.

На будущее, лучше описать свои сети в виде адрес-листа(переменной) и уже
этой переменной только и разрешать работать в НАТ
Пример (тут НАТ разрешён адрес-листу LocalNet):

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=LocalNet

pervomi писал(а):Выполнил Ваши рекомендации вот результат:
1) Из локалки VPN подымается.
2)Из внешки подымается при следующих условиях:
-если отключено правило NAT,

А это в целом странно, НАТ поднятию ВПНа не должен мешать.
pervomi писал(а):-если отключено последнее правило Firewall.

Берём Ваше правило последнее:

Код: Выделить всё

7 ;;; 
chain=input action=drop in-interface=ether1 log=no log-prefix=""

И что тут мы видим:
убивать всё что пришло на роутер, ну и как Вы думаете, будет что-то работать?
Сначала "открывают" двери для хороших, то есть открываем для L2TP или для PPTP
протоколов и открываем лучше не по сервису, а по номерам портов,
(то есть разрешаем порты 1701,1723, ну и ещё ряд).
Поэтому правило №7 очень жестокое, и оно более-менее может быть внизу,
лишь предварительно описав явные разрешения.
И опять же, подтверждается мой тезис с прошлого сообщения:
если с локалки работает ВПН, то проблема, и я там
перечислял, в том числе и файрвол...вот и нашли проблему.


На работе(ах): 2xCCR1016-12G, 2xRB3011UiAS и hAP lite
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов: hAP mini и что-то ещё по мелочи
MTCNA
MTCRE
Ответить