туннель внутри сети

Обсуждение оборудования и его настройки
waxy
Сообщения: 16
Зарегистрирован: 14 окт 2011, 23:31

Добрый день!

имеются два микротика RB750, на которых DHCP 192.168.88.0/24, раздача инета через рррое-серверы 10.10.0.0/24, т.е. настроены абсолютно идентичны

один из микротиков обслуживает удаленный офис(доступ в инет), однако требуется удаленное администрирование, но сервер для этих целей ставить не планируется, решили локально(вай-фай мост).

т.е. удаленно можно пробросом портов заходить к клиентам и администрировать, но это в случае поднятого на их компа рррое до микротика, т.е. если клиент автоизован, но последнее время часто стало случатся, что сбивается подключение рррое на компе и тамошние пользователи просто не в состоянии даже по телефону настроить его, да и с вирусами иногда проблемы возникают, поэтому нужен локальный доступ до компов.
Возник вопрос как это с маршрутизировать?

сейчас на каждом RB750 инет завден на eth1(рррое-клиент до провайдера), на eth2 DHCP-сервер+РРРОЕ-сервер - раздача адресов локалки и инета..

Допустим на МК1 сделаем DHCP - 192.168.1.0/24, а на МК2 DHCP - 192.168.2.0/24 и соединим МК1 и МК2 вай-фай мостом через eth5 на каждом микротике.

планируется через мост локально подключаться к компам удаленного офиса через программу Team_Viewer, которая при запуске на компе рандомом присваивает адрс этому компу, а на своем компе выбираешь подключится и забиваешь выданной программой адрес удаленного компа, работает как локально, так и через инет....

так вот надо сдеать так, чтобы через этот мост адреса не раздавались DHCP, т.е. микротики не мешали друг другу раздавая адреса, но в то же время через них работала эта программа, которая судя по всему испольтует широковещательные пакеты.
Как это реализовать?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

А не проще сделать впн сервер на удаленном офисе - выдать там подсети кусок (адресов 5..10)

и завести его в бридж с пользователями.

Таким образом, подняв ВПН до микротика вы будете вместе с юзерами


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
waxy
Сообщения: 16
Зарегистрирован: 14 окт 2011, 23:31

отличная идея!
настраивал РРТР внутри сети, сделать его на внешку нужны какие-то дополнительные правила в файерволе?

я так понял нужен бридж между eth локалки и РРТР-сервером, поднятым во внешку, но не с eth, на котором поднят этот сервер, т.к. иначе из сети провайдера полезут, как это сделать?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Можно сделать еще 1 РРТР на внешний порт - и просто роутить его к юзерам


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
waxy
Сообщения: 16
Зарегистрирован: 14 окт 2011, 23:31

клинты получают по DHCP 192.168.88.0/24, поднят РРРОЕ-сервер в сети, клиенты при авторизации получают айпишники из пулов 10.10.1.0/24, 10.10.2.0/24, 10.10.3.0/24....

сейчас у меня поднятно несколько рррое-клиентов до провайдера с постоянными белыми айпишниками, клиенты каждый жестко ходят через свой интерфейс(рррое-клиент)

создал рртр-pool 10.10.0.0/24, поднял рртр-сервер, в secrets создал учетку service=pptp profile=pptp-profile Local Address=10.10.0.1 Remote Address=10.10.2.223(один из пула рррое-сервера локального)

при попытке подключения извне доходит до проверки имени пользователя и пароля, установка связи с микротиком по рртр, затем по L2TP и выдает 800 ошибку.

сделал проброс порта 1723 от внешнего рррое-клиента до 10.10.0.1 1723, но тоже самое отключил...
сделал масгардинг для 10.10.0.0/24

что забыл?


waxy
Сообщения: 16
Зарегистрирован: 14 окт 2011, 23:31

up


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Настраивал на виндовс 7 ???


я тоже мучился, получал не весть какие ошибки ( в том числе как номера телефонов - 8 значные)

Задай на компе тип протокола - РРТР и убери *требовать шифрование*


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
waxy
Сообщения: 16
Зарегистрирован: 14 окт 2011, 23:31

я рртр создавал до микротика(до этого был локальный рртр на нем поднят), а здесь удаленно, так вот он доходит до проверки имени пользователя и пароля и потом начинает перебирать протоколы и опять 800 ошибка...

1. создал рртр
2. выделил несколько адресов из локального пула микротика, для авторизации из вне

что еще нужно сделать?
может быть какие-то правила дополнительно для входящего рртр(порт 1723) создать?
как для локального делаем маскардинг, то и для входящего рртр из вне что-то аналогичное прописать надо?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

С чегопытаещься коннектиться к микротику???

Если с Вин 7 - посмотри мануал в картинках http://www.ufaman.ru/help/internet/readers/win7.shtml (кстати - это первая ссылка гугл, никакой рекламы =) )

Если после установления РРТР тебе нужен с этого РРТР инет - то сделай для РРТР маскардинг на внешку


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
waxy
Сообщения: 16
Зарегистрирован: 14 окт 2011, 23:31

я настроил РРТР изначально по дефолту, как в вашей ссылке, только без настроек закладок СВОЙСТВА
у меня винда7 ультимейт, так вот с нее я уже настраивал также подефолту рртр до микротика, на котором был поднят локальный РРТР-сервер(другой микротик) и все подключалось мгновенно...

настроил по вашей ссылке, тперь выдает 807 ошибку с предполагаемой причиной в виртуальной сети...
т.е. теперь даже до проверки логина и пароля не доходит, как с дефолтным РРТР...

из таких "сложных манипуляций" можно наверное сделать вывод, что если настроить по дефолту в винде 7 РРТР, то он будет коннектится к микротику и если проблема наступает уже на стадии проверки имени и пароля, то проблема в настройках микротика, не так ли?

я так подозреваю, что в ip firewall filter rules нужно создать разрешающее правило на входящий РРТР из вне для порта 1723?


Ответить