Jump to content
Калькуляторы

Настройка VPN

Добрый день. Ситуация: RB951g + мегафон 3g ("серый" динамический IP, соответственно о DDNS можно забыть сразу) + IP-камера. Необходимо из внешней сети получить картинку с камеры. Вооружившись кучей гайдов, пробовал поднять VPN между микротиком и Netgear SRX5308 со статическим "белым" IP. На текущий момент ситуация следующая: внутренние сети микротика и нетгира 192.168.1.0/24, на нетгире поднял PPTP сервер с параметрами Starting IP 192.168.3.60 и Ending IP 192.168.3.80 картинка. Подключился как клиент с микротика, он получил IP 192.168.3.62, IP нетгира 192.168.3.60. В итоге нетгир с микротика пингуется, наоборот - нет. В настройках файрволла микротика ничего запрещающего нет, почему пинги не идут? Также попытался настроить NAT следующим образом (192.168.1.43:88 - камера):

 

Chain: dstnat

Dst. Address: 192.168.3.65

Protocol: 6 (tcp)

Dst. Port: 88

In. Interface: vpn-test

Action: netmap

To Adresses: 192.168.1.43

To Ports: 88

 

Логика верная или что-то не так? Заранее спасибо за помощь!

Share this post


Link to post
Share on other sites

Вам надо вместо нетгира поставить микротик, на нем создадите учетную запись для подключения вашего удаленного микротика. Далее нужно прописать серую сеть на интерфейсе для подключения камеры, включаете OSPF и готово. Теперь вы со своего первого микротика с белым адресом сможете попасть на камеру.

Share this post


Link to post
Share on other sites

Saab95 К сожалению, еще одного микротика нет. Почему не подходит нетгир?

включаете OSPF

Ушел читать про OSPF. Я думал, надо будет сделать что-то такое:

...

Далее вам нужно на удаленном прописать маршрут на ваши сети, что бы вы могли на него удаленно попадать из них. Допустим на главном микротике используется сеть 10.0.0.0/16, заходите в IP->Routes и добавляете, 10.0.0.0/16 и в качество адреса шлюза либо IP адрес, который в статусе соединения в адресе сервера указан, либо интерфейс pptp-client или l2tp-client. После этого сможете заходить на оборудование. Никакое перенаправление портов не нужно.

 

Хотя если вам интересно сделать именно через проброс, то можно без прописывания маршрутов. В меню IP-Firewall на главном в разделе NAT создаете новое правило, где вверху dst-nat, dst-port например 1000, на вкладке action выбираете netmap и указываете адрес вашего удаленного маршрутизатора по впн и порт на который перенаправлять, например 80 на веб или 8291 на винбокс.

Share this post


Link to post
Share on other sites

Dst. Address: 192.168.3.65

Это вообще уберите.

 

А что не пингается - посмотрите, что микротик получил от нетгира по рртр, похоже, что он не знает куда отвечать. Хотите конкретики - покажите

/interface pptp-client monitor 0

и

/ip route print

Share this post


Link to post
Share on other sites

Чтобы не путаться, поменял подсеть микротика на 192.168.2.0/24

[admin@MikroTik] > /interface pptp-client monitor 0
         status: connected
         uptime: 3h46m2s
       encoding: MPPE128 stateless
            mtu: 1450
            mru: 1450
  local-address: 192.168.3.62
 remote-address: 192.168.3.60

[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0   S  0.0.0.0/0                          79.122.161.189            1
1 ADS  0.0.0.0/0                          10.112.113.109            1
2  DS  0.0.0.0/0                          192.168.3.60              1
3 ADC  10.112.113.109/32  100.82.126.4    ppp-out1                  0
4  DC  79.122.161.188/30  79.122.161.190  ether1-gateway          255
5 A S  ;;; ToNetgear
       192.168.1.0/24                     vpn-test                  1
6 ADC  192.168.2.0/24     192.168.2.1     bridge-local              0
7 ADC  192.168.3.60/32    192.168.3.62    vpn-test                  0

Share this post


Link to post
Share on other sites

Галку "Add default route" в настройках pptp-клиента уберите. Но вообще отвечать должен и так. Пингуете 3.62 с самого нетгира?

Share this post


Link to post
Share on other sites

Saab95 К сожалению, еще одного микротика нет. Почему не подходит нетгир?

 

Потому что нетгир ничего не умеет в плане настроек. То, что на двух микротиках можно сделать за пару минут, на нетгире не сможете реализовать и за полдня.

Share this post


Link to post
Share on other sites

DRiVen Писал Вам в ЛС из-за ограничения на количество сообщений для новичков=\

Галку убрал. Пингую с самого нетгира:

 

PING 192.168.3.62 (192.168.3.62): 56 data bytes

--- 192.168.3.62 ping statistics ---

4 packets transmitted, 0 packets received, 100% packet loss

 

Сам не понимаю, в чем может быть проблема..

 

Saab95 Да, микротик - самый кастомизируемый роутер из всех, что я встречал, но здесь же просто VPN. SRX5308 - тоже не самый простой роутер и обладает множеством VPN-протоколов.

Share this post


Link to post
Share on other sites

А такую фичу как VPN Acsess от самого микротика не пробовали? Я пробовал, работает.

Share this post


Link to post
Share on other sites

Zaebasto Что это? Гуглил VPN Access, ничего внятного не нашел.

Share this post


Link to post
Share on other sites

Итак, нашел второй Mikrotik, поднял между ними L2TP-туннель, пробросил камеру - все работает. Но здесь микротик, который со статикой, висит на "дорогом" провайдере с помегабайтной тарификацией. Хочется поместить этот микротик в сеть за нетгиром (здесь безлимит). Можно ли пустить весь VPN-трафик между микротиками по какому-то одному порту? Тогда этот порт можно было бы пробросить на нетгире и все бы заработало. Или есть другой путь решения проблемы?

Share this post


Link to post
Share on other sites

Использовать PPTP и на нетгире поискать галочку "пропускать PPTP"?

Share this post


Link to post
Share on other sites

danilbal Нет, на нетгире нет подобной галочки. На нём есть Service, где можно выбрать тип протокола (TCP/UDP/ICMP/ICMPv6) и диапазон портов; далее этот Service можно добавить в правило файрволла.

Share this post


Link to post
Share on other sites

Итак, нашел второй Mikrotik, поднял между ними L2TP-туннель, пробросил камеру - все работает. Но здесь микротик, который со статикой, висит на "дорогом" провайдере с помегабайтной тарификацией. Хочется поместить этот микротик в сеть за нетгиром (здесь безлимит). Можно ли пустить весь VPN-трафик между микротиками по какому-то одному порту? Тогда этот порт можно было бы пробросить на нетгире и все бы заработало. Или есть другой путь решения проблемы?

Поднимите на микроте за нетгиром l2tp, на нетгире пробросьте udp/1701.

Share this post


Link to post
Share on other sites

Night Snake Так и сделал, присвоил микротику статический адрес 192.168.1.221, поместил его в подсеть нетгира 192.168.1.0/24, пробросил порты 1701 UDP и 1701 TCP - но соединение не устанавливается, на удаленном микротике висит "connecting"..

Share this post


Link to post
Share on other sites

Так а микрот-то что говорит? Ладно нетгир тупой (наверное), но на микроте же можно и торчем посмотреть, и матчи в фаервольных правилах

Share this post


Link to post
Share on other sites
но на микроте же можно и торчем посмотреть, и матчи в фаервольных правилах

Для меня это что-то новое, только осваиваюсь в микротике да и вообще в сетях. Решил попробовать пойти от обратного - поставить до нетгира микротик. Итак, есть настроенный шлюз Netgear SRX5308 (с внешним IP 141.x.x.x и локальным 192.168.1.1) и множеством правил и проброшенных портов. Планирую текущий патчкорд из WANа нетгира воткнуть в WAN микротика, а также соединить LAN микротика с WANом нетгира, у микротика будет внешний IP 141.х.х.х и локальный, допустим, 192.168.2.1. На микротике проброшу те порты, которые проброшены на нетгире на IP 192.168.2.2, в настройках WAN нетгира укажу: IP Address 192.168.2.2, IP Subnet Mask 255.255.255.252, Gateway IP Address 192.168.2.1. Заработает ли все это дело, или что-то здесь не так?

Edited by rULeZz

Share this post


Link to post
Share on other sites

Решил отказаться от нетгира совсем, настроил микротик аналогично нетгиру, все заработало. Но сейчас возникла проблема: в процессе ковыряния настроек случайно отключил в IP -> Addresses настройку по-умолчанию (default configuration), там было: Address 192.168.1.1/24, Network 192.168.1.0, Interface ether2-master-local. Теперь никак не могу подключиться к роутеру, его IP 192.168.1.1 не пингуется=( Как быть? Сброса настроек очень не хотелось бы, я его настраивал несколько часов. Может, можно как-то отменить последнее действие в настройках при помощи кнопки сброса?

Share this post


Link to post
Share on other sites

По маку подключитесь.

Share this post


Link to post
Share on other sites

Решил отказаться от нетгира совсем, настроил микротик аналогично нетгиру, все заработало. Но сейчас возникла проблема: в процессе ковыряния настроек случайно отключил в IP -> Addresses настройку по-умолчанию (default configuration), там было: Address 192.168.1.1/24, Network 192.168.1.0, Interface ether2-master-local. Теперь никак не могу подключиться к роутеру, его IP 192.168.1.1 не пингуется=( Как быть? Сброса настроек очень не хотелось бы, я его настраивал несколько часов. Может, можно как-то отменить последнее действие в настройках при помощи кнопки сброса?

 

Запускаете винбокс на своем компе, нажимаете в списке устройств не на IP, а на мак. Если у вас есть доступ к микротику через винбокс, а к нему подключен другой микротик, можно с микротика зайти на микротик через IP-Neighbors или по телнету, указав IP адрес соседнего.

 

В любом случае строчек вида ether2-master-local на микротике не должно быть.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this