pptp клиент видит только свою подсеть (

Обсуждение оборудования и его настройки
Ответить
deric
Сообщения: 2
Зарегистрирован: 04 сен 2016, 20:28

Здравствуйте ! У меня следующая проблема - при создании pptp соединения (каждый пользователь сидит в своём vlan) видна только своя подсеть и казалось бы все супер - пользователи не видят чужие сетки , но при этом мне нужен админский vpn c которого я мог бы видеть все сетки . Подскажите что я делаю не так ? Спасибо !
 
# may/09/2018 05:15:28 by RouterOS 6.39.2
# software id =
#
/interface bridge
add admin-mac=64:D1:54:B0:0E:C9 arp=proxy-arp auto-mac=no comment=defconf \
name=bridge
add arp=proxy-arp name=bridge-vlan1
add arp=proxy-arp name=bridge-vlan4
add arp=proxy-arp name=bridge-vlan24
add name=bridge-vlan25
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
MikroTik-B00ED1 wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp
set [ find default-name=ether4 ] advertise=100M-half,100M-full
/ip neighbor discovery
set ether1 discover=no
/interface vlan
add arp=proxy-arp interface=ether2 name=vlan1 vlan-id=1
add arp=proxy-arp interface=ether2 name=vlan4 vlan-id=4
add arp=proxy-arp interface=ether2 name=vlan24 vlan-id=24
add arp=proxy-arp interface=ether2 name=vlan25 vlan-id=25
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk,wpa2-eap mode=\
dynamic-keys supplicant-identity=microtik222 wpa2-pre-shared-key=asyp99mn
/ip pool
add name=default-dhcp ranges=192.168.7.10-192.168.7.254
add name=vlan10 ranges=192.168.9.10-192.168.9.254
add name=vlan11 ranges=192.168.10.10-192.168.10.254
add name=dhcp_pool3 ranges=192.168.30.2-192.168.30.254
add name=dhcp_pool4 ranges=192.168.31.2-192.168.31.254
add name=dhcp_pool5 ranges=192.168.0.2-192.168.0.254
add name=dhcp_pool6 ranges=192.168.4.2-192.168.4.254
add name=dhcp_pool7 ranges=192.168.32.2-192.168.32.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
add address-pool=dhcp_pool3 disabled=no interface=bridge-vlan1 name=dhcp1
add address-pool=dhcp_pool4 disabled=no interface=bridge-vlan24 name=dhcp2
add address-pool=dhcp_pool5 disabled=no interface=bridge-vlan25 name=dhcp3
add address-pool=dhcp_pool6 disabled=no interface=ether4 name=dhcp4
add address-pool=dhcp_pool7 disabled=no interface=bridge-vlan4 name=dhcp5
/ppp profile
set *0 bridge=bridge-vlan24
add change-tcp-mss=yes local-address=192.168.15.2 name=admin remote-address=\
192.168.15.22 use-upnp=yes
add bridge=bridge-vlan4 name=client4
/interface bridge port
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge-vlan24 interface=vlan24
add bridge=bridge-vlan1 interface=vlan1
add bridge=bridge-vlan25 interface=vlan25
add bridge=bridge-vlan4 interface=vlan4
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.7.1/24 comment=defconf interface=bridge network=\
192.168.7.0
add address=141.0.180.66/26 interface=ether1 network=141.0.180.64
add address=192.168.30.1/24 interface=bridge-vlan1 network=192.168.30.0
add address=192.168.31.1/24 interface=bridge-vlan24 network=192.168.31.0
add address=192.168.0.1/24 interface=bridge-vlan25 network=192.168.0.0
add address=192.168.4.1/24 interface=ether4 network=192.168.4.0
add address=192.168.32.1/24 interface=bridge-vlan4 network=192.168.32.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1
/ip dhcp-server lease
add address=192.168.30.254 mac-address=98:F2:B3:B2:C8:40 server=dhcp1
add address=192.168.31.254 client-id=1:42:48:46:64:83:30 mac-address=\
42:48:46:64:83:30 server=dhcp2
add address=192.168.31.253 client-id=1:0:72:ab:d0:7e:4e mac-address=\
00:72:AB:D0:7E:4E server=dhcp2
add address=192.168.31.251 client-id=1:8:4:f7:4d:6e:c0 mac-address=\
08:04:F7:4D:6E:C0 server=dhcp2
add address=192.168.31.250 client-id=1:0:9e:99:7f:69:ce mac-address=\
00:9E:99:7F:69:CE server=dhcp2
