в VPN видны только компьютера с доступом к инету.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
polparker82
Сообщения: 14
Зарегистрирован: 26 июн 2017, 15:49

Такая ситуация:
на микротике поднят ВПН сервер РРТР.
Но я вижу исключительно те компьютера которые имеют доступ к интернету.
Подскажите где искать?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

В микротике искать, а если самостоятельно не получается найти, то тогда хотя бы шапку раздела прочитать, особенно пункт 5 и 6, иначе мы тут только гадать и ванговать можем.
З.Ы. Хотя, есть подозрение, раз у вас есть хосты которым вы зарезали интернет, то скорее всего именно это правило вам и мешает. Но это все догадки без конфига и схемы.


polparker82
Сообщения: 14
Зарегистрирован: 26 июн 2017, 15:49

KARaS'b писал(а):В микротике искать, а если самостоятельно не получается найти, то тогда хотя бы шапку раздела прочитать, особенно пункт 5 и 6, иначе мы тут только гадать и ванговать можем.
З.Ы. Хотя, есть подозрение, раз у вас есть хосты которым вы зарезали интернет, то скорее всего именно это правило вам и мешает. Но это все догадки без конфига и схемы.

Извините, думал может что не сложное.

 "Спойлер вставился"
# dec/25/2017 10:19:49 by RouterOS 6.40.4
# software id = GYWQ-IC55
#
# model = 951Ui-2HnD
# serial number = 643106A9D49C
/interface bridge
add admin-mac=6C:3B:6B:4F:0C:BB arp=proxy-arp auto-mac=no comment=LAN1 \
fast-forward=no name=bridge
add arp=reply-only fast-forward=no name=bridge-free-wifi
add comment=LAN2 fast-forward=no name=bridge2
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] comment=LAN2
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
comment=WI-FI country=ukraine default-authentication=no disabled=no \
distance=indoors frequency=2417 mode=ap-bridge ssid="" \
wireless-protocol=802.11
/interface wireless manual-tx-power-table
set wlan1 comment=WI-FI
/ip neighbor discovery
set ether1 discover=no
/interface wireless nstreme
set wlan1 comment=WI-FI
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=\
allowed name=Free_WiFi supplicant-identity=""
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=6E:3B:6B:4F:0C:BF \
master-interface=wlan1 multicast-buffering=disabled name=wlan2 \
security-profile=Free_WiFi ssid=Free_WiFi vlan-id=10 wds-cost-range=0 \
wds-default-cost=0
/ip pool
add name=dhcp ranges=192.168.1.2-192.168.1.85
add name=Free_WiFi ranges=10.1.1.2-10.1.1.100
add name=LAN2 ranges=10.10.10.5-10.10.10.100
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
bridge name=LAN1_defconf
add add-arp=yes address-pool=Free_WiFi authoritative=after-2sec-delay disabled=\
no interface=bridge-free-wifi name=DHCP_Free_Wifi
add address-pool=LAN2 authoritative=after-2sec-delay disabled=no interface=\
bridge2 name=LAN2_DHCP
/queue simple
add max-limit=30M/30M name=Free_WiFI_Limit target=bridge-free-wifi
/queue type
add kind=pcq name=razor_download_10Mb pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-rate=10M pcq-src-address6-mask=64
add kind=pcq name=razor_upload_10Mb pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-rate=10M pcq-src-address6-mask=64
/queue simple
add disabled=yes max-limit=10M/10M name=razor_10Mb queue=\
razor_upload_10Mb/razor_download_10Mb target=192.168.1.0/24
/snmp community
set [ find default=yes ] addresses=192.168.1.0/24
/interface bridge port
add bridge=bridge comment=LAN1 interface=ether2-master
add bridge=bridge comment=Wi-Fi interface=wlan1
add bridge=bridge-free-wifi comment=Free_WiFi interface=wlan2
add bridge=bridge2 comment=LAN2 interface=ether5
/interface l2tp-server server
set ipsec-secret=*** use-ipsec=yes
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption
/interface wireless access-list
add comment=MyPhone interface=wlan1 mac-address=00:08:22:02:63:FF vlan-mode=\
no-tag
/ip accounting
set enabled=yes threshold=1600
/ip accounting web-access
set accessible-via-web=yes address=192.168.1.80/32
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2-master network=\
192.168.1.0
add address=10.1.1.1/24 comment=Free_WiFi interface=wlan2 network=10.1.1.0
add address=10.10.10.1/24 comment=LAN2 interface=bridge2 network=10.10.10.0
/ip arp
add address=192.168.1.80 comment= interface=bridge mac-address=\
D0:50:99:9B:6E:8E
add address=192.168.1.53 comment= interface=bridge mac-address=\
24:0A:64:87:97:43
add address=192.168.1.55 comment= interface=bridge mac-address=\
70:4D:7B:25:4D:9E
add address=192.168.1.66 comment= interface=bridge mac-address=\
D0:50:99:9B:2B:E9
add address=192.168.1.74 comment= interface=bridge mac-address=\
30:85:A9:97:16:E4


/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.1.14 always-broadcast=yes client-id=1:84:16:f9:53:89:27 \
comment= mac-address=84:16:F9:53:89:27 server=\
LAN1_defconf
add address=192.168.1.19 always-broadcast=yes comment= mac-address=\
14:BD:61:BA:B0:23 server=LAN1_defconf
add address=192.168.1.20 comment= mac-address=AC:C1:EE:5D:D6:E1 \
server=LAN1_defconf
add address=192.168.1.52 comment= mac-address=\
94:E9:79:27:E9:1D server=LAN1_defconf
add address=192.168.1.13 always-broadcast=yes client-id=1:90:3c:92:e5:4:f3 \
comment= mac-address=90:3C:92:E5:04:F3 server=LAN1_defconf
add address=192.168.1.51 comment= mac-address=24:FD:52:0D:08:A8 \
server=LAN1_defconf
add address=192.168.1.11 comment= mac-address=00:08:22:02:63:FF server=\
LAN1_defconf
/ip dhcp-server network
add address=10.1.1.0/24 comment=Free_WiFi dns-server=10.1.1.1,8.8.8.8 gateway=\
10.1.1.1 netmask=24
add address=10.10.10.0/24 comment=LAN2 gateway=10.10.10.1 netmask=24
add address=192.168.1.0/24 comment=LAN1_defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=10.10.10.1 name=router
add address=192.168.1.1 disabled=yes name=time.windows.com
/ip firewall address-list
add address=192.168.1.200 comment= list=InetAlow
add address=192.168.1.80 comment= list=InetAlow
add address=192.168.1.52 comment= list=InetAlow
add address=192.168.1.53 comment= list=InetAlow
add address=192.168.1.64 comment= list=InetAlow
add address=192.168.1.55 comment= list=InetAlow



/ip firewall filter
add action=accept chain=input comment="GRE" protocol=gre
add action=accept chain=input comment=SNTP in-interface=ether1 protocol=udp \
src-port=123
add action=accept chain=forward comment="Address List -> InetAlow" \
src-address-list=InetAlow
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="allow l2tp" disabled=yes dst-port=1701 \
protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 log=yes \
log-prefix=pptp_ protocol=tcp
add action=accept chain=input comment="allow sstp" disabled=yes dst-port=443 \
protocol=tcp
add action=drop chain=forward comment=drop_ALL_ src-address=192.168.1.0/24
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=input comment="defconf: accept establieshed,related" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1
add action=masquerade chain=srcnat comment=LAN2 out-interface=ether1 \
src-address=10.10.10.0/24


/ip route rule
add action=unreachable comment="free wifi on mikrotik" dst-address=\
192.168.1.0/24 src-address=10.1.1.0/24
add action=unreachable dst-address=10.1.1.0/24 src-address=192.168.1.0/24
add action=unreachable comment=LAN2 dst-address=10.10.10.0/24 src-address=\
192.168.1.0/24
add action=unreachable dst-address=192.168.1.0/24 src-address=10.10.10.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/ip traffic-flow
set enabled=yes
/ip traffic-flow target
add dst-address=192.168.1.80 port=9996 version=5
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge type=internal
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=*6
/ppp secret
add local-address=10.10.1.1 name=**** password=*** \
remote-address=10.10.1.2 service=pptp
add local-address=10.10.1.1 name=**** password=*** remote-address=\
10.10.1.3 service=pptp
/snmp
set enabled=yes location=br trap-version=2
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Kiev
/system identity
set name=
/system leds
set 5 interface=wlan1
/system logging
set 0 action=disk
set 1 action=disk
set 2 action=disk
set 3 action=disk
/system ntp client
set enabled=yes primary-ntp=62.149.0.30 secondary-ntp=194.54.80.29
/system ntp server
set enabled=yes multicast=yes
/tool graphing interface
add allow-address=192.168.1.0/24
/tool graphing queue
add allow-address=192.168.1.0/24
/tool graphing resource
add allow-address=192.168.1.0/24
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


polparker82
Сообщения: 14
Зарегистрирован: 26 июн 2017, 15:49

я понимаю, что инет обрубает правило в фарволе

Код: Выделить всё

/ip firewall address-list
add address=192.168.1.200 comment= list=InetAlow
add address=192.168.1.80 comment= list=InetAlow
...
add action=accept chain=forward comment="Address List -> InetAlow" \
src-address-list=InetAlow
...
add action=drop chain=forward comment=drop_ALL_ src-address=192.168.1.0/24
...

Но может есть возможность как то и отрубить инет и иметь к ним доступ через ВПН?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Вот ваша беда

Код: Выделить всё

add action=drop chain=forward comment=drop_ALL_ src-address=192.168.1.0/24

Этим правилом вы рубите весь проходящий через микротик трафик с адресов 192.168.1.0/24 не включенных в адрес лист InetAlow, без определения куда ему нельзя проходить. Укажите в нем явно внешний интерфейс и трафик не будет ходить в интернет, а все остальное, в том числе и тоннели, это правило не затронет.


polparker82
Сообщения: 14
Зарегистрирован: 26 июн 2017, 15:49

KARaS'b писал(а):Вот ваша беда

Код: Выделить всё

add action=drop chain=forward comment=drop_ALL_ src-address=192.168.1.0/24

Этим правилом вы рубите весь проходящий через микротик трафик с адресов 192.168.1.0/24 не включенных в адрес лист InetAlow, без определения куда ему нельзя проходить. Укажите в нем явно внешний интерфейс и трафик не будет ходить в интернет, а все остальное, в том числе и тоннели, это правило не затронет.

Премного Вам благодарен.


Ответить