RB951G-2HnD непонятки vpn с шифрованием

Обсуждение оборудования и его настройки
djonnyk
Сообщения: 7
Зарегистрирован: 15 мар 2016, 15:56

Здравствуйте уважаемые участники форума.
Прошу помочь и дать дельный совет
Когда-то была поставлена задача настроить микротик с шифрованием, чтобы удаленный пользователь мог подключаться к нему для доступа к локалке из вне. Задача была сделала одной из известных статей в поисковике. Всё прекрасно работало, пока начальство не поставило новую задачу. Поставить второй комп с человеком для подключения к локалке из вне.
Настраивал так же, а именно на микротике сделал второго пользователя для подключения по pptp, прописал ip local и remote, так же установил шифрование.
Теперь оба этих компа сидят за одним роутером d-link и находятся в одной сетке, на обоих стоит WINXP, антивирусов нет, брэндмауер отключен.
1)С компа №1 произвожу подключения по пользователю 1, всё подключается и локалка видится и компы пингуются
2) с компа 2 произвожу подключение по пользователю 2, подключается, локалки нет, компы не пингуются.
3) с компа 2 произвожу подключение по пользователю 1,всё подключается и локалка видится и компы пингуются
4) с компа 1 произвожу подключения по пользователю 2,подключается, локалки нет, компы не пингуются.
5) с домашнего компа (win7) с обоими пользователями всё подключается и локалка видится и компы пингуются
6) со второго домашнего компа (winXP) подключается, локалки нет, компы не пингуются.

Есть какие-то мысли почему с ХР такие глюки, кроме как выкинуть компы с ХР на свалку?


есть что сказать, но некому
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Для каждого пользователя свой тоннель...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Конфиг то покажите, а то как предыдущего оратора с экстрасенсам отправим


Есть интересная задача и бюджет? http://mikrotik.site
djonnyk
Сообщения: 7
Зарегистрирован: 15 мар 2016, 15:56

 Конфиг

Код: Выделить всё

/interface bridge
add admin-mac=##:##:##:##:##:## arp=proxy-arp auto-mac=no mtu=1500 name=\
    bridge-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors mode=ap-bridge ssid=MikroTik-57FEC5
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=\
    ether3-slave-local
set [ find default-name=ether4 ] arp=proxy-arp master-port=ether2-master-local \
    name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=\
    ether5-slave-local
/ip neighbor discovery
set wlan1 discover=no
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.150
add name=vpn_pool ranges=192.168.1.200,192.168.1.250
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local lease-time=3d name=\
    default
/ppp profile
set *FFFFFFFE dns-server=0.0.0.0,0.0.0.0 local-address=vpn_pool
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface l2tp-server server
set authentication=mschap2 default-profile=default max-mru=1460 max-mtu=1460
/interface pptp-server server
set enabled=yes max-mru=1460 max-mtu=1460
/ip address
add address=192.168.0.1/24 comment="default configuration" interface=\
    ether2-master-local network=192.168.0.0
add address=###.171.112.135/24 interface=ether1-gateway network=###.171.112.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
    ether1-gateway
/ip dhcp-server network
add address=192.168.0.0/24 comment="default configuration" dns-server=\
    192.168.1.1 gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=217.168.64.2,78.36.207.130
/ip dns static
add address=192.168.0.1 name=router
/ip firewall filter
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input dst-port=80 protocol=tcp
add chain=input dst-port=8291 protocol=tcp
add chain=input dst-port=1701,500,4500 protocol=udp
add chain=input protocol=ipsec-esp
add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\
    tcp
add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\
    udp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=\
    invalid
add chain=input dst-port=49500 protocol=tcp
add chain=input dst-port=2638 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway to-addresses=0.0.0.0
/ip proxy
set cache-path=web-proxy1 parent-proxy=0.0.0.0
/ip route
add distance=1 gateway=###.171.112.1
/ip service
set api disabled=yes
/ppp secret
add disabled=yes name=ppp1 password=test profile=default-encryption service=\
    pptp
add disabled=yes local-address=192.168.0.10 name=Test password=Test333 \
    remote-address=192.168.0.5 service=pptp
add local-address=192.168.0.10 name=pppVodokanal password=##### \
    profile=default-encryption remote-address=192.168.0.5 service=pptp
add local-address=192.168.0.12 name=pppVodokanal2 password=##### \
    profile=default-encryption remote-address=192.168.0.7 service=pptp
/system clock
set time-zone-autodetect=no
/system leds
set 0 interface=wlan1
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
[admin@MikroTik] >


есть что сказать, но некому
djonnyk
Сообщения: 7
Зарегистрирован: 15 мар 2016, 15:56

vqd писал(а):Конфиг то покажите, а то как предыдущего оратора с экстрасенсам отправим

выложил


есть что сказать, но некому
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну в целом вроде все ок
Единственное что вот тут

Код: Выделить всё

add local-address=192.168.0.10 name=pppVodokanal password=##### \
    profile=default-encryption remote-address=192.168.0.5 service=pptp
add local-address=192.168.0.12 name=pppVodokanal2 password=##### \
    profile=default-encryption remote-address=192.168.0.7 service=pptp


local-address=192.168.0.10 поставьте скажем 192.168.0.10 в обоих учетках

Дальше с ПК проверьте пинг до собственно этого адреса

И еще в вашем конфиге я не увидел настройки профиля который вы используете, есть только

Код: Выделить всё

/ppp profile
set *FFFFFFFE dns-server=0.0.0.0,0.0.0.0 local-address=vpn_pool


Есть интересная задача и бюджет? http://mikrotik.site
djonnyk
Сообщения: 7
Зарегистрирован: 15 мар 2016, 15:56

vqd писал(а):local-address=192.168.0.10 поставьте скажем 192.168.0.10 в обоих учетках
[/code]


а разве при подключении обоих одновременно не будет конфликта адресов с одинаковый айпишником?

vqd писал(а):И еще в вашем конфиге я не увидел настройки профиля который вы используете, есть только
[/code]

так и есть
http://cloud.mail.ru/public/4TpuzwFr7PAS/vpn.jpg


есть что сказать, но некому
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Конфликта не будет )))

В профиле в пое bridge собственно ваш бридж укажите


Есть интересная задача и бюджет? http://mikrotik.site
djonnyk
Сообщения: 7
Зарегистрирован: 15 мар 2016, 15:56

vqd писал(а):Конфликта не будет )))

ну да, правильно, чё-то я подумал про удалённый адрес, тупанул немного ))))

vqd писал(а):В профиле в пое bridge собственно ваш бридж укажите


указал. подключение прошло успешно, но 0.10 не пингуется, компы соответственно тоже не пингует


есть что сказать, но некому
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну тогда смотрите чего у вас там на ПК.
Так же смотрите в соединениях, проходит ли ICMP до микротик


Есть интересная задача и бюджет? http://mikrotik.site
Ответить