PPTP не проходит файрволл RB750UP

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
shaihkritzer
Сообщения: 9
Зарегистрирован: 15 май 2019, 20:56
Контактная информация:

Добрый день. Когда-то давно настраивал PPTP на микротике и всё получилось легко и быстро. Но было это давно, а на этот раз не получается.

Цель - простая. На RB750UP поднимается PPTP-сервер. К нему подключаются клиенты с винды или андроида. Клиенты должны ходить в интернет через подключение этого микротика, а также видеть локальную сеть. Интернет в микротик приходит через ethernet-кабель. Подключение через pppoe настроено и поднято. У данного подключения есть статический полноценный айпи. Провайдер не устанавливает никаких ограничений.

Делаю всё по инструкциям, которые в первых ссылках в яндексе по запросу "настройка PPTP на микротик". В файрволле добавлен порт 1723 и GRE протокол, подняты выше всех запрещающих правил. In. Interface выставлен ether1 для обоих пунктов. Клиенты ни в какую не могут подключиться к сети. При этом, аналогичным образом проброшенный порт для VNC viewer (только forward вместо input, разумеется) прекрасно работает и я могу зайти на комп в локалке через VNC.

Стоит отключить правило файрволла 'drop all not coming from LAN', как клиенты сразу же могут подключиться, значит настройки PPTP правильные. Ни в одной инструкции ничего не сказано по поводу этого правила. Остальные запрещающие правила не влияют на возможность подключиться. Честно гуглил и рылся, не нашёл какого-либо внятного примера для аналогичной ситуации.

В логах попытки коннекта при включенном правиле никак не отображаются вообще. При выключенном - всё видно, подключение, отключение. Версия ПО firmware type ar7240, 2.38.

Собственно вопрос: как "протянуть" клиентов PPTP в обход этого правила? Если оставить его отключенным, то в логе сразу появляются левые попытки подключиться к роутеру. Как правильно настроить файрволл для моего случая?


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

В разрешающем PPTP правиле должно быть:

Chain - Input
Dst. Address - IP адрес вашего Ether1 (который ему оператор дает, который видно в IP/Adddress)
Protocol - 6 (TCP)
Dst. Port - 1723
In. Interface - Ether1
Action - Accept

Если интернет действительно приходит просто по Ether1 (без наложенных на него клиентов).

Правило про GRE лишнее.


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

А, вот ваша проблема.
shaihkritzer писал(а): 15 май 2019, 21:24 Интернет в микротик приходит через ethernet-кабель. Подключение через pppoe настроено и поднято. У данного подключения есть статический полноценный айпи. Провайдер не устанавливает никаких ограничений.
В разрешающем правиле нужно указывать не Ether1, а pppoe. Это другой интерфейс.

Поэтому
В разрешающем PPTP правиле должно быть:

Chain - Input
Dst. Address - IP адрес вашего pppoe (который ему оператор дает, который видно в IP/Adddress)
Protocol - 6 (TCP)
Dst. Port - 1723
In. Interface - pppoe (как у вам этот интерфейс называется)
Action - Accept


shaihkritzer
Сообщения: 9
Зарегистрирован: 15 май 2019, 20:56
Контактная информация:

Dst. Address не был указан, но его добавление ничего не даёт, равно как и отключение правила для GRE, равно как и изменение интерфейса. покуда включено правило "drop all not coming from LAN" - подключение не проходит. стоит его отключить - можно подключиться независимо от наличия Dst. Address, независимо от активности правила GRE, независимо от выбранного интерфейса в правиле 1723 порта (работает и с ether1, и с pppoe-out1, и с all ppp, и даже с bridge-local).


aleksandr.Fg
Сообщения: 1
Зарегистрирован: 03 мар 2021, 20:15

Мне помогло снять галку с new в правилах firewall для 1723 порта и gre, вкладка general, пункт Connection state. После этого при включенном правиле input !LAN=drop PPTP клиенты смогли подключаться.


Ответить