Настроить видимость сети за VPN

В данном разделе размещаются только платные Задания
Правила форума
1. Для каждого Задания открывается новая тема.
Одно Задание - одна тема. Повторяющиеся темы удаляются.
2. Обсуждение стоимости работ, ведётся только посредством личных сообщений.
Исключение: открытая цена за Задание.
4. Администрация форума не несёт ответственности за выполненную, или невыполненную работу. Данный форум является бесплатной доской объявлений, помогающий в поиске Исполнителей.
Ответить
pan4o
Сообщения: 10
Зарегистрирован: 13 фев 2019, 14:50

Есть связь между офисами по vpn. Пинг от клиента в сеть за впн сервером проходит, а в обратную сторону нет.

Необходима помощь!


bst-botsman
Сообщения: 184
Зарегистрирован: 13 окт 2018, 20:53
Откуда: Беларусь

Настройте маршрутизацию

P.S. Каков вопрос - таков ответ


RB3011UiAS x 1
RB4011iGS+5HacQ2HnD x 3
951Ui-2nD x 2
hAP ac^2 x 24
CheckPoint 1590 x 1
pan4o
Сообщения: 10
Зарегистрирован: 13 фев 2019, 14:50

Какая информация нужна?


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

pan4o писал(а): 25 фев 2019, 13:09 Какая информация нужна?
внятная схема:
где клиент, где пользователь, VPN, куда пинг идет, куда не идет.
крайне желательно конфиги обоих устройтв ( команда export), не забывайте вырезать из конфига пароли/логины . В вашем случае публичные IP надо не вырезать, а заменить на что-либо совпадающеее во всех конфигах ( если не одно устройтво микротик).


pan4o
Сообщения: 10
Зарегистрирован: 13 фев 2019, 14:50

есть локальная сеть 192.168.1.0/24
ВПН сервер на микротике 192.168.99.0/24
Удалённая сеть 192.168.2.0/24

При соединении из удалённой сети есть пинг на локальную сеть, а в обратную сторону только на адрес ВПН(192.168.99.25).

Клиент ПК в сети клиента

Код: Выделить всё

# feb/26/2019 08:39:27 by RouterOS 6.43.4
# software id = Z4HV-52FQ
#
# model = 951Ui-2HnD
# serial number = 643105A59819
/interface bridge
add fast-forward=no name="bridge guest wifi"
add admin-mac=4C:5E:0C:A9:A5:C3 arp=proxy-arp auto-mac=no fast-forward=no mtu=\
    1500 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full mac-address=\
    4C:5E:0C:A9:A5:C2 name="ether1 osnovnoj"
set [ find default-name=ether2 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full mac-address=\
    4C:5E:0C:A9:A5:C3
set [ find default-name=ether3 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full mac-address=\
    4C:5E:0C:A9:A5:C4
set [ find default-name=ether4 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full mac-address=\
    4C:5E:0C:A9:A5:C5 name="ether4 reserv "
set [ find default-name=ether5 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full mac-address=\
    4C:5E:0C:A9:A5:C6
/interface pppoe-client
add add-default-route=yes disabled=no interface="ether1 osnovnoj" \
    keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-out1 \
    password=****** use-peer-dns=yes user=*******
/interface pptp-server
add name=pptp-in1 user=i
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=20 band=2ghz-b/g/n disabled=no \
    hide-ssid=yes mode=ap-bridge name=wlan2 ssid=MikroTik wireless-protocol=\
    unspecified wmm-support=enabled

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip \
    management-protection=allowed mode=dynamic-keys name=profile1 \
    supplicant-identity="" unicast-ciphers=tkip wpa-pre-shared-key=mkzkilla1980 \
    wpa2-pre-shared-key=mkzkilla1980
add authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip \
    management-protection=allowed mode=dynamic-keys name=guests \
    supplicant-identity="" unicast-ciphers=tkip wpa2-pre-shared-key=05032015
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=E6:8D:8C:6D:2D:6B \
    master-interface=wlan2 multicast-buffering=disabled name="guest WIFI" \
    security-profile=guests ssid=Uro-Pro wds-cost-range=0 wds-default-cost=0 \
    wmm-support=enabled wps-mode=disabled
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.1.2-192.168.1.200
add name=dhcp_pool1 ranges=192.168.1.1-192.168.1.49,192.168.1.51-192.168.1.254
add name=dhcp_pool2 ranges=192.168.1.1-192.168.1.49
add name=vpn_pool ranges=192.168.99.5-192.168.99.25
add name="guest wifi" ranges=10.1.1.2-10.1.1.150
/ip dhcp-server
add address-pool=dhcp_pool2 authoritative=after-2sec-delay disabled=no \
    interface=bridge-local lease-time=3d name=dhcp1
add address-pool="guest wifi" disabled=no interface="bridge guest wifi" name=\
    "guest wifi"
/ppp profile
add bridge=bridge-local change-tcp-mss=yes local-address=192.168.99.1 name=\
    vpn_server remote-address=vpn_pool
/queue simple
add max-limit=15M/0 name=queue1 target="bridge guest wifi"
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=*6
add bridge="bridge guest wifi" comment="Guest wifi" interface=ether3
add bridge=bridge-local interface=ether5
add bridge="bridge guest wifi" interface=wlan2
add bridge="bridge guest wifi" interface="guest WIFI"
/interface pptp-server server
set default-profile=vpn_server enabled=yes max-mru=1460 max-mtu=1460
/ip address
add address=192.168.1.50/24 interface=bridge-local network=192.168.1.0
add address=10.1.1.1/24 interface="bridge guest wifi" network=10.1.1.0
add address=5.44.55.66/24 comment=DOM.RU interface="ether4 reserv " network=\
    5.44.55.0
/ip dhcp-server lease
add address=192.168.1.12 client-id=1:0:17:c8:35:77:58 mac-address=\
    00:17:C8:35:77:58 server=dhcp1
add address=10.1.1.100 client-id=1:50:c7:bf:87:28:3c mac-address=\
    50:C7:BF:87:28:3C server="guest wifi"
/ip dhcp-server network
add address=10.1.1.0/24 dns-server=10.1.1.1,8.8.8.8 gateway=10.1.1.1 netmask=24
add address=192.168.1.0/24 gateway=192.168.1.50 netmask=24
/ip dns
set servers=87.241.223.68,81.17.2.171
/ip dns static
add address=87.241.223.68 name=1
add address=81.17.2.171 name=2
/ip firewall filter

add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=1703 protocol=udp
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.1.0/24 \
    src-address=192.168.99.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=192.168.99.0/24
add action=accept chain=dstnat disabled=yes in-interface="ether4 reserv "
# pptp-in1 not ready
add action=src-nat chain=srcnat dst-address=192.168.0.0/24 out-interface=\
    pptp-in1 src-address=192.168.99.20 to-addresses=192.168.0.65
add action=src-nat chain=srcnat dst-address=192.168.0.0/24 src-address=\
    192.168.99.0/24 to-addresses=192.168.0.65
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip proxy
set cache-path=web-proxy1
/ip route
add check-gateway=ping comment=ISP1 distance=1 gateway=pppoe-out1
add check-gateway=ping disabled=yes distance=2 gateway=\
    "ether4 reserv ,pppoe-out1"
add check-gateway=ping comment=isp2 distance=2 dst-address=0.0.0.0/32 gateway=\
    5.44.60.1
add comment=google disabled=yes distance=1 dst-address=8.8.8.8/32 gateway=\
    pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=*
set api-ssl disabled=yes
/ppp secret
add name=******* password=****** profile=vpn_server service=pptp
add local-address=192.168.99.1 name=i password=****** profile=vpn_server \
    remote-address=192.168.99.20 service=pptp
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Minsk
/system routerboard settings
set silent-boot=no
/tool e-mail
/tool netwatch
add host=8.8.8.8


pan4o
Сообщения: 10
Зарегистрирован: 13 фев 2019, 14:50

anad писал(а): 25 фев 2019, 13:52
pan4o писал(а): 25 фев 2019, 13:09 Какая информация нужна?
внятная схема:
где клиент, где пользователь, VPN, куда пинг идет, куда не идет.
крайне желательно конфиги обоих устройтв ( команда export), не забывайте вырезать из конфига пароли/логины . В вашем случае публичные IP надо не вырезать, а заменить на что-либо совпадающеее во всех конфигах ( если не одно устройтво микротик).
выложил


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

pan4o писал(а): 26 фев 2019, 13:41
anad писал(а): 25 фев 2019, 13:52
pan4o писал(а): 25 фев 2019, 13:09 Какая информация нужна?
внятная схема:
где клиент, где пользователь, VPN, куда пинг идет, куда не идет.
крайне желательно конфиги обоих устройтв ( команда export), не забывайте вырезать из конфига пароли/логины . В вашем случае публичные IP надо не вырезать, а заменить на что-либо совпадающеее во всех конфигах ( если не одно устройтво микротик).
выложил
сорри, совсем не бегу, но не вижу ip route и не вижу чтобы оно стало по connected, то есть роутер не знает куда девать 192.168.2.0/24


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Тут вероятно такие варианты:


1. Удаленная сеть 192.168.2.0/24 у Вас на роутере-Микротике pptp-клиенте ?

2. Или у Вас клиент Микротика-сервера - это ПК (ноутбук, планшет) ?

Если по первому варианту - то нужно на самом роутере Микротике-клиенте прописать маршрут в локальную сеть Микротика-сервера через VPN-шлюз. То есть на Микротике-клиенте прописываем маршрут в сеть 192.168.0.1/24 через шлюз 192.168.99.1 с нужной дистанцией (большей, чем у дефолтного маршрута в 0.0.0.0/0)

Если по второму варианту - то либо на ПК в Винде прописывать маршрут аналогично вышеизложенному, либо если клиент "тупой" и не позволяет прописывать статические маршруты в VPN-тоннелях, то остается использовать NAT (прятать всю локальную сеть за адресом роутера в VPN тоннеле), то есть добавить правило маскарада в /ip firewall nat на интерфейс VPN-клиента (его предварительно сделать статическим биндом).

Такие темы постоянно разбираются на форуме, все через это проходят ... Поищите ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить