zyxel giga III pptp сервер+microtik pptp client

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

Здравствуйте, помогите правильно настроить:
Дома на zyxel giga III поднят pptp сервер (Начальный адрес пула: 172.16.1.1) с белым адресом XX.XX.XXX.XX
Для рабочего компа выделен в тунеле ip: 172.16.1.2, на даче еще один микротик ему выделен ip: 172.16.1.3.
На работе Mikrotik RB953U1 (hap ac lite) + 4g модем E3372 (перешит в hilink) работает через yota. Подключение к серверу есть, хочу пустить зашифрованный трафик внутренней сети через домашний белый адрес. Подскажите пожалуйста какие правила и маршруты прописать в микротике, чтобы все компьютеры видели друг друга? Заранее спасибо.
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

Подозреваю, на каждом Мелкотике надо прописать, например, маршрут к 172.16.1.0/24 через vpn-тоннель, чтобы он знал, где других искать. Но тут больше вопрос к Зюхелю: он что с трафиком делает? Не натирует ли, например?

Если что-то не работает - лучше сразу писать, что именно и между какими адресами, приложив трассировку хотя бы.
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

На zyxele прописал маршрут: Адрес или сеть назначения: 192.168.2.0 / 255.255.255.0 Адрес шлюза: 172.16.1.2 - так?
На микротике: Dst. Address 172.16.1.0/24 Gateway: pptp_home - так чтоли?

ping 192.168.1.1 не проходит!
Traceroute To 192.168.1.1 timeout!
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

А что за 192.168.1.1? Вы на микротик добавили маршрут к этой подсети?
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

Dst. Address 192.168.1.1/32 (внутренняя сеть zyxel)
Gateway: pptp_home
Pref. Source: 172.16.1.2 (выделенный адрес в туннеле для микротика)
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

Это вы сейчас добавили, или уже тогда было? И где трассировка-то? timeout прямо с самого первого хопа? Данные диагностики, как бы ни хотелось проявить литературные способности, старайтесь копировать без изменения, а не описывать своими словами.
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

Было тогда уже, а как трассировку сохранить? я из web морды делаю Traceroute и с первого хлопа timeout
если подскажите как выгрузить трассировку выложу чтоб не описывать своими словами :)
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

Да хоть бы и скриншотом :) Из терминала -

Код: Выделить всё

/tool traceroute 192.168.1.1
Но если даже первый же хоп не отвечает - я бы косился в сторону настроек кинетика.
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

/tool traceroute 192.168.1.1
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 100% 4 timeout
2 100% 4 timeout
3 100% 4 timeout
4 100% 3 timeout
5 100% 3 timeout
Цифровая типография в Москве здесь
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

На кинетике прописан маршрут:
Адрес назначения / Шлюз / Интерфейс
192.168.2.0 / 24/172.16.1.2 / PPTPVPN

на микротике:
mikrotik-routes.jpeg
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Цифровая типография в Москве здесь
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

trace route с кинетика:
starting traceroute to 192.168.2.1...
traceroute to 192.168.2.1 (192.168.2.1), 30 hops maximum, 84 byte packets.
1 192.168.2.1 (192.168.2.1) 70.018 ms 64.453 ms 31.910 ms
zyxel-pptp.jpeg
а вот обратно никак:
/tool traceroute 192.168.1.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 5 timeout
2 100% 5 timeout
3 100% 5 timeout
4 100% 4 timeout
5 100% 4 timeout

/tool traceroute 192.168.3.1
# ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS
1 100% 4 timeout
2 100% 3 timeout
3 100% 3 timeout
4 100% 3 timeout
5 100% 3 timeout
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

До 192.168.2.0/24 вопрос ещё не доходит. Откуда берётся динамический маршрут на 192.168.1.1/32 - я пока не вижу, а зачем вы указываете Pref. Source в статическом маршруте - не понимаю.

Пинг на 192.168.1.1 идёт? А 172.16.1.1 - это кто?
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

Chupaka писал(а): 09 июл 2018, 16:52 До 192.168.2.0/24 вопрос ещё не доходит. Откуда берётся динамический маршрут на 192.168.1.1/32 - я пока не вижу, а зачем вы указываете Pref. Source в статическом маршруте - не понимаю.
Пинг на 192.168.1.1 идёт? А 172.16.1.1 - это кто?
Начальный IP-адрес: 172.16.1.1 поднятого PPTP сервера на кинетике (локальная сеть 192.168.1.0/24)
Chupaka писал(а): 09 июл 2018, 16:52Пинг на 192.168.1.1 идёт?
- нет не идет

Хотя с клиента 192.168.2.1 захожу в web морду кинетика по адресу 192.168.1.1 Ничего не понимаю...
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

Dominik писал(а): 09 июл 2018, 17:03 Начальный IP-адрес: 172.16.1.1 поднятого PPTP сервера на кинетике (локальная сеть 192.168.1.0/24)
Так кому он выдаётся? Почему вы его прописали в статическом маршруте на мелкотике как pref-source?
Dominik писал(а): 09 июл 2018, 17:03 Хотя с клиента 192.168.2.1 захожу в web морду кинетика по адресу 192.168.1.1 Ничего не понимаю...
Правила файрвола? :)
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

убрал уже pref-source, ничего не изменилось пока
pptp1.jpeg
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

А какие варианты "Доступа к сети"?
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

zyxel где поднят сервер, проводом к провайдеру-белый ip
микротик1 через LTE
микротик2 провод
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

Я говорю, в выпадающем списке "Доступ к сети" какие варианты, кроме Home VLAN?
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

Chupaka писал(а): 09 июл 2018, 21:13 Я говорю, в выпадающем списке "Доступ к сети" какие варианты, кроме Home VLAN?
нет вариантов больше
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

Ну, больше по Zyxel мне добавить нечего, никогда с ними не работал.

При подключении не роутером, а компьютером всё доступно?
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

Вот конфиг микротика:

Код: Выделить всё

# jul/10/2018 13:08:24 by RouterOS 6.42.5
# software id = RG2W-6FVW
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = XXXXXXXXXXXXX
/interface lte
set [ find ] comment=Yota mac-address=00:00:00:00:00:00 name=lte1
/interface bridge
add comment=LAN fast-forward=no name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface list
add name=Bridge
add comment="contains WAN interfaces" name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool ranges=192.168.2.2-192.168.2.30
/ip dhcp-server
add address-pool=dhcp_pool authoritative=after-2sec-delay disabled=no \
    interface=bridge1 lease-time=45m name=dhcp
/ppp profile
set *0 bridge=bridge1 change-tcp-mss=no use-compression=no use-encryption=yes \
    use-mpls=no use-upnp=no
set *FFFFFFFE bridge=bridge1 use-mpls=no use-upnp=no
/interface pptp-client
add allow=mschap2 comment="Private VPN" connect-to=XX.XXX.XX.XXX disabled=no \
    mrru=1600 name=pptp_home password=YYYYYYY profile=default user=ZZZZZ
/interface bridge port
add bridge=bridge1 interface=all
/interface list member
add interface=bridge1 list=Bridge
add interface=pptp_home list=WAN
add interface=lte1 list=WAN
/ip address
add address=192.168.2.1/24 interface=bridge1 network=192.168.2.0
/ip dhcp-server lease
add address=192.168.2.22 client-id=0:00:00:00:00:00:00 mac-address=\
    00:00:00:00:00:00:00 server=dhcp
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.2.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.2.1
/ip firewall filter
add action=accept chain=output comment=pptp_home dst-address=XX.XXX.XX.XXX
add action=accept chain=input comment="defconf: ACCEPT ICMP" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment=\
    "defconf: ACCEPT established and related" connection-state=\
    established,related
add action=drop chain=input comment="defconf: DROP other input from WAN" \
    in-interface-list=WAN
add action=fasttrack-connection chain=forward comment="defconf: Fasttrack" \
    connection-mark=!ipsec connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: ACCEPT forward established and related" connection-state=\
    established,related
add action=drop chain=forward comment="defconf: DROP Invalid connections" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: DROP from WAN using static route (not DSTNATed)" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward in-interface=pptp_home new-mss=\
    clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn,!rst tcp-mss=\
    1453-65535
add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=\
    pptp_home passthrough=yes protocol=tcp tcp-flags=syn,!rst tcp-mss=\
    1453-65535
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
add action=masquerade chain=srcnat out-interface=bridge1
add action=accept chain=srcnat comment="Private VPN NAT" out-interface=\
    pptp_home
/ip firewall service-port
set sip disabled=yes
/ip route
add check-gateway=ping comment="Private VPN route" distance=1 gateway=\
    pptp_home routing-mark=home-vpn
add check-gateway=ping distance=1 dst-address=172.16.1.0/24 gateway=pptp_home
/ip route rule
add dst-address=192.168.1.0/24 table=home-vpn
add dst-address=192.168.3.0/24 table=home-vpn
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set www-ssl certificate=weblane disabled=no
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=17.253.54.253 secondary-ntp=17.253.54.125
/system routerboard settings
set silent-boot=no
/system scheduler
/system script
/tool e-mail
сломал весь мозг уже, не пингуется с адреса 192.168.2.1 адреса 192.168.1.1 и 192.168.3.1 (хотя в web морду роутеров заходит)
в обратном направлении с 192.168.1.1 и 192.168.3.1 адрес 192.168.2.1 пингуеся без проблем
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

Код: Выделить всё

/interface bridge port add bridge=bridge1 interface=all
Вам точно нужен vpn в бридже?

Третье правило NAT я бы для надёжности перетащил наверх.

А вам действительно не обойтись без плясок с бубном и /ip route rule? Может, просто пропишите нужные маршруты в таблице main?
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

Chupaka писал(а): 10 июл 2018, 13:41

Код: Выделить всё

/interface bridge port add bridge=bridge1 interface=all
Вам точно нужен vpn в бридже?
убрал
Третье правило NAT я бы для надёжности перетащил наверх.
Это: add action=accept chain=srcnat comment="Private VPN NAT" out-interface=\ pptp_home
А вам действительно не обойтись без плясок с бубном и /ip route rule? Может, просто пропишите нужные маршруты в таблице main?
как?
Цифровая типография в Москве здесь
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Chupaka »

Да, это.

Как? Просто /ip route add dst-address=192.168.1.0/24 gateway=pptp, безо всяких routing-marks
Dominik писал(а): 10 июл 2018, 14:50 убрал
И? Никаких изменений? Телепатов тут нет всё ещё...
Аватара пользователя
Dominik
Сообщения: 23
Зарегистрирован: 09 июл 2018, 12:59

Re: zyxel giga III pptp сервер+microtik pptp client

Сообщение Dominik »

ОК, сделал так
add check-gateway=ping distance=1 dst-address=172.16.1.0/24 gateway=pptp_home \
pref-src=192.168.2.1
---
пинги идут!
---
/ip route add dst-address=192.168.1.0/24 gateway=pptp
изменил
---
add action=accept chain=srcnat comment="Private VPN NAT" out-interface=\ pptp_home
убрал вообще
---
все норм, работает как надо, единственное что, хочу завернуть трафик через белый ip на машину с севером, т.е. с Zyxel (192.168.1.1)
Цифровая типография в Москве здесь