add address=192.168.31.249 client-id=1:8:4e:9:a0:1:ea mac-address=\
08:4E:09:A0:01:EA server=dhcp2
add address=192.168.31.248 client-id=1:52:2f:41:b7:75:5d mac-address=\
52:2F:41:B7:75:5D server=dhcp2
add address=192.168.31.247 client-id=1:30:57:58:cf:e4:a4 mac-address=\
30:57:58:CF:E4:A4 server=dhcp2
add address=192.168.31.252 client-id=1:0:22:56:88:5a:fd mac-address=\
00:22:56:88:5A:FD server=dhcp2
add address=192.168.31.245 client-id=1:0:11:22:33:44:55 mac-address=\
00:11:22:33:44:55 server=dhcp2
add address=192.168.31.244 client-id=1:50:6c:be:8:52:95 mac-address=\
50:6C:BE:08:52:95 server=dhcp2
add address=192.168.31.243 client-id=1:50:6c:be:8:4f:12 mac-address=\
50:6C:BE:08:4F:12 server=dhcp2
add address=192.168.31.242 client-id=1:50:6c:be:8:52:6c mac-address=\
50:6C:BE:08:52:6C server=dhcp2
add address=192.168.31.241 client-id=1:2a:48:c:e2:2a:55 mac-address=\
2A:48:0C:E2:2A:55 server=dhcp2
add address=192.168.4.2 client-id=1:28:10:7b:27:d5:f2 mac-address=\
28:10:7B:27:D5:F2 server=dhcp4
add address=192.168.32.254 client-id=1:1a:c:74:3:7a:93 mac-address=\
1A:0C:74:03:7A:93 server=dhcp5
add address=192.168.32.253 client-id=1:0:d8:ae:76:b:f9 mac-address=\
00:D8:AE:76:0B:F9 server=dhcp5
add address=192.168.32.252 client-id=1:8:92:cb:4d:3:1e mac-address=\
08:92:CB:4D:03:1E server=dhcp5
add address=192.168.32.251 client-id=1:0:48:26:6:d3:e6 mac-address=\
00:48:26:06:D3:E6 server=dhcp5
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
add address=192.168.4.0/24 gateway=192.168.4.1
add address=192.168.7.0/24 comment=defconf dns-server=46.29.73.5,46.29.72.5 \
gateway=192.168.7.1 netmask=24
add address=192.168.30.0/24 gateway=192.168.30.1
add address=192.168.31.0/24 gateway=192.168.31.1
add address=192.168.32.0/24 gateway=192.168.32.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=46.29.73.5,46.29.72.5
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=accept chain=input dst-port=8080 protocol=tcp
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all from WAN" \
in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
out-interface=ether1
add action=dst-nat chain=dstnat dst-address=141.0.180.66 dst-port=8080 \
protocol=tcp to-addresses=192.168.4.2 to-ports=80
/ip route
add distance=1 gateway=
/ip service
set www address=0.0.0.0/0
set winbox address=0.0.0.0/0
/lcd interface pages
set 0 interfaces=wlan1
/ppp secret
add local-address=192.168.31.1 name=client24 password= \
remote-address=192.168.31.56
add name=admin password= profile=admin
add local-address=192.168.32.1 name=client4 password= profile=\
default-encryption remote-address=192.168.32.2
/system clock
set time-zone-name=Australia/Brisbane
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Попробуйте следующее:

1. Отключите все правила фаервола.
2. Уберите из правила NAT интерфейс, чтобы правило стало более общим.

Для чего вы используете VLAN???
Блокировки подсетей проще выполнить фаерволом на микротике.


Я, конечно, не знаю вашу схему сети, но общий принцип такой: все подсети на микротике видят друг друга. Даже если она потом передаются в тегированном виде. Если у всех этих подсетей шлюзом является микротик, кто все подсети будут видеть друг друга. VLAN на этом уровне коммутации уже не работает.


deric
Сообщения: 2
Зарегистрирован: 04 сен 2016, 20:28

Ничего не помогло , после микротика стоит свит и он поделен на vlan'ы .


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну а микротик-то пингует клиентов ВСЕХ подсетей???

Нужно добиться, чтобы подсети видели друг друга. Как минимум у каждого клиента всех подсетей должен быть шлюз и это должен быть микротик.
При такой схеме толку нет от VLAN. Все равно все смешивается на роутере. Блокировки нужно выполнять на уровне фаерволла микротика.


Ответить