Реализация схемы с pptp

Обсуждение оборудования и его настройки
36t032
Сообщения: 18
Зарегистрирован: 06 апр 2012, 23:59
Откуда: Воронеж

Гопода, прошу помощи.
В моей конторе стоял pfsense и после 3-х лет работы благополучно приказал долго жить. Кто его настраивал - никто не знает. Приобрели RouterBOARD 450G. Надо восстановить следующую схему.
1. ether1 - 192.168.0.2/24 WAN через PPPoE
2. ether2 - 192.168.232.7/24 - Local
3. PPTP сервер - 192.168.222.7
4. Pool pptp - 192.168.232.101-192.168.120
5. WEB proxy 192.168.232.7:8080
6. DHCP раздается сервером внутри сети
7. Сервер Exchange 192.168.232.15

Необходим доступ в интернет из локальной сети.
Удаленные клиенты подключаются через PPTP к локальной сети и в частности получать почту с сервера Exchange.

Т.к. практически не имею опыта конфигурирования роутера, сумел сделать начальную конфигурацию, поднял РРТР сервер,
создал РРТР клиентов. Интернет раздается, все счастливы.
Но есть проблема с pptp клиентами. Подключение есть, но доступа к сети нет. Видно только роутер.(ping только 192.168.232.7 и 192.168.222.7)
Я знаю, что надо смаршрутизировать, но не знаю как. :?:
Не будете ли Вы так любезны оказать помощь, написать команды для описания маршрута от pptp клиентов до локальной сети. Если что не так объяснил, сорри ... в терминах не силен. (а 9 апреля должно все работать)
И еще вопрос: стоит ли связываться с прокси, как повлияет на безопасность сети его отсутствие.


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

уберите клиентов РРТР в отдельную подсеть (например 192.168.250.0/24)

Либо надо на лету бриджить РРТР и локалку

Момент в том, что подсеть у Вас /24 ( то есть 255.255.255.0)

Соответственно РРТР клиенты ищут сервер почты между собой и роутером (в интерфейсе РРТР). А он в Ether-Local

Сделайте на РРТР-Пул другую подсеть и роутер будет все отлично маршрутизировать


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
36t032
Сообщения: 18
Зарегистрирован: 06 апр 2012, 23:59
Откуда: Воронеж

пока спасибо. Завтра буду пробовать.


36t032
Сообщения: 18
Зарегистрирован: 06 апр 2012, 23:59
Откуда: Воронеж

Спасибо. Все работает, но хотелось бы узнать на счет proxy. Стоит ли?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Если запихнуть Микро СД на пару гигабайт

то прокси будет экономить трафик + можно запрещать сайты определенные, игры вконтакте например и т.д.

Прокси надо делать прозрачным, то есть не только для людей у которых прописан прокси, а для всех запросов на 80 порт в интернет заворачивать в прокси

Посмотрите тему про прокси, там много интересного.


Мое мнение - делать однозначно, но с кешированием трафика на СД карте


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
36t032
Сообщения: 18
Зарегистрирован: 06 апр 2012, 23:59
Откуда: Воронеж

Болльшое спасибо за предидущие посты, но ничего не получается с pptp клиентами.
Они как не видели сеть, так и не видят.
пул выдал в диапазоне 192.168.222.100-192.168.222.199
Помогите, что еще надо сделать, или я что нибудь делаю не так.
Может все дело в настройках. У меня кроме стандартной защиты ничего нет.
Я в этой маршрутизации чайник, да и возраст не позволяет. :cry:


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

распишите настройки подробнее

и что выдает tracert с РРТР клиентов


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
36t032
Сообщения: 18
Зарегистрирован: 06 апр 2012, 23:59
Откуда: Воронеж

Вот все настройки:

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; default configuration
192.168.232.7/24 192.168.232.0 LAN
1 192.168.0.2/24 192.168.0.0 WAN

--------------
[admin@MikroTik] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 WAN ether 1500 1520 1520
1 R LAN ether 1500 1520 1520
2 ether3-slave-local ether 1500 1520 1520
3 ether4-slave-local ether 1500 1520 1520
4 ether5-slave-local ether 1500 1520 1520
5 pppoe pppoe-out
6 dvo pptp-out

---------------

[admin@MikroTik] > ppp profile print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default use-vj-compression=default
use-encryption=default only-one=default change-tcp-mss=yes

1 name="pptp" local-address=192.168.222.7 remote-address=pptp-client use-mpls=default
use-compression=default use-vj-compression=default use-encryption=yes only-one=default
change-tcp-mss=default

2 * name="default-encryption" use-mpls=default use-compression=default use-vj-compression=default
use-encryption=yes only-one=default change-tcp-mss=yes


---------------

[admin@MikroTik] > ppp profile print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default use-vj-compression=default
use-encryption=default only-one=default change-tcp-mss=yes

1 name="pptp" local-address=192.168.222.7 remote-address=pptp-client use-mpls=default
use-compression=default use-vj-compression=default use-encryption=yes only-one=default
change-tcp-mss=default

2 * name="default-encryption" use-mpls=default use-compression=default use-vj-compression=default
use-encryption=yes only-one=default change-tcp-mss=yes

[admin@MikroTik] > ip pool print
# NAME RANGES
0 pptp-client 192.168.222.100-192.168.222.199
----------------

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp

1 ;;; default configuration
chain=input action=accept connection-state=established

2 ;;; default configuration
chain=input action=accept connection-state=related

3 ;;; default configuration
chain=input action=drop in-interface=WAN
-------

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=WAN


tracert выложу после 14.00


Аватара пользователя
PavelSES
Сообщения: 48
Зарегистрирован: 13 сен 2011, 08:30

у меня схема примерно такая же, реализовано так:
Изображение Изображение Изображение
Изображение Изображение Изображение
да это не правильно... но работает :)
у клиентов сразу ip из локальной сети, натом их заворачивает в нее... единственный минус растущий вместе с числом клиентов адрес лист...


36t032
Сообщения: 18
Зарегистрирован: 06 апр 2012, 23:59
Откуда: Воронеж

PavelSES, Ваша схема у меня почему то не реботает

Трассировка упирается 192.168.222.7

Что делать?


Ответить