Не пингуется локалка через впн

Обсуждение оборудования и его настройки
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Да, а ещё предварительно проверьте, что те устройства, которые "не пингуются", вообще позволяют себя пинговать не из своей подсети.


Telegram: @thexvo
ek-titan
Сообщения: 21
Зарегистрирован: 15 июл 2020, 19:32

Основа:

Код: Выделить всё

# jul/15/2020 23:20:10 by RouterOS 6.47.1
# software id = CPNJ-0P26
#
# model = RB951Ui-2nD
# serial number = B88C0B342F97
/interface bridge
add admin-mac=*mac* auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=20/40mhz-XX country=no_country_set disabled=no distance=indoors frequency=2442 frequency-mode=manual-txpower installation=indoor mode=ap-bridge ssid=bs station-roaming=\
    enabled wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
add address=*внешний ип* interface=ether1 network=46.48.125.72
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=192.168.88.248 client-id=1:40:b0:34:25:79:f1 mac-address=40:B0:34:25:79:F1 server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=*днсы*
/ip dns static
add address=192.168.88.1 name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input dst-port=1723 protocol=tcp
add action=add-src-to-address-list address-list=Hackers address-list-timeout=4w2d chain=input comment=Hackers dst-port=21,22,23,3389 in-interface=ether1 log=yes log-prefix=Attack protocol=tcp
add action=drop chain=input comment=drop_public_dns dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=drop chain=forward comment=Hackers in-interface=ether1 protocol=tcp src-address-list=Hackers
add action=drop chain=input comment=Port_scanner_drop src-address-list=Hackers
add action=add-src-to-address-list address-list=Hackers address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=Hackers address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=Hackers address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=Hackers address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=Hackers address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=Hackers address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=Hackers address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=46.48.125.73
add distance=1 dst-address=192.168.10.0/24 gateway=192.168.2.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24,192.168.10.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.88.0/24,192.168.10.0/24
set api-ssl disabled=yes
/ppp secret
add local-address=192.168.2.1 name=bs remote-address=192.168.2.2 service=pptp
/system clock
set time-zone-name=Asia/Yekaterinburg
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Склад:

Код: Выделить всё

# jul/15/2020 23:25:28 by RouterOS 6.47.1
# software id = 71V6-NUZ1
#
# model = RB941-2nD
# serial number = A1C30B09E6A9
/interface bridge
add admin-mac=*мак* auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge ssid=MikroTik wireless-protocol=802.11
/interface pptp-client
add connect-to=*внешний ип* disabled=no keepalive-timeout=disabled name=pptp-out1 user=*юзер*
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=yes user=*юзер*
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.10.10-192.168.10.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=pwr-line1
add bridge=bridge comment=defconf interface=*1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
/interface pptp-server server
set enabled=no
/ip address
add address=192.168.10.1/24 comment=defconf interface=ether2 network=192.168.10.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.10.0/24 comment=defconf gateway=192.168.10.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.10.1 name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input dst-port=8291 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 dst-address=192.168.88.0/24 gateway=192.168.2.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=81
set ssh disabled=yes
set api disabled=yes
set winbox address=*ипы для удаленного доступа*
set api-ssl disabled=yes
/ppp secret
add local-address=192.168.10.1 name=*юзер* remote-address=192.168.10.2 service=pptp
/system clock
set time-zone-name=Asia/Yekaterinburg
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Код: Выделить всё

/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0

/ip address
add address=192.168.10.1/24 comment=defconf interface=ether2 network=192.168.10.0
На обоих машинах локальные адреса назначены на ether2 вместо bridge - так не должно быть.
А в остальном все в конфигах нормально.


Telegram: @thexvo
ek-titan
Сообщения: 21
Зарегистрирован: 15 июл 2020, 19:32

Поправил, но остальное все так и не изменилось.
Для теста пробовал поднять на стороне склада впнку и подключиться с компа - все отлично. Может это как то поможет)


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В случае с компом, вы, я так понимаю, его виртуально пихаете его в ту же подсеть.

