Russian Users MikroTik | Форум пользователей MikroTik

Попалась вот такая задачка. Нужно проложить VPN туннель к серверу за 3- мя роутерами. Так сложилось у клиента схему поменять нет возможности. Подскажите если кто уже делал какие лежат на пути подводные камни. Думаю поднять Сервер PPtP на 10.11.11.2 и пробросить до него порт 1723 с пограничного роутера.

Вероятно нужно называть всё своими именами. Вам нужно прокинуть VPN туннель не "к серверу за 3-мя роутерами", а к роутеру 10.11.11.2, т.к. сервер, исходя из Вашей схемы, получает адрес в локальной сети 192.168.88.2 от него и соответственно маршрутизация между 10.11.11.2 и 192.168.88.2 уже есть.
Да, вероятно можно поднять pptp-сервер на 10.11.11.2. Порт 1723 до него Вам придется прокидывать "последовательно" - с первого роутера на второй и со второго на третий.
Через один роутер на второй я pptp прокидывал, через два на третий не приходилось ...

Можно, вероятно, pptp-сервер сделать и на первом роутере или на втором - т.е. на любом.

Если на первом (что проще), то порт прокидывать не нужно будет, всё должно работать, если все три роутера связаны нормально простой маршрутизацией. Ваши pptp-клиенты будут связываться с первым роутером (имеющим белый IP), а дальше, если запретов нет, соединение пойдет уже вне VPN по существующим статическим маршрутам через оставшиеся роутеры к Вашему локальному серверу. Мне кажется так проще и без геморроя ...

Я мож не так задачу понял но попытался бы делать так:

1) взял какую-то не пересекающую (ни с кем) IP-сетку, можно не большую, скажем /29 (для запаса)
2) стал её "вести" маршрутами с 1-го(условно) до последнего (условно) роутера, описывая маршруты по пути на других роутерах.
3) натянул IP-IP туннель между IP этой сетки /29 (один адрес будет на 1-м роутере, второй адрес будет на последнем роутере)
4) на роутере последнем загонял всё что нужно в IPIP туннель (и загонялось туда с адресацией которая есть, химичить не надо было),
на роутере с внешкой - получаем адресацию серую того роутера и той сети, как надо, видим всех клиентов, можем делать
ограничения, ну и на выходе натить эту сетку и в глобал.

Как ни крути, маршрутизацию вначале чуть сложнее делать, но потом гибче всё остальное получать.


P.S.
У меня между работой и домом натянут GRE туннель(L3-траф), внутри него 4-е(четыре) EoiP туннеля(L2-траф),
каждый который уходит/привязан к каналу своему (провайдеру) на работе, у меня (дома) эти туннели оформлены
как отдельные WAN'ы (4-е штуки).
Когда порой сдаём тех-поддержке проверку каналов, а они звонят по Москве (а у меня
это поздний вечер/ночь), а канал и мне выгодно проверить и им заявку закрыть, удобно вставать
мне на такой канал и чисто проверять как он работает, имитируя что я на работе.

Спасибо всем ответившим!
Сложность в том что первые два роутера принадлежат дружественной фирме, с админом которой есть взаимопонимание. Между ними там ещё много чего есть, в том числе и 2 радиомоста. К счастью все роутеры на маршруте - Микротик.
Сегодня поеду на объект будем разбираться.
Я рассматриваю вариант с пробросом порта как основной - более простой в реализации. И вариант поднять VPN сервер на пограничном маршрутезаторе с пробросом как резервный, если первый не покатит. (Вдруг там уже поднят VPN сервер).
Будут результаты отпишусь

Пока борюсь. Проброс порта 1723 не дает результата в логе пишет что TCP соединение принято, а VPN соединение не устанавливается. Проброс порта для винбокса работает. Первый роутер оказался керио.

Ca6ko писал(а): ↑23 янв 2019, 10:03 Пока борюсь. Проброс порта 1723 не дает результата в логе пишет что TCP соединение принято, а VPN соединение не устанавливается. Проброс порта для винбокса работает. Первый роутер оказался керио.

PPtP просит еще прокинуть не только TCP 1723, но GRE пакеты c чем вероятно будут сложности.
Можете попробовать L2TP тот живет только в TCP/UDP пространстве без GRE и подобных протолов.

Похоже что ответ не доходит. Попробуем сменить протокол. Спасибо за совет.

В общем после длительных экспериментов удалось прокинуть тунель L2TP в обратную сторону, сделав роутер 10.11.11.2 клиентом. Все другие варианты, которые пробовали, не заработали

Это значит, что порты не смогли нормально пробросить (для первоначально планируемого варианта, где этот роутер планировали сделать сервером).
Ну вышли из положения и хорошо ... Так тоже можно, проще даже ...

Да у админа там так всё наворочено, что он не смог разрулить обратный трафик. То есть туда пакеты доходили, обратно ответ терялся.