Update 6.46.1 - problem pptp

Базовая функциональность RouterOS
Ceyzer
Сообщения: 2
Зарегистрирован: 22 дек 2019, 21:39

Update 6.46.1 - problem pptp

Сообщение Ceyzer »

Здравствуйте,

Сегодня обновились до 6.46.1 (RB1100AHx2) и перестал работать pptp клиент. Начали разбираться и пока не выключили или не опустили правило Drop invalid pptp туннель не поднимался.
ip-firewall.png


Хотя Дефолтный Фаервол RouterOS рекомендует правила established, related и invalid пускай последовательно.
/ip firewall filter
#Разрешает входящий трафик от уже установленных(established, related) соединений и неотслеживаемые(untracked) пакеты
add action=accept chain=input connection-state=established,related,untracked

#Отбрасываем входящие пакеты от неизвестных(invalid) соединений
add action=drop chain=input connection-state=invalid

Что я делаю не так, т.к. на версии RouterOS 6.42 такой проблемы не было.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Корпич
Сообщения: 79
Зарегистрирован: 06 июн 2019, 16:42

Re: Update 6.46.1 - problem pptp

Сообщение Корпич »

А где же правило разрешающее входящие на порт 1723 для работы PPTP, которое должно стоять выше дроп?
Ceyzer
Сообщения: 2
Зарегистрирован: 22 дек 2019, 21:39

Re: Update 6.46.1 - problem pptp

Сообщение Ceyzer »

Корпич писал(а): 23 дек 2019, 11:06 А где же правило разрешающее входящие на порт 1723 для работы PPTP, которое должно стоять выше дроп?
Это правило есть, но оно ниже правила drop invalid
Ссылая на статью по ссылке http://mikrotik.vetriks.ru/wiki/%D0%9C% ... BC.D0.B5_2
Где описывают, что: Правило, блокирующее invalid-трафик обязательно должно идти вторым сразу за правилом, которое разрешает established и related трафик.
Сделал как указано в рекомендация и до обновления на 6.46.1 оно работало, после обновления пришлось правило drop invalid опустить ниже разрешающего правило для 1723 порта и GRE
monteg179
Сообщения: 7
Зарегистрирован: 17 окт 2020, 18:10

Re: Update 6.46.1 - problem pptp

Сообщение monteg179 »

Может быть было бы лучше
1. добавить в raw правила для prerouting и output: action=no track для protocol=gre
2. исправить правила в filter для input и output: action=accept connection state=established,related,untracked
И оставить drop invalid перед accept established,related