Проблем с VPN

[DuMbh3aD]

Здравейте,

Като цяло съм новак с мокротик-а. Постарах се за изчета почти целия форум, но не намерих нищо което да ми помогне. Все пак се възползвах от някои интересни скриптове.

Та проблема ми е следния:

Имам няколко TP-Link-а, който са зад БТК ADSL. Рутерите са с една и съща конфигурация: wan ip 192.168.1.2 и lan ip 192.168.2.1 с пренасочени портове към PC:192.168.2.2

Настроих си един Routerbord за VPN PPTP сървър. Проблема ми е, че когато закача TP-Linkовете към VPN-a, пренасочванията на портовете им не сработва.

Ето и експорт от микротика:

# by RouterOS 6.34.4
# software id = MP3R-1I55
#
/interface bridge
add name=Priv
add name=Pub
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=WiFi \
    supplicant-identity="" wpa-pre-shared-key=******** \
    wpa2-pre-shared-key=********
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed name=WiFi_Pub supplicant-identity="" \
    wpa-pre-shared-key=******** wpa2-pre-shared-key=********
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
    name=WiFi_Priv security-profile=WiFi ssid=WiFi wds-default-bridge=Priv
add disabled=no keepalive-frames=disabled mac-address=xx:xx:xx:xx:xx:xx \
    master-interface=WiFi_Priv multicast-buffering=disabled name=WiFi_Pub \
    security-profile=WiFi_Pub ssid="Public WiFi" wds-cost-range=0 \
    wds-default-cost=0
/ip pool
add name=POOL_Priv ranges=192.168.88.150-192.168.88.254
add name=POOL_Pub ranges=192.168.0.1-192.168.0.254
add name=POOL_VPN ranges=192.168.10.1-192.168.10.254
/ip dhcp-server
add address-pool=POOL_Priv disabled=no interface=Priv name=DHCP_Priv
add address-pool=POOL_Pub disabled=no interface=Pub name=DHCP_Pub
/ppp profile
add local-address=192.168.10.1 name=VPN remote-address=POOL_VPN
/queue simple
add dst=WAN max-limit=512k/4M name=QUEUE_Pub target=Pub
/interface bridge port
add bridge=Priv interface=LAN_1
add bridge=Priv interface=LAN_2
add bridge=Priv interface=LAN_3
add bridge=Priv interface=LAN_4
add bridge=Priv interface=WiFi_Priv
add bridge=Pub interface=WiFi_Pub
/ip firewall connection tracking
set enabled=yes
/interface pptp-server server
set enabled=yes
/ip address
add address=*.*.*.*/* comment="IP for WAN" interface=WAN network=\
    *.*.*.*
add address=192.168.88.1/24 comment="IP for private network" interface=Priv \
    network=192.168.88.0
add address=192.168.0.1/24 comment="IP for public network" interface=Pub \
    network=192.168.0.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1
add address=192.168.88.0/24 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=208.67.222.222,208.67.220.220
/ip firewall filter
add action=drop chain=input comment=DROP_NO_BG_IPs in-interface=WAN \
    src-address-list=!BG_IPs
add action=drop chain=forward comment=DROP_PUB_TO_PRIV in-interface=Pub \
    out-interface=Priv
add action=drop chain=forward comment=DROP_TEAMVIEWER dst-port=5937-5939 \
    protocol=tcp src-address=!192.168.88.5
add action=drop chain=forward dst-address-list=TeamViewer src-address=!192.168.88.5
add action=drop chain=forward comment="BLOCK ADS" content=doubleclick.net \
    dst-port=80,443 protocol=tcp
add action=drop chain=forward content=ec-ns.sascdn.com dst-port=80,443 \
    protocol=tcp
add action=drop chain=forward content=ggpht.com dst-port=80,443 protocol=tcp
add action=drop chain=forward content=&ctier dst-port=80,443 protocol=tcp
add action=drop chain=forward content=googleads.g.doubleclick.net dst-port=\
    80,443 protocol=tcp
add action=drop chain=forward content=&ctier dst-port=80,443 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment=GATE_MASQUERADE out-interface=WAN
add action=dst-nat chain=dstnat dst-port=3389 in-interface=WAN protocol=tcp \
    src-address-list=ALLOW_IP to-addresses=192.168.88.5 to-ports=3389 \
    comment=RDPs
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.10.110 \
    dst-port=3389 protocol=tcp to-addresses=192.168.10.110 to-ports=3389
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.10.111 \
    dst-port=3389 protocol=tcp to-addresses=192.168.10.111 to-ports=3389
add action=redirect chain=dstnat comment=DNS dst-port=53 protocol=udp
add action=redirect chain=dstnat dst-port=53 protocol=tcp
/ppp secret
add name=TP-Link1 password=TP-Link1 profile=VPN remote-address=\
    192.168.10.110
add name=TP-Link2 password=TP-Link2 profile=VPN remote-address=\
    192.168.10.111

 

 

[111111]

Ползвай отделни адресни листи за локални и за отдалечени адреси

[DuMbh3aD]

Всички заявки към Микротика от кои да е TP-Link идват със сорс адрес 192.168.1.2. Нямам достъп до ADSL-ите да пренасоча dmz-то

[JohnTRIVOLTA]

На 1/19/2017 at 0:30, DuMbh3aD написа:

Здравейте,

Като цяло съм новак с мокротик-а. Постарах се за изчета почти целия форум, но не намерих нищо което да ми помогне. Все пак се възползвах от някои интересни скриптове.

Та проблема ми е следния:

Имам няколко TP-Link-а, който са зад БТК ADSL. Рутерите са с една и съща конфигурация: wan ip 192.168.1.2 и lan ip 192.168.2.1 с пренасочени портове към PC:192.168.2.2

Настроих си един Routerbord за VPN PPTP сървър. Проблема ми е, че когато закача TP-Linkовете към VPN-a, пренасочванията на портовете им не сработва.

 

 

Освен 1723 пренасоче ли и GRE /47/ ?

[DuMbh3aD]

40 minutes ago, JohnTRIVOLTA said:

Освен 1723 пренасоче ли и GRE /47/ ?

1723 не е пренасочван никъде. GRE в микротика или в tp-link трябва? TP-Link е модел WR1043ND и никаде не видях нищо за GRE протокола.  Достъп до ADSL-ите нямам.

Пуснах torch от микротика и всички заявки от tp-linkовете идват със сорс адрес 192.168.1.2

[JohnTRIVOLTA]

Мисля , че бъркаш малко нещата.Сега като гледам схемата първо не виждам защо е нужно пренасочване на портове на модемите и не мога да разбера какво искаш да постигнеш с VPN :

1.Да свържеш локалните мрежите зад тплинковете с тази при борда прозрачно ?

2.По конфига на борда съдя , че искаш да свържеш отдалечените мрежи, но пътища не виждам в конфига пък са и в еднакъв адресен сегмент тези локални мрежи?

или най-добре да споделиш схемата , че така е неразбираемо!

Редактирано 20 Януари, 2017 от JohnTRIVOLTA

[111111]

mikrotik local-pool 192.168.100.1-254
pool for tp-link 172.16.10.1-254

това във впн профила на микротика

[DuMbh3aD]

Схемата е следната. PC1 във всеки обект е сървър с база данни. Към тази база са свързани PC2, PC-то което е зад микротика и още един сървър, който не е описан в схемата по-горе. Проблема ми е когато се отваря нов обек. Понякога се налага да чакаме по 2-3 седмици докато прекарат интернет услига със статичен адрес. През този период, варианта за достъп до обекта е с мобилен 3-4G модем във VPN. Та това което се опитвам да направя е да може да се достъпват устройствата след рутерите и през външните адреси и през VPN-a от борда. В същото време с един фри акаунт в OpenDNS да се ограничат всички обекти.

Вариаант две е да се пробвам да уговоря достъпа до обектите да става през адреса на микротика, но по различни портове.

[111111]

Няма как да имаш "мулти" нат който да изпълнява функцията на геит без да опишеш доста повече неща

/ip fi na 
add action=dst-nat chain=dstnat comment="Remote Access" dst-address-type=local dst-port=81 protocol=tcp to-addresses=172.31.9.254 to-ports=80