В конфигах я в упор больше никаких косяков не вижу.
Так что проверяйте устройства которые пытаетесь пинговать - не запущен ли на них свой firewall.


Telegram: @thexvo
ek-titan
Сообщения: 21
Зарегистрирован: 15 июл 2020, 19:32

Пробую пинговать видеорегистратор - там уж точно не должно быть никакого фаерволла)
Безуспешно


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Попробуйте попинговать этот регистратор с его же роутера (который "склад"), но указав на вкладке advanced какой-то другой из адресов роутера, не тот который смотрит в локалку.

Попробуйте попинговать с офисного роутера.

Потом можно добавить в firewall на каждом из микротиков по правилу, отлавливающему пакеты из 192.168.88.0/24 до 192.168.10.0/24 с log=yes, и соотвественно для обратных пакетов тоже - хотя бы понять на каком этапе пакет теряется.


Telegram: @thexvo
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ek-titan писал(а): 15 июл 2020, 21:59 Пробую пинговать видеорегистратор - там уж точно не должно быть никакого фаерволла)
Безуспешно
А пингуете Вы откуда сами?
Если с роутера тоже не совсем для теста правильно.

Надо с офиса, сидя за компом пинговать второй комп во втором офисе(в складе).
(поставить пинг на постоянку) И открывать файрвол, зайти в закладку Conections
и там отсортировав, поискать Ваш пинг, исходящий адрес и адрес куда Вы пингуете.

Сделать надо и на ближайшем Вам роутере (так Вы проверите что Вы идёте с нужным SRC
адресом компа) и на том роутере, что там пакет доходит в не изменённом ввиде.

P.S.
Ещё сделайте с роутеров трассировку, но поиграйтесь с ней, попробуйте явно выбирать
интерфейс, исходящий адрес, или наоборот, не выбирать.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ek-titan
Сообщения: 21
Зарегистрирован: 15 июл 2020, 19:32

Vlad-2 писал(а): 16 июл 2020, 04:39
ek-titan писал(а): 15 июл 2020, 21:59 Пробую пинговать видеорегистратор - там уж точно не должно быть никакого фаерволла)
Безуспешно
А пингуете Вы откуда сами?
Если с роутера тоже не совсем для теста правильно.

Надо с офиса, сидя за компом пинговать второй комп во втором офисе(в складе).
(поставить пинг на постоянку) И открывать файрвол, зайти в закладку Conections
и там отсортировав, поискать Ваш пинг, исходящий адрес и адрес куда Вы пингуете.

Сделать надо и на ближайшем Вам роутере (так Вы проверите что Вы идёте с нужным SRC
адресом компа) и на том роутере, что там пакет доходит в не изменённом ввиде.

P.S.
Ещё сделайте с роутеров трассировку, но поиграйтесь с ней, попробуйте явно выбирать
интерфейс, исходящий адрес, или наоборот, не выбирать.
Итак, по порядку:
Запустил пинги с компа (192.168.88.150) основного офиса, с обоих роутеров зашел в Connections, картина такая:
Изображение
Слева - локальный, справа - складской

Запустил пинги с роутера основного офиса:
Изображение
Так же, слева - локальный, справа - складской

Пробую пинговать со складского роутера - пинги идут.
Пинги с основного роутера уже не идут.
Пинги с компа с основного офиса не идут так же.

При трассировке с основного микрота, не выбирая интерфейс, все упирается в 192.168.2.2 (айпишник складского роутера)
Если выбираю интерфейс pptp - все точно так же, по остальным интерфейсам сразу же пишет тайм аут. Тут вроде бы все правильно.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

xvo писал(а): 16 июл 2020, 00:07 Попробуйте попинговать этот регистратор с его же роутера (который "склад"), но указав на вкладке advanced какой-то другой из адресов роутера, не тот который смотрит в локалку.
Вы вот это попробовали?


Telegram: @thexvo
Ответить