Как правильно настроить pptp client?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
oleg.ohotnikov
Сообщения: 12
Зарегистрирован: 12 фев 2019, 17:37

Есть роутер hap. На eth1 статический ip провайдера. Интернет работает. Для получения внешнего белого ip нужно создать pptp соединение и пустить весь трафик через него. Создаю соединение pptp client(status:connected), добавляю правило маскарад. Но внешний адрес по прежнему не статика(проверяю сервисом ping.eu). Делал соединение средствами винды - всё ок, внешний адрес правильный. ЧЯДНТ?
 
[admin@MikroTik] > /export compact
# feb/12/2019 16:19:19 by RouterOS 6.40.7
# software id = 4VXZ-PD40
#
# model = 951Ui-2nD
# serial number = ***
/interface bridge
add admin-mac=6C:3B:6B:DA:5F:83 auto-mac=no comment=defconf fast-forward=no \
name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=6C:3B:6B:DA:5F:82
set [ find default-name=ether2 ] mac-address=6C:3B:6B:DA:5F:83 name=\
ether2-master
set [ find default-name=ether3 ] mac-address=6C:3B:6B:DA:5F:84 master-port=\
ether2-master
set [ find default-name=ether4 ] mac-address=6C:3B:6B:DA:5F:85 master-port=\
ether2-master
set [ find default-name=ether5 ] mac-address=6C:3B:6B:DA:5F:86 master-port=\
ether2-master
/interface wireless
set [ find default-name=wlan1 ] name=wlan2 ssid=MikroTik
/interface pptp-client
add add-default-route=yes connect-to=172.28.28.214 disabled=no name=pptp-out1 \
password="****" user=****
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=10.110.210.10-10.110.210.100
/ip dhcp-server
add address-pool=default-dhcp authoritative=after-2sec-delay interface=bridge \
name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf
/ip address
add address=10.110.210.1/24 comment=defconf interface=bridge network=\
10.110.210.0
/ip dhcp-client
add comment=defconf default-route-distance=2 dhcp-options=hostname,clientid \
disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
add address=10.110.210.254 name=vester.r-p-s.ru
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes \
in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1
add action=dst-nat chain=dstnat dst-port=80,443,3333,2222,7777,3389,1433,21,20 \
in-interface=ether1 protocol=tcp to-addresses=10.110.210.254
add action=dst-nat chain=dstnat disabled=yes dst-address=10.110.210.1 dst-port=\
80,443,3333,2222,7777,3389,1433 protocol=tcp to-addresses=10.110.210.254
add action=dst-nat chain=dstnat dst-port=1935,3478 in-interface=ether1 \
protocol=tcp to-addresses=10.110.210.253
add action=dst-nat chain=dstnat disabled=yes dst-address=10.110.210.1 dst-port=\
1935,3478 protocol=tcp to-addresses=10.110.210.253
add action=dst-nat chain=dstnat dst-port=3478,10000-20000,49000-65535 \
in-interface=ether1 protocol=udp to-addresses=10.110.210.253
add action=dst-nat chain=dstnat disabled=yes dst-address=10.110.210.1 dst-port=\
3478,10000-20000,49000-65535 protocol=udp to-addresses=10.110.210.253
add action=masquerade chain=srcnat out-interface=pptp-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=8090
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Kaliningrad
/system ntp client
set enabled=yes primary-ntp=52.178.161.41
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Дело в маршруте 0.0.0.0 который ведет вас через шлюз указанный для ether1, а должен вести через тоннель.


oleg.ohotnikov
Сообщения: 12
Зарегистрирован: 12 фев 2019, 17:37

KARaS'b писал(а): 12 фев 2019, 17:47 Дело в маршруте 0.0.0.0 который ведет вас через шлюз указанный для ether1, а должен вести через тоннель.
Как правильно: оставить только маршрут 0.0.0.0 через pptp-out или оставить оба и тому что через eth1distance 2 поставить?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если адрес на ether1 действительно статика и если провайдер вам действительно предоставляет pptp для получения "беголо" адреса, то в теории можно выкрутится удалив маршрут 0.0.0.0 через шлюз для ether1 и добавив новый маршрут который скажет что адрес вашего впн сервера 172.28.28.214 находится за этим шлюзом ну и днсы если они есть и какбэ все, у вас включено создание деф. маршрута при поднятии тоннеля, так что больше вам ничего делать не надо, как только тоннель поднимется, то сразу все хлынут в инет через него и ваш заветный белый адрес.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

oleg.ohotnikov писал(а): 12 фев 2019, 18:14 Как правильно: оставить только маршрут 0.0.0.0 через pptp-out или оставить оба и тому что через eth1distance 2 поставить?
Я бы оба оставил, и я говорю это отталкиваясь по тому, как делают Билайн:
а) у них тоже, по DHCP Client'у дают адрес, маршруты и так далее, и в том числе и ДНСы (это важно)
б) я руками поправил настройки DHCP Client'а и выставил дистанс побольше (поставил 10, с запасом :-) )
в) и уже при подключении L2TP в настройках выставил дистанс приоритетом поменьше (поставил 1)

Всё работает, в Билайне подключение по L2TP идёт по имени сервера (а потому Важно получить именно их и DNS'ы)
и маршруты. Да и у провайдеров часто идёт смена/переезд адресов подключение, поэтому лучше автоматически
всё это делать.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить