Задача следующая:
имеем роутер микротик, настроен, настроен ФВ, локальные сети, включен ППТП сервер, созданы пользователи, но при попытке подключиться к впну - ошибка 807.
в ФВ порт 1723 и гре разрешены, стоят в самом верху.
внешний айпи - белый, блокировок никаких нет, когда натом пробрасываю порт 1723 за микротик на другое устройство где тестово поднят впн сервер - впн соединяется. снова стучусь на микротик - снова 807-я.
За уточнениями - спрашивайте отвечу, пароли не дам) а конфиг могу показать)
прошу помощи с настройкой VPN PPTP
-
- Сообщения: 12
- Зарегистрирован: 04 июл 2017, 15:28
Люди, помогите, я с этим ВПНом уже неделю бьюсь, все никак не получается победить.
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Не надо множить посты без толку. Показывайте конфиг, белые адреса под звездочки, пароли тоже. Так скорее кто-то поможет. И с какого устройства стучитесь?
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 12
- Зарегистрирован: 04 июл 2017, 15:28
Эх, стучусь с винсерв 2008р2, с машины с вин7, с вин10, с роутера zyxel keenetik giga2, везде одно и то же.
конфиг:
конфиг:
-
- Сообщения: 12
- Зарегистрирован: 04 июл 2017, 15:28
Уточню задачу:
есть 3 NAS, есть 3 внешних айпи, каждое хранилище должно быть доступно из интернета по своему внешнему айпи.(этого я добился через манглы, но тем не менее 445й порт вовне не открыт, т.к. скорее всего заблокирован у провайдера)
для работы по SMB настраиваем 3-х пользователей VPN PPTP, один стучится на 1-й внешний айпи, второй на 2-й и т.д. соответственно подключаемся роутером или сервером к этому ВПН и из другой сети имеем доступ к сетевым папкам на хранилище. Из одной подсети (11.0 например) другие подсети не должны быть доступны(12.0, 13.0)
есть 3 NAS, есть 3 внешних айпи, каждое хранилище должно быть доступно из интернета по своему внешнему айпи.(этого я добился через манглы, но тем не менее 445й порт вовне не открыт, т.к. скорее всего заблокирован у провайдера)
для работы по SMB настраиваем 3-х пользователей VPN PPTP, один стучится на 1-й внешний айпи, второй на 2-й и т.д. соответственно подключаемся роутером или сервером к этому ВПН и из другой сети имеем доступ к сетевым папкам на хранилище. Из одной подсети (11.0 например) другие подсети не должны быть доступны(12.0, 13.0)
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
pkapitanov писал(а):Уточню задачу:
есть 3 NAS, есть 3 внешних айпи, каждое хранилище должно быть доступно из интернета по своему внешнему айпи.
Сколько фиксируете в секунду попыток подбора пароля?
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
не увидел в конфиге созданных VPN пользователей
-
- Сообщения: 12
- Зарегистрирован: 04 июл 2017, 15:28
VPN пользователей я удалил, тестово, там один пользователь "new" заведен. в секретах. служба назначена "any"
про подбор пароля - фиксируется попыток в секунду не скажу, но стучат регулярно, примерно раз в минуту такого типа запись в логах: https://yadi.sk/i/eU61SLsB3Ko6Wy
на втором скирншоте - попытка подключения юзера new по ВПН ППТП
https://yadi.sk/i/s9OEG6xZ3Ko6YH
про подбор пароля - фиксируется попыток в секунду не скажу, но стучат регулярно, примерно раз в минуту такого типа запись в логах: https://yadi.sk/i/eU61SLsB3Ko6Wy
на втором скирншоте - попытка подключения юзера new по ВПН ППТП
https://yadi.sk/i/s9OEG6xZ3Ko6YH
-
- Сообщения: 1770
- Зарегистрирован: 09 июл 2014, 12:33
Выключите все запрещающие правила в FireWall, и заставьте работать PPTP.
А уже потом остальное.
ПО правилам в конфиге - это зачем? add action=dst-nat chain=dstnat disabled=yes dst-port=1723 in-interface=\
ether3 protocol=tcp to-addresses=192.168.13.1 to-ports=1723
PPTP работает с одним правилом.
Chain = input
Dst. Address = внешний IP роутера на нужном интерфейсе
Protocol = 6(tcp)
Dst. Port = 1723
In. Interface = интерфейс, на котором Dst. Address висит
Action = accept.
Больше ничего не нужно для работы PPTP сервера.
А уже потом остальное.
ПО правилам в конфиге - это зачем? add action=dst-nat chain=dstnat disabled=yes dst-port=1723 in-interface=\
ether3 protocol=tcp to-addresses=192.168.13.1 to-ports=1723
PPTP работает с одним правилом.
Chain = input
Dst. Address = внешний IP роутера на нужном интерфейсе
Protocol = 6(tcp)
Dst. Port = 1723
In. Interface = интерфейс, на котором Dst. Address висит
Action = accept.
Больше ничего не нужно для работы PPTP сервера.
-
- Сообщения: 12
- Зарегистрирован: 04 июл 2017, 15:28
дст-нат на 13.2:1723 - это проброс делал на само хранилище, которое так же может выступать в роли ВПН сервера, но работает впн сервер на нем криво.
потому задача запустить впн на самом микротике.
пробовал выключать все запрещающие правила - это не решило проблему, а отключать все полностью - не хочу, т.к. какая-то нехорошая редиска уже взломала наш микротик однажды, сменила все настройки(но тут мой косяк, игрался как раз с правилами ФВ и видимо открыл дверь нараспашку).
правило которое Вы указали выше - правило ФВ как я понимаю?
Засада в том, что я это оборудование по сути впервые щупаю, воевал с ним неделю, чтоб заставить пакеты правильно ходить.
немного вопрос не в тему: кто-нибудь может сказать эти курсы стоит пройти для базового понимания и умения настраивать оборудование микротик?
офф курсы - дюже дорого на данный момент.
http://курсы-по-ит.рф/lp-mikrotik-mtcna ... dium=email
потому задача запустить впн на самом микротике.
пробовал выключать все запрещающие правила - это не решило проблему, а отключать все полностью - не хочу, т.к. какая-то нехорошая редиска уже взломала наш микротик однажды, сменила все настройки(но тут мой косяк, игрался как раз с правилами ФВ и видимо открыл дверь нараспашку).
правило которое Вы указали выше - правило ФВ как я понимаю?
Засада в том, что я это оборудование по сути впервые щупаю, воевал с ним неделю, чтоб заставить пакеты правильно ходить.
немного вопрос не в тему: кто-нибудь может сказать эти курсы стоит пройти для базового понимания и умения настраивать оборудование микротик?
офф курсы - дюже дорого на данный момент.
http://курсы-по-ит.рф/lp-mikrotik-mtcna ... dium=email