VPN

Обсуждение оборудования и его настройки
andreyD
Сообщения: 7
Зарегистрирован: 28 ноя 2017, 03:51

Добрый день, коллеги.
Возникла сложность при настройке VPN.

Код: Выделить всё

/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=yes
/ppp secret
add name=1 password=1
/ppp profile
set *0 dns-server=192.168.13.2 local-address=192.168.13.1 remote-address=192.168.12.1

В фаерволе разрешающие правила есть. Эти правила стоят самыми первыми.

Код: Выделить всё

/ip firewall filter
add action=drop chain=input dst-address=!192.168.0.0/24 dst-port=53 in-interface-list=ISP protocol=udp
add action=accept chain=input protocol=gre
add action=accept chain=input comment=Managment dst-port=8291,22,21,1024-65535 in-interface-list=ISP protocol=tcp

Торч при подключении: на секунду появляются эти соединения
Изображение
Ошибка на локальном компе:
Изображение

Подскажите, где я ошибся?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

на 100% утверждать не буду, но замените свое правило с "gre" на обычное с "tcp" и дст. портом 1723 и скорее всего у вас все будет хорошо.


andreyD
Сообщения: 7
Зарегистрирован: 28 ноя 2017, 03:51

KARaS'b писал(а):на 100% утверждать не буду, но замените свое правило с "gre" на обычное с "tcp" и дст. портом 1723 и скорее всего у вас все будет хорошо.

К сожалению, не помогло.
Вот ещё что показывает в connections
Изображение


Аватара пользователя
Gregory
Сообщения: 17
Зарегистрирован: 26 окт 2017, 17:21

Разрешите PPTP порт 1723 и поставьте его правило повыше GRE.


Некоторые заметки из жизни: gregory-gost.ru
andreyD
Сообщения: 7
Зарегистрирован: 28 ноя 2017, 03:51

Gregory писал(а):Разрешите PPTP порт 1723 и поставьте его правило повыше GRE.

Вот первые 3 правила. Та же ошибка

Код: Выделить всё

/ip firewall filter
add action=drop chain=input dst-port=53 in-interface-list=ISP protocol=tcp
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я бы зашёл с другой стороны.

В винде, в свойствах ВПН-подключения,
отключите "отключаться если не удаётся шифровать" что-то в таком роде.
Также, там же, лучше явно указать протокол, по которому Вы хотите то и работать (PPTP/L2TP).

Настройки и адаптацию надо делать с двух сторон.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
andreyD
Сообщения: 7
Зарегистрирован: 28 ноя 2017, 03:51

Vlad-2 писал(а):Я бы зашёл с другой стороны.

В винде, в свойствах ВПН-подключения,
отключите "отключаться если не удаётся шифровать" что-то в таком роде.
Также, там же, лучше явно указать протокол, по которому Вы хотите то и работать (PPTP/L2TP).

Настройки и адаптацию надо делать с двух сторон.


Я уже что только не пробовал) По всем инструкциям настройка ВПН занимает не больше 5 минут, но не со мной))

Изображение
Вроде, для режима тестирования все подходит. Понятно, что потом настрою более тонко.
Ещё, заметил, что если указать тип ВПН - Автоматически, то, в Connections видно, что удалённый компьютер пытается подключиться. Если указать PPTP, то в Connections - пусто.
И наверное, дело не в удалённом компьютере, т.к. я как минимум с трёх компьютеров пытаюсь подключиться с такой ошибкой.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну тогда надо настроить всё же параметры ВПН на микротике,а не гадать (вообще то создаётся отдельный профиль,
в котором указывается всё, тип, включена ли компрессия, шифрование, и так далее, можно ли более одного подключения делать).
А Вы включили и всё.....и сразу хотите...

также включить логи (дебаг) для ррр подключений
и уже смотреть где идёт НЕсогласования.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
andreyD
Сообщения: 7
Зарегистрирован: 28 ноя 2017, 03:51

Vlad-2 писал(а):Ну тогда надо настроить всё же параметры ВПН на микротике,а не гадать (вообще то создаётся отдельный профиль,
в котором указывается всё, тип, включена ли компрессия, шифрование, и так далее, можно ли более одного подключения делать).
А Вы включили и всё.....и сразу хотите...

также включить логи (дебаг) для ррр подключений
и уже смотреть где идёт НЕсогласования.


А какой Topic в Logging за это отвечает? Ppp, pptp не подходят... Если их включить то в логе пусто


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

andreyD писал(а):А какой Topic в Logging за это отвечает? Ppp, pptp не подходят... Если их включить то в логе пусто

А точно подключения происходит или даже так спрошу - точно идут попытки?
Я сейчас у себя бедного юзера не буду дёргать ради тестов дебага, но в логах при подключении юзера
у меня пишется напротив него сразу: l2tp,ppp,info,account

Отключите файрвол (весь на 2-3 минуты). Пробуйте.
Опять же, я выше написал, сделайте профиль, в нём укажите
явные параметры, так будет легче и логически настраивать.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить