Russian Users MikroTik | Форум пользователей MikroTik

Есть VPN сервер поднятый на Kerio Control
Если я подключаю к нему виндовый клиент - трафик направляется через впн, а с впн сервера я нормально пингую его и подключаюсь на нужные порты
Я настроил микротик, подключил его к впн серверу, промаркировал трафик, прописал маршрут и теперь трафик нормально заворачивается на впн сервер.
С клиента подключенного к микротику - я нормально пингую машины находящиеся за впн сервером
А вот в обратном направлении пинг не идет.
WAN интерфейс: ether1
IP микротика: 192.168.1.1
IP пк подключенного к микротику: 192.168.1.254
PPP интерфейс: l2tp-out1
IP микротика после подключения к VPN: 172.29.119.3
IP VPN Сервера: 172.29.119.1
Сеть за впн сервером: 192.168.156.1

Пинг с 192.168.1.254 => 192.168.156.1 идет нормально
Пинг хотябы на микротик 192.168.156.1 => 172.29.119.3 - не идет

Если подключать просто виндовый клиент то всё ходит, так что проблема в настройках микротика а не керии.

Помогите правильно настроить доступ из сети за впн сервером в сеть за микротиком

Ваш ВПН сервер ничего не знает о подсети за микротиком. Нужно прописать маршрут.

И еще отключите ВСЕ правила фаерволла. Хотя бы временно.

Но ВПН сервер не пингует даже айпи что выдал микротику :(. А когда он выдает айпи подключившейся виндовой машине, его он пингует нормально

Рисуйте схему с адресами.

Несколько раз перечитал ничего не могу понять.


Да... вот еще что, на микротке на бридже, который смотрит в сторону локальной сети поставьте ARP-proxy.

Я беру PC1, вывожу в интернет через GW, подключаю к Kerio Control, получаю IP внутри виртуальной сети. С PC2, который находится внутри локальной сети KerioControl и имеет ip например 192.168.156.66 пингую адрес 172.26.119.2 - пинг идет, пакеты по всем портам летают.

Далее я беру PC1, подключаю его к микротику, микротик вывожу в инет через GW, настраиваю на нем l2tp-ou1, подключаюсь к впн серверу, микротик получает ip 172.26.119.3, настраиваю маршрут на микротике чтобы трафик шел через впн, проверяю IP на яндексе, вижу IP главного офиса, всё нормально, инет работает.
После этого я пытаюсь с PC2 пропинговать адрес микротика = 172.26.119.3 - пинг не идет.
С керией никакие манипуляции не проводятся ни в варианте с микротиком ни в варианте без микротика.
Без микротика пинг до устройства подключенного к впн идет
С микротиком не идет. Фильтры в микротике отключены.

В фаерволле в NAT прописано:
Nat Rule 0
Chain: srcnat
Out. Interface: l2tp-out1
Action: masquerade

Nat Rule 1
Chain: srcnat
Out. Interface: ether1-wan
Action: masquerade

Так же пробовал прописать это:
NAT RUle
Chain: dstnat
Protocol: 1 (icmp)
In. Interface: l2tp-out1
Action: accept

Локальные порты в бридж не объединены, используется только ether1 и ether2, ether3-5 не используются, но назначены рабами ether2.
У ether2 выставил ARP сначала enabled, потом proxy-arp пинг не идет. Где-то я упускаю галочку или правило которое надо поставить :(

1. Все правила фаерволла на микротике отключить!
2. Проверить с GW 192.168.33.1 пинг до микротка по IP VPN. Убедиться, что они есть.
3. Прописать маршрут на керио до локальной сети, которая спрятана за микротиком. Шлюзом будет микротик.
4. Прописать на микротике маршрут до подсети за керио.

5. Возможно нужно еще прописать маршруты на GW 192.168.33.1. Допускаю, что керио не причем, все зависит от настроек самого керио и GW 192.168.33.1.

1. Все правила отключены
2. C GW 192.168.33.1 => mikrotik vpnip 172.26.119.3 пинг не идет. Разве промежуточные узлы должны знать о том какой адрес у виртуальной сети подключенных к ним устройств? О_ОC GW 192.168.33.1 => mikrotik ip 192.168.33.114 пинг идет.
3. Маршрут на керио прописал (но когда подключается виндовая машина через windows vpn, все работает без маршрутов, разрешения трафика между локалкой и впн клиентами прописаны на уровне правил)
4. Прописал, но пинг в сеть за впн сервером и так ходит.

5. Это же впн, разве GW вообще учавствует в процессе обмена трафиком через впн, он же только дает интернет? у GW серый айпишник, через него нормально устанавливается соединение с впн, дальше же все должно уже на микротике разруливаться?

Пинг от PC1 до PC2 при подключении через микротик по прежнему не идет.
Может надо где-то в нате создать правило? Прописал правило в фаерволле на разрешение input, результат так же 0 :(

Ну я немного не въехал в вашу схему. Сервер VPN - он же керио?? Я правильно понял??? Если да, то тогда точно на GW ничего делать не надо.

Что касается NAT. На микротике сделайте NAT как можно более общим.
chain=srcnat action=masquerade log=no log-prefix=""

без указания интерфейсов и исходящих подсетей.


Еще раз. Выключите ВСЕ!!! правила фаерволла на вкладке filters!!! Потом будете включать.

Завтра ресетну микротик и буду поновой настраивать, по результатам напишу. Но в фильтрах у меня всё выключено :(

Собственно результат:
Схема работы через ZyXel:
Беру Zyxel Keenetic II, вывожу его в инет, подключаю к vpn серверу, в межсетевом экране настраиваю разрешение для интерфейса подключенного к впн udp tcp & icmp и всё, с компа в локальной сети впн сервера я спокойно пингую айпишник зюкселя, пробрасываю на нем порты и они проходят в сеть которая сидит за зюкселем.
Следовательно к керио ничего прописывать и настраивать не надо, всё и так работает.

Настраиваю микротик, подключаю к впн, прописываю маршрут к впн серверу, трафик идет через него, но из сети впн сервера микротик даже не пингуется.

Прописывал разрешения для udp icmp & tcp для цепочек input и forward на микротике в firewall всё равно не работает. Подскажите что еще надо настроить?
Вот мои маршруты



UPD:Пинг до микротика таки прошел :)