прошу помощи с настройкой VPN PPTP

Обсуждение ПО и его настройки
pkapitanov
Сообщения: 12
Зарегистрирован: 04 июл 2017, 15:28

Задача следующая:
имеем роутер микротик, настроен, настроен ФВ, локальные сети, включен ППТП сервер, созданы пользователи, но при попытке подключиться к впну - ошибка 807.
в ФВ порт 1723 и гре разрешены, стоят в самом верху.
внешний айпи - белый, блокировок никаких нет, когда натом пробрасываю порт 1723 за микротик на другое устройство где тестово поднят впн сервер - впн соединяется. снова стучусь на микротик - снова 807-я.
За уточнениями - спрашивайте отвечу, пароли не дам) а конфиг могу показать)


pkapitanov
Сообщения: 12
Зарегистрирован: 04 июл 2017, 15:28

Люди, помогите, я с этим ВПНом уже неделю бьюсь, все никак не получается победить.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Не надо множить посты без толку. Показывайте конфиг, белые адреса под звездочки, пароли тоже. Так скорее кто-то поможет. И с какого устройства стучитесь?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
pkapitanov
Сообщения: 12
Зарегистрирован: 04 июл 2017, 15:28

Эх, стучусь с винсерв 2008р2, с машины с вин7, с вин10, с роутера zyxel keenetik giga2, везде одно и то же.
конфиг:
myconfig.zip
(2.29 КБ) 243 скачивания


pkapitanov
Сообщения: 12
Зарегистрирован: 04 июл 2017, 15:28

Уточню задачу:
есть 3 NAS, есть 3 внешних айпи, каждое хранилище должно быть доступно из интернета по своему внешнему айпи.(этого я добился через манглы, но тем не менее 445й порт вовне не открыт, т.к. скорее всего заблокирован у провайдера)
для работы по SMB настраиваем 3-х пользователей VPN PPTP, один стучится на 1-й внешний айпи, второй на 2-й и т.д. соответственно подключаемся роутером или сервером к этому ВПН и из другой сети имеем доступ к сетевым папкам на хранилище. Из одной подсети (11.0 например) другие подсети не должны быть доступны(12.0, 13.0)


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

pkapitanov писал(а):Уточню задачу:
есть 3 NAS, есть 3 внешних айпи, каждое хранилище должно быть доступно из интернета по своему внешнему айпи.


Сколько фиксируете в секунду попыток подбора пароля?


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

не увидел в конфиге созданных VPN пользователей


pkapitanov
Сообщения: 12
Зарегистрирован: 04 июл 2017, 15:28

VPN пользователей я удалил, тестово, там один пользователь "new" заведен. в секретах. служба назначена "any"
про подбор пароля - фиксируется попыток в секунду не скажу, но стучат регулярно, примерно раз в минуту такого типа запись в логах: https://yadi.sk/i/eU61SLsB3Ko6Wy
на втором скирншоте - попытка подключения юзера new по ВПН ППТП
https://yadi.sk/i/s9OEG6xZ3Ko6YH


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Выключите все запрещающие правила в FireWall, и заставьте работать PPTP.
А уже потом остальное.

ПО правилам в конфиге - это зачем? add action=dst-nat chain=dstnat disabled=yes dst-port=1723 in-interface=\
ether3 protocol=tcp to-addresses=192.168.13.1 to-ports=1723

PPTP работает с одним правилом.
Chain = input
Dst. Address = внешний IP роутера на нужном интерфейсе
Protocol = 6(tcp)
Dst. Port = 1723
In. Interface = интерфейс, на котором Dst. Address висит
Action = accept.

Больше ничего не нужно для работы PPTP сервера.


pkapitanov
Сообщения: 12
Зарегистрирован: 04 июл 2017, 15:28

дст-нат на 13.2:1723 - это проброс делал на само хранилище, которое так же может выступать в роли ВПН сервера, но работает впн сервер на нем криво.
потому задача запустить впн на самом микротике.
пробовал выключать все запрещающие правила - это не решило проблему, а отключать все полностью - не хочу, т.к. какая-то нехорошая редиска уже взломала наш микротик однажды, сменила все настройки(но тут мой косяк, игрался как раз с правилами ФВ и видимо открыл дверь нараспашку).
правило которое Вы указали выше - правило ФВ как я понимаю?
Засада в том, что я это оборудование по сути впервые щупаю, воевал с ним неделю, чтоб заставить пакеты правильно ходить.
немного вопрос не в тему: кто-нибудь может сказать эти курсы стоит пройти для базового понимания и умения настраивать оборудование микротик?
офф курсы - дюже дорого на данный момент.
http://курсы-по-ит.рф/lp-mikrotik-mtcna ... dium=email


Закрыто