PPTP-VPN и проблема с доступом к локальным ресурсам

Базовая функциональность RouterOS
Ответить
mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

PPTP-VPN и проблема с доступом к локальным ресурсам

Сообщение mrWayer » 22 апр 2019, 21:37

Собственно, столкнулся с проблемой при использовании PPTP сервера. Часть юзеров, подключающихся к шлюзу, не имеют доступа к сетевым ресурсам.

Подключение к шлюзу, PPTP, у пользователей есть, в журнале микротика все в порядке (STATUS CONNECTED) и выдается IP, которой должен быть. Однако ни один внутрисетевоей ресурс не пингуется, кроме шлюза. Конфликт подсеток? Выставил на у клиента на коробке (zxhn h208n) адреса от 200.200.*.* - ничего не поменялось. Покопался на форуме - выставил на PPTP MTU и MRU 1400 - тоже ноль эффекта.

Грешил на шлюз: но большая часть юзеров от того же БТК - отлично подключаются и работают. Мобильный интернет, МТС, Велком (Атлант так же) - тоже в порядке. В фильтрах, правилах, роутах - ничего конкретного по этим пользователям нет.

Я тупой? В какую сторону копать, подскажите, пожалуйста?

Аватара пользователя
Chupaka
Сообщения: 1810
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPTP-VPN и проблема с доступом к локальным ресурсам

Сообщение Chupaka » 22 апр 2019, 23:10

Вот вы жалуетесь, что у вас на роутере ничего конкретного - но ведь и в вашем сообщении тоже ничего конкретного, практически одни эмоции :)

Кто что при подключении получает, какова конфигурация сети, почему вы думаете, что что-то должно пинговаться, но не пингуется?

mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: PPTP-VPN и проблема с доступом к локальным ресурсам

Сообщение mrWayer » 23 апр 2019, 10:36

Chupaka писал(а):
22 апр 2019, 23:10
Кто что при подключении получает, какова конфигурация сети, почему вы думаете, что что-то должно пинговаться, но не пингуется?
Имею коробку RB962UiGS-5HacT2HnT. В Ether1 воткнут провод от БТК, в Ether2 воткнут провод от A1. Прописаны роуты гонящие весь трафик через Ether1, но, в случае если через него не пингуется 8.8.4.4, включается Ether2, как резервная линия. Клиенты в сети имеют ip-адреса (dhcp pool) 192.168.2.10 - 192.168.2.255, где 192.168.2.0 - bridge-local для ether3-ether5 и WLAN, a 192.168.2.1 - IP коробки.

На коробке поднят PPTP-сервер, адреса выдаются из того же пула, что и в случае с локальными клиентами, используется профайл default-encryption (IP назначен как 192.168.2.2).
Конструкция работает, подключение к обоим провайдерам имеется, на текущий момент работает линия БТК.

На что собственно моя жалоба:

1) Некоторые клиенты, не все, часть, ничего общего между ними нет, при подключении к VPN, как напрямую, по IP, выдаваемому БТК (статика), так и с CloudHostName (используем его чтобы в случае резервного подключения клиенты знали об изменении IP), успешно подключаются, но не видят ни 192.168.2.1, ни других клиентов bridge-local (в логе, при подключении пользователей, все в порядке, никаких ошибок)
2) Раз в 20 минут получаю ошибку dhcp-client on ether1 lost IP address 10.10.10.10 - lease expired. На коробке от провайдера все настроено адекватно, коробке микротика по маку выдана статика 10.10.10.10, Remaining Lease Time при этом - infinity.

Сам конфиг:

Код: Выделить всё

# apr/23/2019 10:48:50 by RouterOS 6.40.8
# model = RouterBOARD 962UiGS-5HacT2HnT
/interface bridge
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether4 ] master-port=ether3
set [ find default-name=ether5 ] master-port=ether3
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC \
    disabled=no frequency=2442 mode=ap-bridge ssid=***_2G \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-eeeC disabled=no frequency=5825 mode=ap-bridge ssid=***_5G \
    wireless-protocol=802.11
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=\
    ***
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.2.10-192.168.2.254
/ip pool
add name=vpn ranges=192.168.3.10-192.168.3.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=dhcp1
/ppp profile
set *FFFFFFFE address-list=VPN_LIST local-address=192.168.2.2 remote-address=\
    dhcp use-encryption=required
/interface bridge port
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=wlan2
/interface l2tp-server server
set use-ipsec=yes
/interface pptp-server server
set enabled=yes keepalive-timeout=300 max-mru=1400 max-mtu=1400
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.2.1/24 interface=bridge-local network=192.168.2.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
    interface=ether1
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
    interface=ether2
/ip dhcp-server lease
add address=192.168.2.123 client-id=1:fc:aa:14:28:65:75 mac-address=\
    FC:AA:14:28:65:75 server=dhcp1
add address=192.168.2.155 mac-address=BC:5F:F4:91:E8:FA server=dhcp1
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=accept chain=input dst-port=1723 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=1723 in-interface=ether2 protocol=tcp
add action=drop chain=output dst-address=8.8.4.4 out-interface=ether2
add action=reject chain=forward out-interface=ether1 reject-with=\
    icmp-network-unreachable src-address-list=VPN_LIST
add action=reject chain=forward out-interface=ether2 reject-with=\
    icmp-network-unreachable src-address-list=VPN_LIST
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
add action=masquerade chain=srcnat comment="masq. vpn traffic" limit=\
    1,5:packet src-address=192.168.3.0/24
/ip route
add comment=ISP1 distance=3 gateway=10.10.10.1
add comment=ISP2 disabled=yes distance=2 gateway=20.20.20.1
add comment=GOOGLE distance=1 dst-address=8.8.4.4/32 gateway=10.10.10.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.2.0/24,192.168.3.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.2.0/24,192.168.3.0/24
set api-ssl disabled=yes
/ppp secret
add name=test-login password=test-password profile=\
    default-encryption
/system clock
set time-zone-name=Europe/Minsk
/tool netwatch
add down-script=\
    "/ip route enable [find comment=\"ISP2\"]\r\
    \n/ip cloud force-update" host=8.8.4.4 interval=15s up-script=\
    "/ip route disable [find comment=\"ISP2\"]\r\
    \n/ip cloud force-update"

Куда копать?

Аватара пользователя
Chupaka
Сообщения: 1810
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPTP-VPN и проблема с доступом к локальным ресурсам

Сообщение Chupaka » 23 апр 2019, 13:04

"не видят 192.168.2.1" - это значит, что пинга нет на этот адрес? Трассировку смотрели? На роутере Tools -> Torch на подключении клиента - там эти пакеты прилетают? Так-то настройки, вроде, корректные.
mrWayer писал(а):
23 апр 2019, 10:36
2) Раз в 20 минут получаю ошибку dhcp-client on ether1 lost IP address 10.10.10.10 - lease expired. На коробке от провайдера все настроено адекватно, коробке микротика по маку выдана статика 10.10.10.10, Remaining Lease Time при этом - infinity.
Хм... Почему infinity? А на микротике какой lease time получает? Может, сделать что-нибудь более обыденное? 10 минут, например...

mrWayer
Сообщения: 11
Зарегистрирован: 01 мар 2019, 17:03

Re: PPTP-VPN и проблема с доступом к локальным ресурсам

Сообщение mrWayer » 23 апр 2019, 13:43

Chupaka писал(а):
23 апр 2019, 13:04
"не видят 192.168.2.1" - это значит, что пинга нет на этот адрес? Трассировку смотрели? На роутере Tools -> Torch на подключении клиента - там эти пакеты прилетают? Так-то настройки, вроде, корректные.
Хм... Почему infinity? А на микротике какой lease time получает? Может, сделать что-нибудь более обыденное? 10 минут, например...
Есть пинг, но при обращении на 80 порт (www) ничего не приходит. Клиенты VPN и локальные клиенты, если такая ситуация происходит, друг друга пинговать не могут.

Код: Выделить всё

Tracing route to 192.168.2.1 over a maximum of 30 hops
1    18 ms    16 ms    15 ms  192.168.2.1

Код: Выделить всё

Tracing route to 192.168.2.155 over a maximum of 30 hops
1    115 ms    25 ms    4 ms  192.168.2.2
2    *    *    *    *
Видимо Infinity ставится на коробке бтк автоматом, если выдан статический айпи. И о, чудо, не могу воспроизвести проблему, уже 2 час сижу жду отвал...

Аватара пользователя
Chupaka
Сообщения: 1810
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPTP-VPN и проблема с доступом к локальным ресурсам

Сообщение Chupaka » 23 апр 2019, 15:39

На 192.168.2.155 доступ есть? Можно с него попинговать ВПН-клиента? Трассировку тоже. И посмотреть в ARP-таблице 192.168.2.155, есть ли там запись для ВПН-клиента.

Ответить