Непонятное поведение VPN

Обсуждение оборудования и его настройки
Ответить
Аватара пользователя
covexoid
Сообщения: 4
Зарегистрирован: 31 май 2018, 16:20

Добрый!
Настроил подключение по VPN.
Когда подключаюсь одним из пользователей - все замечательно. Вижу внутренние ресурсы, могу подключаться к серверам и пр.
Но только одним. Все остальные не видят ничего. (причем это не одновременное подключение). С этого же компа, при подключении к VPN пишу другое имя пользователя и пароль и облом.
Пользователи созданы идентично. К VPN подключение происходит, а дальше - все.
В чем может быть причина, подскажите ?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

covexoid писал(а): 31 май 2018, 16:25 В чем может быть причина, подскажите ?
1. proxy-arp включен ?
2. конфиг в студию !


Александр
Аватара пользователя
covexoid
Сообщения: 4
Зарегистрирован: 31 май 2018, 16:20

algerka писал(а): 31 май 2018, 19:25 1. proxy-arp включен ?
Конечно.
2

Код: Выделить всё

# jun/01/2018 14:12:52 by RouterOS 6.40.6
# software id = 8WQ9-80M9
#
# model = 951G-2HnD
# serial number = 845108FD9D60
/interface bridge
add admin-mac=CC:2D:E0:09:69:B3 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=Labrium \
    wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=WiLabriumFi \
    wpa2-pre-shared-key=12345678
/ip pool
add name=dhcp ranges=192.168.77.100-192.168.77.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.77.4/24 comment=defconf interface=ether2-master network=\
    192.168.77.0
add address=***.****.***.***/27 interface=ether1 network=***.****.***.***
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.77.0/24 comment=defconf gateway=192.168.77.4 netmask=24
/ip dns
set allow-remote-requests=yes servers=***.****.***.***,8.8.8.8
/ip dns static
add address=192.168.77.4 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input dst-port=1723 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=***.****.***.***
/ppp secret
add local-address=192.168.77.4 name=Covex password=12345678 profile=\
    default-encryption remote-address=192.167.77.80 service=pptp
add local-address=192.168.77.4 name=Konshina password=12345678 profile=\
    default-encryption remote-address=192.168.77.81 service=pptp
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да....

А пользователи VPN они с одного адреса IP подключаются??? Или это вы пока для теста с разных компов пробуете с одного внешнего IP???
Проблема давно известна и починить ее обещают также очень давно, но увы.
Эту тему поднимали на форуме, но она была в разделе FAQ, а он почему-то похерен.

Решение - перейти на другой тип VPN или использовать параллельно два разных VPN, не уверен, но по-моему этой проблемы нет на SSTP и OpenVPN, но нужно пробовать.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да, забыл, удалите из фаерволла все строки, которые микротик сам создал с комментарием Defconf.
В фаерволл нужно добавлять только те строки, назначение которых, вы четко понимаете и знаете как они работают. Все остальное - это потенциально большой источник проблем в эксплуатации микротика.


Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

1) В фаерволе открыт порт 1723 для теннеля РРТР. А GRE кто будет открывать? Или Вы используете с ipsec ?
2) В правиле /ppp secret для первого юзера remote-address=192.167.77.80
Для второго - 192.168.77.81
Очепятка? или ошибка?
3) Я не знаю, по каким манам настраивали, но, сколько я не бился - не работает нормально туннель, если его концы (адреса) находятся в сети самого роутера. Хоть даже и не попадает в диапазон раздачи DHCP-сервера. Вечно, что то где то не пингуется, или не доступно или еще что то... Рекомендуется использовать для туннелей подсеть отличную от используемых роутерами или хостами. У меня одновременно 4 юзера спакойно логиняться и всё им везде доступно в пределах разрешенного мною.
Я не настаиваю... но можно же просто проверить


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Аватара пользователя
covexoid
Сообщения: 4
Зарегистрирован: 31 май 2018, 16:20

romsandj писал(а): 02 июн 2018, 23:46 2) В правиле /ppp secret для первого юзера remote-address=192.167.77.80
Для второго - 192.168.77.81
Очепятка? или ошибка?
Объясните мне это правило. Я так понимаю, что логика в том, что в первой строке я указываю ip роутера, а второй - адрес который будет выдан клинету vpn. Ну я и прописал разные, чтобы они не конфликтовали при одновременном подключении.


Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

у Вас в первом - 167 подсеть
во втором - 168 подсеть.
Я думаю, что так работать не будет, концы туннеля в разных подсетях


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

covexoid писал(а): 05 июн 2018, 13:46 в первой строке я указываю ip роутера, а второй - адрес который будет выдан клинету vpn.
Всё верно, только адрес роутера (начало туннеля) и клиенту VPN (конец туннеля) ты должен дать не из сети роутера, а из другой любой. Например, 10.0.0.0/24


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Аватара пользователя
covexoid
Сообщения: 4
Зарегистрирован: 31 май 2018, 16:20

romsandj писал(а): 05 июн 2018, 15:05
covexoid писал(а): 05 июн 2018, 13:46 в первой строке я указываю ip роутера, а второй - адрес который будет выдан клинету vpn.
Всё верно, только адрес роутера (начало туннеля) и клиенту VPN (конец туннеля) ты должен дать не из сети роутера, а из другой любой. Например, 10.0.0.0/24
Не, не, не. Это описка просто ))))
У всех остальных правильно прописано.


Ответить