Приветствую!
У меня проблема и я не могу решить ее самостоятельно.
Я установил роль маршрутизации и удаленного доступа на Windows Server 2012 R2.
Маршрутизатор имеет 192.168.20.1, а сервер Windows Server 2012 R2 имеет 192.168.20.2 IP.
Я попытался сделать VPN двух типов: PPTP и Lt2P и открыл следующие правила в моем брандмауэре:
1. Filter Rules:
2. NAT
В обоих случаях ничего не работает, хотя по некоторым правилам полученные пакеты.
Если я подключаюсь напрямую к серверу (192.168.20.2), он работает, поэтому проблема в настройке микротика, что в моих настройках не так?
Спасибо заранее за вашу помощь.
VPN to Windows Server 2012 R2 RRAS
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
правила input для VPN сервера, поднятого на микротике.
Если у вас VPN сервер за микротиком - нужны правила форвард в фильтрах и src-nat в нате.
Плюс судя по портам, у вас там IPSEC присутствует. И он приземлен на микротик, а не на вин сервер.
Вообще есть такие правила
viewforum.php?f=15
они красными буквами написаны.
По приведенным картинкам мало что понятно.
Если у вас VPN сервер за микротиком - нужны правила форвард в фильтрах и src-nat в нате.
Плюс судя по портам, у вас там IPSEC присутствует. И он приземлен на микротик, а не на вин сервер.
Вообще есть такие правила
viewforum.php?f=15
они красными буквами написаны.
По приведенным картинкам мало что понятно.
-
- Сообщения: 6
- Зарегистрирован: 03 май 2019, 16:19
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
в этой теме рассказывали про проброс портов сквозь микротик на PPTP сервер. В теме роль сервера играет микротик, у вас - виндовс. Прочитайте, проброс одинаково устроен.
viewtopic.php?f=1&t=10141
viewtopic.php?f=1&t=10141
-
- Сообщения: 6
- Зарегистрирован: 03 май 2019, 16:19
Erik_U писал(а): ↑06 май 2019, 13:53 в этой теме рассказывали про проброс портов сквозь микротик на PPTP сервер. В теме роль сервера играет микротик, у вас - виндовс. Прочитайте, проброс одинаково устроен.
viewtopic.php?f=1&t=10141
К сожалению, не вижу решение по моему случаю. Вот принт моих правил, возможно будет так легче найти в чем ошибка:
add action=passthrough chain=forward comment=PPPT dst-address=192.168.20.2 \
dst-port=1723 protocol=tcp src-port=1723
add action=passthrough chain=forward dst-address=192.168.20.2 protocol=gre
add action=passthrough chain=forward comment=L2TP dst-address=192.168.20.2 \
in-interface=ether1 port=1701,500,4500 protocol=udp
add action=passthrough chain=forward dst-address=192.168.20.2 in-interface=\
ether1 protocol=ipsec-esp
add action=accept chain=input in-interface=ether1 protocol=ipsec-esp
add action=accept chain=input dst-port=1701,500,4500 in-interface=ether1 \
protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat
add action=passthrough chain=dstnat comment=PPTP protocol=gre
add action=netmap chain=dstnat dst-port=1723 protocol=tcp to-addresses=\
192.168.20.2 to-ports=1723
add action=dst-nat chain=dstnat disabled=yes dst-port=1723 protocol=tcp \
to-addresses=192.168.20.2 to-ports=1723
add action=passthrough chain=dstnat comment=L2TP protocol=ipsec-esp
add action=dst-nat chain=dstnat dst-port=1701 protocol=udp to-addresses=\
192.168.20.2 to-ports=1701
add action=dst-nat chain=dstnat dst-port=500 protocol=udp to-addresses=\
192.168.20.2 to-ports=500
add action=dst-nat chain=dstnat dst-port=4500 protocol=udp to-addresses=\
192.168.20.2 to-ports=4500
add action=dst-nat chain=dstnat dst-address=My publicIP port=1701,500,4500 \
protocol=tcp to-addresses=192.168.20.2 to-ports=1701
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
Объясните выделенное красным.awstest писал(а): ↑06 май 2019, 14:17
add action=passthrough chain=forward comment=PPPT dst-address=192.168.20.2 \
dst-port=1723 protocol=tcp src-port=1723
add action=passthrough chain=forward dst-address=192.168.20.2 protocol=gre
add action=passthrough chain=forward comment=L2TP dst-address=192.168.20.2 \
in-interface=ether1 port=1701,500,4500 protocol=udp
add action=passthrough chain=forward dst-address=192.168.20.2 in-interface=\
ether1 protocol=ipsec-esp
add action=accept chain=input in-interface=ether1 protocol=ipsec-esp
add action=accept chain=input dst-port=1701,500,4500 in-interface=ether1 \
protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat
add action=passthrough chain=dstnat comment=PPTP protocol=gre
add action=netmap chain=dstnat dst-port=1723 protocol=tcp to-addresses=\
192.168.20.2 to-ports=1723
add action=dst-nat chain=dstnat disabled=yes dst-port=1723 protocol=tcp \
to-addresses=192.168.20.2 to-ports=1723
add action=passthrough chain=dstnat comment=L2TP protocol=ipsec-esp
add action=dst-nat chain=dstnat dst-port=1701 protocol=udp to-addresses=\
192.168.20.2 to-ports=1701
add action=dst-nat chain=dstnat dst-port=500 protocol=udp to-addresses=\
192.168.20.2 to-ports=500
add action=dst-nat chain=dstnat dst-port=4500 protocol=udp to-addresses=\
192.168.20.2 to-ports=4500
add action=dst-nat chain=dstnat dst-address=My publicIP port=1701,500,4500 \
protocol=tcp to-addresses=192.168.20.2 to-ports=1701
Вообще есть такие правила
viewforum.php?f=15
они красными буквами написаны.
По вашему "принту" не очень понятно, что вы настраиваете.
-
- Сообщения: 6
- Зарегистрирован: 03 май 2019, 16:19
Если хочешь сделать что-то хорошо, сделай это сам. Erik_U, Не понимаю, зачем отвечать, если даже не понял смысл вопроса.
Решение для тех, кому в будущем поможет: поменяте "passthrough" на "accept" в Filter rules и "passthrough" на "dstnat" в NAT. И будет счастье!
Решение для тех, кому в будущем поможет: поменяте "passthrough" на "accept" в Filter rules и "passthrough" на "dstnat" в NAT. И будет счастье!