Доступ к Веб-интерфейсу микротика через VPN.

RIP, OSFP, BGP, MPLS/VPLS
prozet
Сообщения: 4
Зарегистрирован: 24 май 2020, 21:17

Доступ к Веб-интерфейсу микротика через VPN.

Сообщение prozet »

Здравствуйте. Ситуация: есть аппарат RBD52G-5HacD2HnD-TC. Есть Интернет-провайдер, который не дает белые адреса. И есть настроенный VPN-сервер pptp на арендованном VPS под Ubuntu. К этому VPN-серверу подключаются в качестве клиентов компьютеры.
Возникла нужда в качестве клиента к нему подключить Микротика. Для этого через Winbox делаю следующее: захожу в РРР, там жму на плюс и выбираю PPTP-Client. Далее в появившемся окне ввожу IP-адрес VPN-сервера и логин с паролем для подключения к нему. После этого Микротик получает адрес от VPN-сервера, и с других компьютеров, подключенных к этому же VPN-серверу, этот Микротик пингуется. И вроде все хорошо.
Далее возникла надобность попасть в веб-интерфейс Микротика через VPN-подключение, то есть, с некого компьютера, который подключен к VPN, попасть в веб-интерфейс Микротика по адресу, который ему присвоил VPN-сервер. Доступ к Микротику извне открыт. То есть, если обратиться к нему по серому адресу, который дал Интернет-провайдер, то я попадаю в веб-интерфейс Микротика. А как этого же добиться через VPN-соединение?
Аватара пользователя
Chupaka
Сообщения: 4084
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Доступ к Веб-интерфейсу микротика через VPN.

Сообщение Chupaka »

Приветствую. Так сейчас доступа нет? Тогда смотрите правила фильтра файрвола.
prozet
Сообщения: 4
Зарегистрирован: 24 май 2020, 21:17

Re: Доступ к Веб-интерфейсу микротика через VPN.

Сообщение prozet »

Да, сейчас есть доступ по серому IP, а по IP, присвоенному VPN-сервером, соединения нет.
С Микротами дела ранее не имел. Был бы благодарен за более конкретные советы.
Аватара пользователя
Chupaka
Сообщения: 4084
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Доступ к Веб-интерфейсу микротика через VPN.

Сообщение Chupaka »

Более конкретный совет: покажите ваши настройки :)
/ip firewall export в Терминале
prozet
Сообщения: 4
Зарегистрирован: 24 май 2020, 21:17

Re: Доступ к Веб-интерфейсу микротика через VPN.

Сообщение prozet »

Код: Выделить всё

[admin@MikroTik] > /ip firewall export
# may/25/2020 21:03:03 by RouterOS 6.44.5
# software id = HLM0-RPV8
#
# model = RBD52G-5HacD2HnD
# serial number = BEEB0BBF54D4
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=input dst-port=80 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN src-address=192.168.88.0/24
Или скрин лучше сделать для более удобного восприятия?
Аватара пользователя
Chupaka
Сообщения: 4084
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Доступ к Веб-интерфейсу микротика через VPN.

Сообщение Chupaka »

4-е правило: "add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN"

Т.е. вам надо, например, добавить VPN в список LAN (в Interfaces -> Interface List) - и перепроверить.
prozet
Сообщения: 4
Зарегистрирован: 24 май 2020, 21:17

Re: Доступ к Веб-интерфейсу микротика через VPN.

Сообщение prozet »

Я открыл это правило и на вкладке Action в поле Action вместо drop выставил accept - и все заработало как нужно. Я при этом что-то другое испортил, или смело можно так оставлять?
Последний раз редактировалось prozet 26 май 2020, 13:11, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 4084
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Доступ к Веб-интерфейсу микротика через VPN.

Сообщение Chupaka »

Вы разрешили доступ к роутеру отовсюду, включая Интернет. Если вы храбрый — можете так оставить, убедитесь только хотя бы, что пароль надёжный на роутере.