Страница 1 из 2

туннель внутри сети

Добавлено: 14 окт 2011, 23:56
waxy
Добрый день!

имеются два микротика RB750, на которых DHCP 192.168.88.0/24, раздача инета через рррое-серверы 10.10.0.0/24, т.е. настроены абсолютно идентичны

один из микротиков обслуживает удаленный офис(доступ в инет), однако требуется удаленное администрирование, но сервер для этих целей ставить не планируется, решили локально(вай-фай мост).

т.е. удаленно можно пробросом портов заходить к клиентам и администрировать, но это в случае поднятого на их компа рррое до микротика, т.е. если клиент автоизован, но последнее время часто стало случатся, что сбивается подключение рррое на компе и тамошние пользователи просто не в состоянии даже по телефону настроить его, да и с вирусами иногда проблемы возникают, поэтому нужен локальный доступ до компов.
Возник вопрос как это с маршрутизировать?

сейчас на каждом RB750 инет завден на eth1(рррое-клиент до провайдера), на eth2 DHCP-сервер+РРРОЕ-сервер - раздача адресов локалки и инета..

Допустим на МК1 сделаем DHCP - 192.168.1.0/24, а на МК2 DHCP - 192.168.2.0/24 и соединим МК1 и МК2 вай-фай мостом через eth5 на каждом микротике.

планируется через мост локально подключаться к компам удаленного офиса через программу Team_Viewer, которая при запуске на компе рандомом присваивает адрс этому компу, а на своем компе выбираешь подключится и забиваешь выданной программой адрес удаленного компа, работает как локально, так и через инет....

так вот надо сдеать так, чтобы через этот мост адреса не раздавались DHCP, т.е. микротики не мешали друг другу раздавая адреса, но в то же время через них работала эта программа, которая судя по всему испольтует широковещательные пакеты.
Как это реализовать?

Re: туннель внутри сети

Добавлено: 17 окт 2011, 08:39
iSupport
А не проще сделать впн сервер на удаленном офисе - выдать там подсети кусок (адресов 5..10)

и завести его в бридж с пользователями.

Таким образом, подняв ВПН до микротика вы будете вместе с юзерами

Re: туннель внутри сети

Добавлено: 17 окт 2011, 20:26
waxy
отличная идея!
настраивал РРТР внутри сети, сделать его на внешку нужны какие-то дополнительные правила в файерволе?

я так понял нужен бридж между eth локалки и РРТР-сервером, поднятым во внешку, но не с eth, на котором поднят этот сервер, т.к. иначе из сети провайдера полезут, как это сделать?

Re: туннель внутри сети

Добавлено: 20 окт 2011, 10:30
iSupport
Можно сделать еще 1 РРТР на внешний порт - и просто роутить его к юзерам

Re: туннель внутри сети

Добавлено: 20 окт 2011, 21:56
waxy
клинты получают по DHCP 192.168.88.0/24, поднят РРРОЕ-сервер в сети, клиенты при авторизации получают айпишники из пулов 10.10.1.0/24, 10.10.2.0/24, 10.10.3.0/24....

сейчас у меня поднятно несколько рррое-клиентов до провайдера с постоянными белыми айпишниками, клиенты каждый жестко ходят через свой интерфейс(рррое-клиент)

создал рртр-pool 10.10.0.0/24, поднял рртр-сервер, в secrets создал учетку service=pptp profile=pptp-profile Local Address=10.10.0.1 Remote Address=10.10.2.223(один из пула рррое-сервера локального)

при попытке подключения извне доходит до проверки имени пользователя и пароля, установка связи с микротиком по рртр, затем по L2TP и выдает 800 ошибку.

сделал проброс порта 1723 от внешнего рррое-клиента до 10.10.0.1 1723, но тоже самое отключил...
сделал масгардинг для 10.10.0.0/24

что забыл?

Re: туннель внутри сети

Добавлено: 21 окт 2011, 22:06
waxy
up

Re: туннель внутри сети

Добавлено: 23 окт 2011, 10:45
iSupport
Настраивал на виндовс 7 ???


я тоже мучился, получал не весть какие ошибки ( в том числе как номера телефонов - 8 значные)

Задай на компе тип протокола - РРТР и убери *требовать шифрование*

Re: туннель внутри сети

Добавлено: 25 окт 2011, 19:17
waxy
я рртр создавал до микротика(до этого был локальный рртр на нем поднят), а здесь удаленно, так вот он доходит до проверки имени пользователя и пароля и потом начинает перебирать протоколы и опять 800 ошибка...

1. создал рртр
2. выделил несколько адресов из локального пула микротика, для авторизации из вне

что еще нужно сделать?
может быть какие-то правила дополнительно для входящего рртр(порт 1723) создать?
как для локального делаем маскардинг, то и для входящего рртр из вне что-то аналогичное прописать надо?

Re: туннель внутри сети

Добавлено: 26 окт 2011, 20:37
iSupport
С чегопытаещься коннектиться к микротику???

Если с Вин 7 - посмотри мануал в картинках http://www.ufaman.ru/help/internet/readers/win7.shtml (кстати - это первая ссылка гугл, никакой рекламы =) )

Если после установления РРТР тебе нужен с этого РРТР инет - то сделай для РРТР маскардинг на внешку

Re: туннель внутри сети

Добавлено: 27 окт 2011, 01:02
waxy
я настроил РРТР изначально по дефолту, как в вашей ссылке, только без настроек закладок СВОЙСТВА
у меня винда7 ультимейт, так вот с нее я уже настраивал также подефолту рртр до микротика, на котором был поднят локальный РРТР-сервер(другой микротик) и все подключалось мгновенно...

настроил по вашей ссылке, тперь выдает 807 ошибку с предполагаемой причиной в виртуальной сети...
т.е. теперь даже до проверки логина и пароля не доходит, как с дефолтным РРТР...

из таких "сложных манипуляций" можно наверное сделать вывод, что если настроить по дефолту в винде 7 РРТР, то он будет коннектится к микротику и если проблема наступает уже на стадии проверки имени и пароля, то проблема в настройках микротика, не так ли?

я так подозреваю, что в ip firewall filter rules нужно создать разрешающее правило на входящий РРТР из вне для порта 1723?