не совсем микротик ( PPtP и L2TP) локальная видимость

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

есть роутер микротик (750g3)у него на локальную сеть висит
192.168.0.1/23
на бриже включен ip proxy arp
dhcp pool 192.168.0.10-192.168.0.250
есть пользователь PPtP/l2tp, который нормально соединяется с микротиком. ( проверялось на windows и linux )
если пользователю PPtP задать адрес 192.168.0.2, то он видит только локальные адреса 192.168.0.0/24
если пользователю задать 192.168.1.254, то он видит все /23 локальных адресов.
Как бы сделать так, чтобы пользователь видел всю локальную подеть при выделении адреса из любой ее части ?
/ppp secret
add local-address=192.168.0.1 name=user password=pass profile=default-encryption remote-address=192.168.0.2
можно конечно попробовать запихнуть дополнительный роут в профиль, но это как-то не красиво


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Совет чисто по наитию:

Более полно:
Так как локальная адресация в рамках маски остаётся доступной, даже при поднятом ВПН'е,
то задайте Виндовой машине ДО подключения по ВПН локальный адрес не из сети 192.168.0 и
не из сети 192.168.1, а скажем из 192.168.7.х, и попробуйте уже поднять ВПН-сессию, с адресацией
192.168.0.хх и проверить доступность и 192.168.0 и 192.168.1

Более коротко:
Думаю я (предполагаю) что у Вас нахлёст по сетям (адресации) с локальной адресацией на самом компе.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

Vlad-2 писал(а): 23 янв 2019, 17:35
Более коротко:
Думаю я (предполагаю) что у Вас нахлёст по сетям (адресации) с локальной адресацией на самом компе.
Не тот случай, я исправил для IP для упрощения чтения, да и дома ( откуда тест) 172.17.40.1, а не 192.168.
Ну и видимость не возникла бы при любом раскладе, если бы было пересечение адресаций ::(


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

В конфигурации по умолчанию сделано так -указываем имя пула адресов в Remote Adress
Изображение

Задаем адреса в этом пуле
Изображение


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

Ca6ko писал(а): 23 янв 2019, 23:27 В конфигурации по умолчанию сделано так -указываем имя пула адресов в Remote Adress
не помогает если в pool адреса вбить отдельно которые надо, все равно видно только свой класс С ( /24) ( если шлюз и полученный адрес в одной сети, если не в одной - то расширяется ) при этом проверил, что если взять 172.16 , то видно /16 ..... чудеса.
Пойду побьююсь головой о стенку


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

anad писал(а): 24 янв 2019, 12:02 Пойду побьююсь головой о стенку
Не надо, голова ещё нужна.... :-)

Мож где ошибка, слейте конфиг в блокнот, посмотрите под другим углом,
проверьте маски, и всё всё...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Не пойму что Вы хотите. В конфигурации по умолчанию vpn подсесть натится. Если роутер в /24 сети. То все так и должно быть. Пока то что я понял, Вам нужно сделать /23 сеть и все будут друг друга видеть.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

Ca6ko писал(а): 24 янв 2019, 16:15 Не пойму что Вы хотите. В конфигурации по умолчанию vpn подсесть натится. Если роутер в /24 сети. То все так и должно быть. Пока то что я понял, Вам нужно сделать /23 сеть и все будут друг друга видеть.
есть роутер где
/ip address print where interface~"bri"
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
192.168.174.1/23 192.168.174.0 bridge1
есть три пользователя
/ppp secret print
Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 user01 any X default-... 192.168.175.254
1 user02 any X default-... 192.168.175.253
2 user03 any X default-... 192.168.174.252
бридж описан как
/interface bridge print
Flags: X - disabled, R - running
0 R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1596 arp=proxy-arp arp-timeout=auto mac-address=XXX protocol-mode=rstp
fast-forward=yes igmp-snooping=no auto-mac=no admin-mac=XXXX ageing-time=5m priority=0x8000 max-message-age=20s
forward-delay=15s transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no
есть живой и комп ( его можно пинговать из локала )
/ip arp print where address~"192.168.175.100"
Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published, C - complete
# ADDRESS MAC-ADDRESS INTERFACE
0 DC 192.168.175.100 XXXXXX bridge1

пользователь user03 не может достучаться к этому компу . пользователи user01 и user02 могут, если пользователю user03 выдать адрес из 192.168.175.X то он тоже может, все и всегда видят компы из 192.168.174.0/24
то есть я хочу добиться чтобы область OSI 3 уровня была /23 для всех PPtP клиентов,

Проверено что для случая
192.168.8.1/22 на бридже клиенты видят
192.168.8.2 - /24
192.168.9.2 - /23
192.168.10 и 192.168.11 - /22
Проверено что .
при 172.16.0.1/22 на бридже
клиент c адресом 172.16.0.2 видит все простанство /22
вариант с выделением из IP для VPN клиеинта из пула ничего не меняет


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

А не лучше ли использовать для Вашего VPN-соединения отдельную адресацию ? Дать, например, Микротику pptp-серверу адрес 10.10.10.1, клиенту 10.10.10.2. И отдельно прописать маршруты с обоих сторон в локальный сети клиента и сервера. Новым/другим pptp-клиентам Микротика-сервера отдельные секреты прописывать из сети 10.10.10.0/X Чаще, мне кажется, так делают. Вам же потом легче будет ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить