Xaser Posted April 7, 2015 Posted April 7, 2015 Добрый день появилась нужда поднять VPN через микротик, поднял PPTP-сервер на микротике, создал учетки, все работает локалка работает, на при этом и интернет идет через VPN, как сделать так что бы через VPN бегал только локальный трафик(локальная сеть), без интернета? Буду рад помощи. Вставить ник Quote
S_Os Posted April 7, 2015 Posted April 7, 2015 (edited) Добрый день появилась нужда поднять VPN через микротик, поднял PPTP-сервер на микротике, создал учетки, все работает локалка работает, на при этом и интернет идет через VPN, как сделать так что бы через VPN бегал только локальный трафик(локальная сеть), без интернета? Буду рад помощи. Ну потому, что они у тебя НАТятся. А у тебя как VPN настроен? Какие IP выдает клиентам? Выдели им отдельный дииапазон IP или вообще в отдельную подсеть кинь и пореж НАТом. Т.е. надо чтобы сеть VPN клиентов не попадала под НАТ правила. Edited April 7, 2015 by S_Os Вставить ник Quote
danilbal Posted April 7, 2015 Posted April 7, 2015 На удаленных компах убрать галочку для PPTP подключения "использовать стандартный шлюз для удаленный сети" или что-то в этом духе. Маршрут до сети за этим ВПН-сервером добавляй ручками. Вставить ник Quote
Xaser Posted April 7, 2015 Author Posted April 7, 2015 (edited) Ниже на скринах настройки NAT, Firewall, и адрес одного из клиентов Я просто создаю в Secrets учетную запись с параметрами Local Adress:192.168.4.1 Remove Adress: 192.168.0.1 подскажите где что нетак Edited April 7, 2015 by Xaser Вставить ник Quote
DRiVen Posted April 7, 2015 Posted April 7, 2015 Что за непонятная стратегия создавать правила NAT по НЕсовпадению адресов? По вашим правилам НЕ транслируются только запросы к 192.168.1.2 и 192.168.2.2, что абсолютно не запрещает выхода в публичные сети. Переделайте правила, создав по трансляции для каждой подсети (адреса или диапазона адресов) которую нужно выпустить вовне, что-то вроде: /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/24 Вставить ник Quote
Xaser Posted April 7, 2015 Author Posted April 7, 2015 Как раз на 192.168.1.2 и 192.168.2.2 есть интернет Вставить ник Quote
danilbal Posted April 8, 2015 Posted April 8, 2015 Полагаю, вы хотите отключить трансляцию для адресов, полученных клиентами VPN? Тогда логичней эти адреса указывать в качестве не адреса ИСТОЧНИКА в правиле маскарада. У вас же стоит в столбце адреса назначения, что непонятно. А логичней наверное навесить фильтр - запрещение просто указав источником интерфейс "all ppp" и назначением внешние интернеты. Но у вас получится ситуация что при подключении к вашему VPN у людей вообще не будет интернета! Вставить ник Quote
Xaser Posted April 8, 2015 Author Posted April 8, 2015 Но у вас получится ситуация что при подключении к вашему VPN у людей вообще не будет интернета! Вот это и нужно как раз, что бы по впн не было интернета , а только локалка Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.