PPTP-туннель

Обсуждение оборудования и его настройки
HitWork
Сообщения: 7
Зарегистрирован: 24 янв 2014, 13:11

Всем доброго дня!
Ситуация такая: нужно поднять PPTP (или OpenVPN, это не так важно) к серверу для шифрования данных. То есть не к серверам провайдера для получения интернета по PPTP, а в моем случае к HideMyAss.
Есть 2 роутера последовательно подключенных друг к друга (я понимаю, что MikroTik позволяет не изобретать велосипед с двумя роутерами, но давайте рассмотрим такую ситуацию :)). Первый роутер D-Link, в него идет кабель от провайдера, второй - MikroTik, вот на нем и хочу поднять PPTP для анонимности. Делаю все по инструкции на сайте hidemyass, так как учетка куплена у них - https://support.hidemyass.com/entries/25051761-Mikrotik-router-PPTP-and-L2TP-setup.
После окончания настройки, я вижу, что созданное PPTP - Connected, но интернет после этого пропадает. При попытке сделать tracert из cmd, все останавливается еще на первом шаге, то есть на роутере MikroTik (то есть к нему есть пинг), а вот начиная со второго шага и дальше - все "Превышен интервал ожидания". Если я делаю tracert из winbox-a, то он отлично проходит, то почему-то ни на одном из шагов там нет адреса нужно мне PPTP-сервера.
Интернет пропадает после создания правила в Mangle, или же после следующего шага по инструкции: создание правила в Routes. Потому что для того, чтобы появился хотя бы интернет я отключаю в Mangle созданное правило. Создавал - все как написано по ссылке.
Посмотрите, пожалуйста, эту инструкцию и скажите, что в ней не так.
Обращался к hidemyass по поводу их инструкции, но по Teamviewer их сотрудник из Техподдержки по роутерам вроде сам не особо разбирается как я понял, и он решить проблему не смог.
Если надо приложить какие-то скрины или supout.rif - сделаю.

Конфигурация (там где идет mangle: disabled=yes, это я отключил перед тем как выгружал конфигурацию, чтобы был интернет)
admin@MikroTik] > /export compact
# jan/01/2002 03:39:49 by RouterOS 6.7
# software id = Z8PG-YHRV
#
/interface bridge
add admin-mac=D4:CA:6D:B2:91:4B auto-mac=no l2mtu=1598 name=bridge-local \
protocol-mode=rstp
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=\
ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=\
ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=\
ether5-slave-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=\
20/40mhz-ht-above disabled=no distance=indoors l2mtu=2290 mode=ap-bridge \
ssid=MikroTik-B2914F
/interface pptp-client
add add-default-route=yes connect-to=37.46.115.4 dial-on-demand=yes disabled=\
no max-mru=1400 max-mtu=1400 name="HMA PPTP" password=UkM2mtoo user=\
Naikiss
/ip neighbor discovery
set ether1-gateway discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys wpa-pre-shared-key=43CE02811F52 wpa2-pre-shared-key=\
43CE02811F52
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=default
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=\
bridge-local network=192.168.88.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=\
no interface=ether1-gateway
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=208.67.222.222,208.67.220.220
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
ether1-gateway
add chain=forward comment="default configuration" connection-state=\
established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
connection-state=invalid
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
"PPTP RM" src-address=!192.168.88.2-192.168.88.254
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface="!HMA PPTP"
/ip route
add distance=1 gateway="HMA PPTP" routing-mark="PPTP RM"
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set "HMA PPTP" disabled=yes display-time=5s
set bridge-local disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set ether1-gateway disabled=yes display-time=5s
set ether2-master-local disabled=yes display-time=5s
set ether3-slave-local disabled=yes display-time=5s
set ether4-slave-local disabled=yes display-time=5s
set ether5-slave-local disabled=yes display-time=5s
/system leds
set 0 interface=wlan1
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local


Всем спасибо за помощь.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Так а что надо то по итогу? Пустить трафик через хайдме ?


Есть интересная задача и бюджет? http://mikrotik.site
HitWork
Сообщения: 7
Зарегистрирован: 24 янв 2014, 13:11

vqd писал(а):Так а что надо то по итогу? Пустить трафик через хайдме ?

Ну да, надо чтобы весь трафик шел через них.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Два варианта

1. Поднимаете тоннель до хайдме (галка дефаулт роут не стоит)
2. Делаете маркированный маршрут типа 0.0.0.0/0 gateway=ppptp-out dist=1 routemark=HideMe
3. Создаете манагл где нужную вам сеть заруливаете в этот маршрут на прероутинге

второй вариант от противного. Через /ip route rules заруливаете трафик до ВПН сервера через вашего провайдера (разумеется предварительно создав маршрут), и ставите галку дефаулт роуте в вашем ПППтП тоннеле.

Тогда служебный трафик для поддержания тоннеля пойдет через провайдера, а весь остальной через тоннель

Ну и в НАТ соответствующее правило...


Есть интересная задача и бюджет? http://mikrotik.site
HitWork
Сообщения: 7
Зарегистрирован: 24 янв 2014, 13:11

vqd писал(а):Два варианта

1. Поднимаете тоннель до хайдме (галка дефаулт роут не стоит)
2. Делаете маркированный маршрут типа 0.0.0.0/0 gateway=ppptp-out dist=1 routemark=HideMe
3. Создаете манагл где нужную вам сеть заруливаете в этот маршрут на прероутинге

второй вариант от противного. Через /ip route rules заруливаете трафик до ВПН сервера через вашего провайдера (разумеется предварительно создав маршрут), и ставите галку дефаулт роуте в вашем ПППтП тоннеле.

Тогда служебный трафик для поддержания тоннеля пойдет через провайдера, а весь остальной через тоннель

Ну и в НАТ соответствующее правило...

По первому варианту: в принципе это как раз и описано по ссылке, единственное там сказано default route ставить галку. Но ни в первом случае ни во втором нужного эффекта нет.

А по второму варианту: может могли бы пошагово написать? Потому что из написанного у меня складывается ощущение, что это одно и то же :smu:sche_nie:


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Да к стати, зря вы в названиях и марках пробелы то используете )))

Для проверки. Поднимите ваш тоннель и через него пустите пинг наружу

ping 8.8.8.8 interface= routing-table=

Если пинг через маршрут пойдет значит будем манагл крутить, если нет то значит надо тоннель ковырять


Есть интересная задача и бюджет? http://mikrotik.site
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ping 8.8.8.8 interface=ИМЯ_ВАШЕГО_ПППТП routing-table=МАРК_В_ТАБЛИЦЕ_на_ППТП


Есть интересная задача и бюджет? http://mikrotik.site
HitWork
Сообщения: 7
Зарегистрирован: 24 янв 2014, 13:11

vqd писал(а):ping 8.8.8.8 interface=ИМЯ_ВАШЕГО_ПППТП routing-table=МАРК_В_ТАБЛИЦЕ_на_ППТП

Спасибо, в принципе так и делал.

Вроде все проходит
HOST SIZE TTL TIME STATUS
[admin@MikroTik] > ping 8.8.8.8 interface=HMA_PPTP routing-table=PPTPRM
HOST SIZE TTL TIME STATUS
8.8.8.8 56 50 123ms
8.8.8.8 56 50 117ms
8.8.8.8 56 50 115ms
8.8.8.8 56 50 136ms
8.8.8.8 56 50 126ms
8.8.8.8 56 50 116ms
8.8.8.8 56 50 116ms
8.8.8.8 56 48 125ms
8.8.8.8 56 50 116ms
8.8.8.8 56 50 116ms
8.8.8.8 56 50 135ms
8.8.8.8 56 50 116ms
8.8.8.8 56 50 116ms
8.8.8.8 56 50 125ms
8.8.8.8 56 50 116ms
8.8.8.8 56 50 126ms
8.8.8.8 56 48 126ms
8.8.8.8 56 50 117ms
8.8.8.8 56 50 126ms
8.8.8.8 56 50 146ms
sent=20 received=20 packet-loss=0% min-rtt=115ms avg-rtt=122ms max-rtt=146ms


PS Пробелы поубирал в названиях :)


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

конфиг с выложите еще раз


Есть интересная задача и бюджет? http://mikrotik.site
HitWork
Сообщения: 7
Зарегистрирован: 24 янв 2014, 13:11

 конфиг
[admin@MikroTik] > /export compact
# jan/01/2002 09:04:30 by RouterOS 6.7
# software id = Z8PG-YHRV
#
/interface bridge
add admin-mac=D4:CA:6D:B2:91:4B auto-mac=no l2mtu=1598 name=bridge-local \
protocol-mode=rstp
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=\
ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=\
ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=\
ether5-slave-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=\
20/40mhz-ht-above disabled=no distance=indoors l2mtu=2290 mode=ap-bridge \
ssid=MikroTik-B2914F
/interface pptp-client
add add-default-route=yes connect-to=37.46.115.4 dial-on-demand=yes disabled=\
no max-mru=1400 max-mtu=1400 name=HMA_PPTP password=UkM2mtoo user=Naikiss
/ip neighbor discovery
set ether1-gateway discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys wpa-pre-shared-key=43CE02811F52 wpa2-pre-shared-key=\
43CE02811F52
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=default
/port
set 0 baud-rate=9600 data-bits=8 flow-control=none name=usb1 parity=none \
stop-bits=1
/interface ppp-client
add apn=internet.mts.by name=MTS.BY password=mts port=usb1 user=mts
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=wlan1 \
network=192.168.88.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=\
no interface=ether1-gateway use-peer-dns=no
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=208.67.222.222,208.67.220.220
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
ether1-gateway
add chain=forward comment="default configuration" connection-state=\
established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
connection-state=invalid
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=PPTPRM src-address=\
!192.168.88.2-192.168.88.254
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=!HMA_PPTP
/ip route
add distance=1 gateway=HMA_PPTP routing-mark=PPTPRM
add disabled=yes distance=1 dst-address=37.46.115.4/32 gateway=ether1-gateway
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set HMA_PPTP disabled=yes display-time=5s
set MTS.BY disabled=yes display-time=5s
set bridge-local disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set ether1-gateway disabled=yes display-time=5s
set ether2-master-local disabled=yes display-time=5s
set ether3-slave-local disabled=yes display-time=5s
set ether4-slave-local disabled=yes display-time=5s
set ether5-slave-local disabled=yes display-time=5s
/system leds
set 0 interface=wlan1
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local


Ответить