Здравствуйте.
Подскажите пожалуйста. Router OS свежая версия, белый ip. Подключаюсь к роутеру по vpn. Соединение проходит. По ip из ЛВС роутер открывается, но сервисы за роутером не доступны.
Как можно открыть доступ к ресурсам сети, такой же как внутри ЛВС, через vpn.
благодарю
VPN, ресурсы за роутером
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Перечитал 5 раз, ничего не понял.
1. Вы подключитесь к VPN из локальной сети микротика или с реального внешнего интернета???
2. К сервисам как обращаетесь? По имени или по IP.
3. Что пингуется с компьютера клиента VPN? Удаленный микротик, элементы локальной сети за микротиком???
4. Пробовали ли интерфейсе микротика, который смотрит в сторону локальной сети параметр ARP ставить в arp-proxy???
5. Что у вас с IP адресацией локальной сети и клиентов VPN, какая она???
Вопросом намного больше,чем ответов.
1. Вы подключитесь к VPN из локальной сети микротика или с реального внешнего интернета???
2. К сервисам как обращаетесь? По имени или по IP.
3. Что пингуется с компьютера клиента VPN? Удаленный микротик, элементы локальной сети за микротиком???
4. Пробовали ли интерфейсе микротика, который смотрит в сторону локальной сети параметр ARP ставить в arp-proxy???
5. Что у вас с IP адресацией локальной сети и клиентов VPN, какая она???
Вопросом намного больше,чем ответов.
-
- Сообщения: 96
- Зарегистрирован: 27 июл 2017, 21:12
gmx писал(а):Перечитал 5 раз, ничего не понял.
1. Вы подключитесь к VPN из локальной сети микротика или с реального внешнего интернета???
2. К сервисам как обращаетесь? По имени или по IP.
3. Что пингуется с компьютера клиента VPN? Удаленный микротик, элементы локальной сети за микротиком???
4. Пробовали ли интерфейсе микротика, который смотрит в сторону локальной сети параметр ARP ставить в arp-proxy???
5. Что у вас с IP адресацией локальной сети и клиентов VPN, какая она???
Вопросом намного больше,чем ответов.
1. подключение с реального внешнего интернета
2. по ip
3. только микротик, что за ним не пингуется
4. proxy-arp стоит
5. адресация ЛВС и VPN статика, подсети не пересекаются.
Код: Выделить всё
Настройка протокола IP для Windows
Адаптер беспроводной локальной сети Подключение по локальной сети* 11:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Адаптер PPP m12:
DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.1.20
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . : 0.0.0.0
Адаптер беспроводной локальной сети Беспроводная сеть:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
DNS-суффикс подключения . . . . . :
IPv6-адрес. . . . . . . . . . . . : 2001:0:9d38:6ab8:245c:
Локальный IPv6-адрес канала . . . : fe80::245c:1775:
Основной шлюз. . . . . . . . . : ::
Адаптер Ethernet Ethernet:
DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.56.30
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.56.1
благодарю
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
yden писал(а):5. адресация ЛВС и VPN статика, подсети не пересекаются.
[code]
Если у вас адресация не пересекается - зачем вам прокси-арп?
Там чистая маршрутизация тогда должна быть, и никакого прокси арпа не надо
Конфиг давайте
-
- Сообщения: 96
- Зарегистрирован: 27 июл 2017, 21:12
[quote="enzain"][quote="yden"]
5. адресация ЛВС и VPN статика, подсети не пересекаются.
благодарю
5. адресация ЛВС и VPN статика, подсети не пересекаются.
Код: Выделить всё
[/quote]
Если у вас адресация не пересекается - зачем вам прокси-арп?
Там чистая маршрутизация тогда должна быть, и никакого прокси арпа не надо
Конфиг давайте[/quote]
[code]
# jan/18/2018 15:01:57 by RouterOS 6.41
# software id = ****
#
# model = RouterBOARD 750 r2
# serial number = ****
/caps-man channel
add band=2ghz-g/n extension-channel=Ce name=channel1 tx-power=15
add band=2ghz-b/g/n name=channel2
add band=2ghz-b/g/n extension-channel=Ce name=channel3 tx-power=5
/interface bridge
add admin-mac=E4:8D:8C:98:74:8D arp=proxy-arp auto-mac=no fast-forward=no \
name=bridge_lan
/interface ethernet
set [ find default-name=ether4 ] name=ether4-slave-local
set [ find default-name=ether5 ] name=ether5-slave-local
set [ find default-name=ether3 ] arp=proxy-arp name=iptv
set [ find default-name=ether2 ] arp=proxy-arp name=lan
set [ find default-name=ether1 ] name=wan
/caps-man datapath
add bridge=bridge_lan client-to-client-forwarding=yes local-forwarding=no \
name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security1 passphrase=******
/caps-man configuration
add channel=channel2 datapath=datapath1 distance=dynamic hide-ssid=yes mode=\
ap name=cfg1 rx-chains=0,1,2 security=security1 ssid=m12 tx-chains=0,1,2
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.1.100-192.168.1.200
add name=iptv ranges=192.168.2.100-192.168.2.200
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
bridge_lan name=lan1
add address-pool=iptv disabled=no interface=iptv name=iptv
/ppp profile
add change-tcp-mss=yes local-address=192.168.1.1 name=pptp_profile \
remote-address=iptv
/system logging action
set 1 disk-file-name=log
/caps-man access-list
add comment=lenovo disabled=no mac-address=**** signal-range=\
-120..120 ssid-regexp="" time=0s-1d,sun,mon,tue,wed,thu,fri,sat
add comment="iphone dizya" disabled=no mac-address=******** \
signal-range=-120..120 ssid-regexp="" time=\
0s-1d,sun,mon,tue,wed,thu,fri,sat
add comment=papik disabled=no mac-address=******* signal-range=\
-120..120 ssid-regexp="" time=0s-1d,sun,mon,tue,wed,thu,fri,sat
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1 name-format=\
prefix-identity name-prefix=cap_
/interface bridge filter
add action=accept chain=output disabled=yes out-interface=lan packet-type=\
multicast
add action=drop chain=output disabled=yes out-interface=*15 packet-type=\
multicast
add action=drop chain=output disabled=yes out-interface=*16 packet-type=\
multicast
add action=drop chain=output disabled=yes out-interface=*18 packet-type=\
multicast
add action=drop chain=output disabled=yes out-interface=*1F packet-type=\
multicast
add action=drop chain=output disabled=yes out-interface=ether5-slave-local \
packet-type=multicast
/interface bridge port
add bridge=bridge_lan interface=lan
add bridge=bridge_lan interface=ether4-slave-local
add bridge=bridge_lan interface=ether5-slave-local
/interface bridge settings
set use-ip-firewall=yes
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=lan list=discover
add interface=iptv list=discover
add interface=ether4-slave-local list=discover
add interface=ether5-slave-local list=discover
add interface=bridge_lan list=discover
add interface=lan list=mactel
add interface=iptv list=mactel
add interface=lan list=mac-winbox
add interface=ether4-slave-local list=mactel
add interface=iptv list=mac-winbox
add interface=ether5-slave-local list=mactel
add interface=ether4-slave-local list=mac-winbox
add interface=ether5-slave-local list=mac-winbox
/interface pptp-server server
set default-profile=pptp_profile enabled=yes
/ip address
add address=192.168.1.1/24 comment="default configuration" interface=lan \
network=192.168.1.0
add address=192.168.2.1/24 comment=iptv interface=iptv network=192.168.2.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=\
no interface=wan
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=\
192.168.1.1 gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 dns-server=192.168.1.1 gateway=192.168.2.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.192.8,192.168.192.4
/ip dns static
add address=192.168.1.1 name=router
add address=****** name=nas.yujjjj
/ip firewall filter
add action=accept chain=input comment="IPTV UDP incoming" dst-port=1234 \
in-interface=wan protocol=udp
add action=accept chain=forward comment="IPTV UDP forwarding" dst-port=1234 \
protocol=udp
add action=accept chain=input comment="Allow IGMP" in-interface=wan protocol=\
igmp
add action=accept chain=input comment="dostup iz vne" disabled=yes \
dst-address=******* in-interface=wan protocol=tcp src-port=80
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="default configuration" \
connection-state=established,related
add action=accept chain=input comment=vpn dst-port=1723 in-interface=wan \
protocol=tcp
add action=accept chain=input comment=vpn protocol=gre
add action=accept chain=forward comment="default configuration" \
connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=wan
add action=drop chain=input comment=iptv dst-port=53 in-interface=wan \
protocol=udp
add action=drop chain=forward comment="default configuration" \
connection-state=invalid
add action=drop chain=forward comment="default configuration" \
connection-nat-state=!dstnat connection-state=new in-interface=wan
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=wan
add action=netmap chain=dstnat comment=mqtt dst-port=1883 in-interface=wan \
protocol=tcp to-addresses=192.168.1.70 to-ports=1883
add action=netmap chain=dstnat comment="Plex in" dst-port=34400 in-interface=\
wan protocol=tcp to-addresses=192.168.1.245 to-ports=32400
add action=netmap chain=dstnat in-interface=wan port=32443 protocol=tcp \
to-addresses=192.168.1.245 to-ports=32443
add action=netmap chain=dstnat dst-port=5353 in-interface=wan protocol=udp \
to-addresses=192.168.1.245 to-ports=5353
add action=netmap chain=dstnat comment="dostup iz vne -> nas (smb) " \
in-interface=wan port=445 protocol=tcp to-addresses=192.168.1.245 \
to-ports=445
add action=netmap chain=dstnat comment="dostup iz vne -> nas (afp)" \
in-interface=wan port=548 protocol=tcp to-addresses=192.168.1.245 \
to-ports=548
add action=netmap chain=dstnat comment="dostup iz vne -> nas (afp)" \
in-interface=wan port=427 protocol=tcp to-addresses=192.168.1.245 \
to-ports=427
add action=netmap chain=dstnat comment="dostup iz vne -> openhab2" dst-port=\
7070 in-interface=wan protocol=tcp to-addresses=192.168.1.70 to-ports=\
8080
add action=netmap chain=dstnat comment="dostup iz vne for nas adminka" \
dst-port=443 in-interface=wan protocol=tcp to-addresses=192.168.1.245
add action=dst-nat chain=dstnat comment="dostup iz lan -> wan (nas) smb" \
dst-address=******* dst-port=445 in-interface=bridge_lan protocol=\
tcp to-addresses=192.168.1.245
add action=masquerade chain=srcnat comment="lan -> wan (nas) smb" \
dst-address=192.168.1.245 dst-port=445 protocol=tcp
add action=dst-nat chain=dstnat dst-address=******* dst-port=445 \
in-interface=iptv protocol=tcp to-addresses=192.168.1.245
add action=masquerade chain=srcnat dst-address=192.168.1.245 dst-port=445 \
protocol=tcp
/ip route
add disabled=yes distance=1 gateway=83.234.38.1
/ip service
set www address=192.168.1.0/24,0.0.0.0/0
/ip smb shares
set [ find default=yes ] directory=/pub
/ppp secret
add local-address=192.168.1.1 name=**** password=****** remote-address=\
192.168.1.20 service=pptp
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=wan upstream=yes
add interface=iptv
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Irkutsk
/system identity
set name=hex_lite
/system ntp client
set enabled=yes primary-ntp=89.109.251.21 secondary-ntp=89.109.251.22
/system ntp server
set enabled=yes multicast=yes
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
благодарю
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
yden писал(а):5. адресация ЛВС и VPN статика, подсети не пересекаются.
Я правильно развидел.
ЛАН - это 56 подсеть
а РРТР - это 1я подсеть?
Пропишите статический маршрут, где сети 1й искать сеть 56 и наоборот.
-
- Сообщения: 96
- Зарегистрирован: 27 июл 2017, 21:12
Vlad-2 писал(а):yden писал(а):5. адресация ЛВС и VPN статика, подсети не пересекаются.
Я правильно развидел.
ЛАН - это 56 подсеть
а РРТР - это 1я подсеть?
Пропишите статический маршрут, где сети 1й искать сеть 56 и наоборот.
Да, правильно.
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
yden писал(а):Vlad-2 писал(а):yden писал(а):5. адресация ЛВС и VPN статика, подсети не пересекаются.
Я правильно развидел.
ЛАН - это 56 подсеть
а РРТР - это 1я подсеть?
Пропишите статический маршрут, где сети 1й искать сеть 56 и наоборот.
Да, правильно.
На роутере у вас в конфиге я что-тоне вижу сетку 56ую ...
Где она?
-
- Сообщения: 96
- Зарегистрирован: 27 июл 2017, 21:12
enzain писал(а):yden писал(а):Vlad-2 писал(а):Я правильно развидел.
ЛАН - это 56 подсеть
а РРТР - это 1я подсеть?
Пропишите статический маршрут, где сети 1й искать сеть 56 и наоборот.
Да, правильно.
На роутере у вас в конфиге я что-тоне вижу сетку 56ую ...
Где она?
Честно, я тогда не понял этот vpn. Например я в "тьме-таракани" выхожу в интернет, мне нужна домашняя сеть. Я по впн соединяюсь. Мне нужно каждый раз маршруты прописывать? Ладно я научусь это делать, а, сотрудники например. Им админа давать от микротика?
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
yden писал(а):enzain писал(а):yden писал(а):
Да, правильно.
На роутере у вас в конфиге я что-тоне вижу сетку 56ую ...
Где она?
Честно, я тогда не понял этот vpn. Например я в "тьме-таракани" выхожу в интернет, мне нужна домашняя сеть. Я по впн соединяюсь. Мне нужно каждый раз маршруты прописывать? Ладно я научусь это делать, а, сотрудники например. Им админа давать от микротика?
Подождите с маршрутами ...
Я не вижу, чтобы у вас микротик что-то знал вообще про 56 подсеть, откуда она взялась? куда подключен ПК с этим адресом что вы тут писали?