Реализация схемы с pptp

[36t032]

Гопода, прошу помощи.
В моей конторе стоял pfsense и после 3-х лет работы благополучно приказал долго жить. Кто его настраивал - никто не знает. Приобрели RouterBOARD 450G. Надо восстановить следующую схему.
1. ether1 - 192.168.0.2/24 WAN через PPPoE
2. ether2 - 192.168.232.7/24 - Local
3. PPTP сервер - 192.168.222.7
4. Pool pptp - 192.168.232.101-192.168.120
5. WEB proxy 192.168.232.7:8080
6. DHCP раздается сервером внутри сети
7. Сервер Exchange 192.168.232.15

Необходим доступ в интернет из локальной сети.
Удаленные клиенты подключаются через PPTP к локальной сети и в частности получать почту с сервера Exchange.

Т.к. практически не имею опыта конфигурирования роутера, сумел сделать начальную конфигурацию, поднял РРТР сервер,
создал РРТР клиентов. Интернет раздается, все счастливы.
Но есть проблема с pptp клиентами. Подключение есть, но доступа к сети нет. Видно только роутер.(ping только 192.168.232.7 и 192.168.222.7)
Я знаю, что надо смаршрутизировать, но не знаю как.
Не будете ли Вы так любезны оказать помощь, написать команды для описания маршрута от pptp клиентов до локальной сети. Если что не так объяснил, сорри ... в терминах не силен. (а 9 апреля должно все работать)
И еще вопрос: стоит ли связываться с прокси, как повлияет на безопасность сети его отсутствие.

[iSupport]

уберите клиентов РРТР в отдельную подсеть (например 192.168.250.0/24)

Либо надо на лету бриджить РРТР и локалку

Момент в том, что подсеть у Вас /24 ( то есть 255.255.255.0)

Соответственно РРТР клиенты ищут сервер почты между собой и роутером (в интерфейсе РРТР). А он в Ether-Local

Сделайте на РРТР-Пул другую подсеть и роутер будет все отлично маршрутизировать

[36t032]

пока спасибо. Завтра буду пробовать.

[36t032]

Спасибо. Все работает, но хотелось бы узнать на счет proxy. Стоит ли?

[iSupport]

Если запихнуть Микро СД на пару гигабайт

то прокси будет экономить трафик + можно запрещать сайты определенные, игры вконтакте например и т.д.

Прокси надо делать прозрачным, то есть не только для людей у которых прописан прокси, а для всех запросов на 80 порт в интернет заворачивать в прокси

Посмотрите тему про прокси, там много интересного.


Мое мнение - делать однозначно, но с кешированием трафика на СД карте

[36t032]

Болльшое спасибо за предидущие посты, но ничего не получается с pptp клиентами.
Они как не видели сеть, так и не видят.
пул выдал в диапазоне 192.168.222.100-192.168.222.199
Помогите, что еще надо сделать, или я что нибудь делаю не так.
Может все дело в настройках. У меня кроме стандартной защиты ничего нет.
Я в этой маршрутизации чайник, да и возраст не позволяет.

[iSupport]

распишите настройки подробнее

и что выдает tracert с РРТР клиентов

[36t032]

Вот все настройки:

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; default configuration
192.168.232.7/24 192.168.232.0 LAN
1 192.168.0.2/24 192.168.0.0 WAN

--------------
[admin@MikroTik] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 WAN ether 1500 1520 1520
1 R LAN ether 1500 1520 1520
2 ether3-slave-local ether 1500 1520 1520
3 ether4-slave-local ether 1500 1520 1520
4 ether5-slave-local ether 1500 1520 1520
5 pppoe pppoe-out
6 dvo pptp-out

---------------

[admin@MikroTik] > ppp profile print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default use-vj-compression=default
use-encryption=default only-one=default change-tcp-mss=yes

1 name="pptp" local-address=192.168.222.7 remote-address=pptp-client use-mpls=default
use-compression=default use-vj-compression=default use-encryption=yes only-one=default
change-tcp-mss=default

2 * name="default-encryption" use-mpls=default use-compression=default use-vj-compression=default
use-encryption=yes only-one=default change-tcp-mss=yes


---------------

[admin@MikroTik] > ppp profile print
Flags: * - default
0 * name="default" use-mpls=default use-compression=default use-vj-compression=default
use-encryption=default only-one=default change-tcp-mss=yes

1 name="pptp" local-address=192.168.222.7 remote-address=pptp-client use-mpls=default
use-compression=default use-vj-compression=default use-encryption=yes only-one=default
change-tcp-mss=default

2 * name="default-encryption" use-mpls=default use-compression=default use-vj-compression=default
use-encryption=yes only-one=default change-tcp-mss=yes

[admin@MikroTik] > ip pool print
# NAME RANGES
0 pptp-client 192.168.222.100-192.168.222.199
----------------

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=input action=accept protocol=icmp

1 ;;; default configuration
chain=input action=accept connection-state=established

2 ;;; default configuration
chain=input action=accept connection-state=related

3 ;;; default configuration
chain=input action=drop in-interface=WAN
-------

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=WAN


tracert выложу после 14.00

[PavelSES]

у меня схема примерно такая же, реализовано так:


да это не правильно... но работает
у клиентов сразу ip из локальной сети, натом их заворачивает в нее... единственный минус растущий вместе с числом клиентов адрес лист...

[36t032]

PavelSES, Ваша схема у меня почему то не реботает

Трассировка упирается 192.168.222.7

Что делать?