[rULeZz]

Добрый день. Ситуация: RB951g + мегафон 3g ("серый" динамический IP, соответственно о DDNS можно забыть сразу) + IP-камера. Необходимо из внешней сети получить картинку с камеры. Вооружившись кучей гайдов, пробовал поднять VPN между микротиком и Netgear SRX5308 со статическим "белым" IP. На текущий момент ситуация следующая: внутренние сети микротика и нетгира 192.168.1.0/24, на нетгире поднял PPTP сервер с параметрами Starting IP 192.168.3.60 и Ending IP 192.168.3.80 картинка. Подключился как клиент с микротика, он получил IP 192.168.3.62, IP нетгира 192.168.3.60. В итоге нетгир с микротика пингуется, наоборот - нет. В настройках файрволла микротика ничего запрещающего нет, почему пинги не идут? Также попытался настроить NAT следующим образом (192.168.1.43:88 - камера):

 

Chain: dstnat

Dst. Address: 192.168.3.65

Protocol: 6 (tcp)

Dst. Port: 88

In. Interface: vpn-test

Action: netmap

To Adresses: 192.168.1.43

To Ports: 88

 

Логика верная или что-то не так? Заранее спасибо за помощь!

[Saab95]

Вам надо вместо нетгира поставить микротик, на нем создадите учетную запись для подключения вашего удаленного микротика. Далее нужно прописать серую сеть на интерфейсе для подключения камеры, включаете OSPF и готово. Теперь вы со своего первого микротика с белым адресом сможете попасть на камеру.

[rULeZz]

Saab95 К сожалению, еще одного микротика нет. Почему не подходит нетгир?

включаете OSPF

Ушел читать про OSPF. Я думал, надо будет сделать что-то такое:

...

Далее вам нужно на удаленном прописать маршрут на ваши сети, что бы вы могли на него удаленно попадать из них. Допустим на главном микротике используется сеть 10.0.0.0/16, заходите в IP->Routes и добавляете, 10.0.0.0/16 и в качество адреса шлюза либо IP адрес, который в статусе соединения в адресе сервера указан, либо интерфейс pptp-client или l2tp-client. После этого сможете заходить на оборудование. Никакое перенаправление портов не нужно.

 

Хотя если вам интересно сделать именно через проброс, то можно без прописывания маршрутов. В меню IP-Firewall на главном в разделе NAT создаете новое правило, где вверху dst-nat, dst-port например 1000, на вкладке action выбираете netmap и указываете адрес вашего удаленного маршрутизатора по впн и порт на который перенаправлять, например 80 на веб или 8291 на винбокс.

[DRiVen]

Dst. Address: 192.168.3.65

Это вообще уберите.

 

А что не пингается - посмотрите, что микротик получил от нетгира по рртр, похоже, что он не знает куда отвечать. Хотите конкретики - покажите

/interface pptp-client monitor 0

и

/ip route print

[rULeZz]

Чтобы не путаться, поменял подсеть микротика на 192.168.2.0/24

[admin@MikroTik] > /interface pptp-client monitor 0
         status: connected
         uptime: 3h46m2s
       encoding: MPPE128 stateless
            mtu: 1450
            mru: 1450
  local-address: 192.168.3.62
 remote-address: 192.168.3.60

[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0   S  0.0.0.0/0                          79.122.161.189            1
1 ADS  0.0.0.0/0                          10.112.113.109            1
2  DS  0.0.0.0/0                          192.168.3.60              1
3 ADC  10.112.113.109/32  100.82.126.4    ppp-out1                  0
4  DC  79.122.161.188/30  79.122.161.190  ether1-gateway          255
5 A S  ;;; ToNetgear
       192.168.1.0/24                     vpn-test                  1
6 ADC  192.168.2.0/24     192.168.2.1     bridge-local              0
7 ADC  192.168.3.60/32    192.168.3.62    vpn-test                  0

[DRiVen]

Галку "Add default route" в настройках pptp-клиента уберите. Но вообще отвечать должен и так. Пингуете 3.62 с самого нетгира?

[Saab95]

Saab95 К сожалению, еще одного микротика нет. Почему не подходит нетгир?

 

Потому что нетгир ничего не умеет в плане настроек. То, что на двух микротиках можно сделать за пару минут, на нетгире не сможете реализовать и за полдня.

[rULeZz]

DRiVen Писал Вам в ЛС из-за ограничения на количество сообщений для новичков=\

Галку убрал. Пингую с самого нетгира:

 

PING 192.168.3.62 (192.168.3.62): 56 data bytes

--- 192.168.3.62 ping statistics ---

4 packets transmitted, 0 packets received, 100% packet loss

 

Сам не понимаю, в чем может быть проблема..

 

Saab95 Да, микротик - самый кастомизируемый роутер из всех, что я встречал, но здесь же просто VPN. SRX5308 - тоже не самый простой роутер и обладает множеством VPN-протоколов.

[Zaebasto]

А такую фичу как VPN Acsess от самого микротика не пробовали? Я пробовал, работает.

[rULeZz]

Zaebasto Что это? Гуглил VPN Access, ничего внятного не нашел.

[rULeZz]

Итак, нашел второй Mikrotik, поднял между ними L2TP-туннель, пробросил камеру - все работает. Но здесь микротик, который со статикой, висит на "дорогом" провайдере с помегабайтной тарификацией. Хочется поместить этот микротик в сеть за нетгиром (здесь безлимит). Можно ли пустить весь VPN-трафик между микротиками по какому-то одному порту? Тогда этот порт можно было бы пробросить на нетгире и все бы заработало. Или есть другой путь решения проблемы?

[danilbal]

Использовать PPTP и на нетгире поискать галочку "пропускать PPTP"?

[rULeZz]

danilbal Нет, на нетгире нет подобной галочки. На нём есть Service, где можно выбрать тип протокола (TCP/UDP/ICMP/ICMPv6) и диапазон портов; далее этот Service можно добавить в правило файрволла.

[Night_Snake]

Итак, нашел второй Mikrotik, поднял между ними L2TP-туннель, пробросил камеру - все работает. Но здесь микротик, который со статикой, висит на "дорогом" провайдере с помегабайтной тарификацией. Хочется поместить этот микротик в сеть за нетгиром (здесь безлимит). Можно ли пустить весь VPN-трафик между микротиками по какому-то одному порту? Тогда этот порт можно было бы пробросить на нетгире и все бы заработало. Или есть другой путь решения проблемы?

Поднимите на микроте за нетгиром l2tp, на нетгире пробросьте udp/1701.

[rULeZz]

Night Snake Так и сделал, присвоил микротику статический адрес 192.168.1.221, поместил его в подсеть нетгира 192.168.1.0/24, пробросил порты 1701 UDP и 1701 TCP - но соединение не устанавливается, на удаленном микротике висит "connecting"..

[Night_Snake]

Так а микрот-то что говорит? Ладно нетгир тупой (наверное), но на микроте же можно и торчем посмотреть, и матчи в фаервольных правилах

[rULeZz]

но на микроте же можно и торчем посмотреть, и матчи в фаервольных правилах

Для меня это что-то новое, только осваиваюсь в микротике да и вообще в сетях. Решил попробовать пойти от обратного - поставить до нетгира микротик. Итак, есть настроенный шлюз Netgear SRX5308 (с внешним IP 141.x.x.x и локальным 192.168.1.1) и множеством правил и проброшенных портов. Планирую текущий патчкорд из WANа нетгира воткнуть в WAN микротика, а также соединить LAN микротика с WANом нетгира, у микротика будет внешний IP 141.х.х.х и локальный, допустим, 192.168.2.1. На микротике проброшу те порты, которые проброшены на нетгире на IP 192.168.2.2, в настройках WAN нетгира укажу: IP Address 192.168.2.2, IP Subnet Mask 255.255.255.252, Gateway IP Address 192.168.2.1. Заработает ли все это дело, или что-то здесь не так?

Edited May 13, 2015 by rULeZz

[rULeZz]

Решил отказаться от нетгира совсем, настроил микротик аналогично нетгиру, все заработало. Но сейчас возникла проблема: в процессе ковыряния настроек случайно отключил в IP -> Addresses настройку по-умолчанию (default configuration), там было: Address 192.168.1.1/24, Network 192.168.1.0, Interface ether2-master-local. Теперь никак не могу подключиться к роутеру, его IP 192.168.1.1 не пингуется=( Как быть? Сброса настроек очень не хотелось бы, я его настраивал несколько часов. Может, можно как-то отменить последнее действие в настройках при помощи кнопки сброса?

[divxl]

По маку подключитесь.

[Saab95]

Решил отказаться от нетгира совсем, настроил микротик аналогично нетгиру, все заработало. Но сейчас возникла проблема: в процессе ковыряния настроек случайно отключил в IP -> Addresses настройку по-умолчанию (default configuration), там было: Address 192.168.1.1/24, Network 192.168.1.0, Interface ether2-master-local. Теперь никак не могу подключиться к роутеру, его IP 192.168.1.1 не пингуется=( Как быть? Сброса настроек очень не хотелось бы, я его настраивал несколько часов. Может, можно как-то отменить последнее действие в настройках при помощи кнопки сброса?

 

Запускаете винбокс на своем компе, нажимаете в списке устройств не на IP, а на мак. Если у вас есть доступ к микротику через винбокс, а к нему подключен другой микротик, можно с микротика зайти на микротик через IP-Neighbors или по телнету, указав IP адрес соседнего.

 

В любом случае строчек вида ether2-master-local на микротике не должно быть.