Jump to content

VPN за микротиком

Спасите - помогите.

Уже неделю мучаюсь с задачей.

Вобщем есть микротик. На него заходит канал от провайдера. Он имеет белый айпишник 62.244.53.* на WAN порте. На нем-же поднят vpn1, для попадания в сеть 192.168.1.*.

На микротике крутится куча серых вланов, в том числе и влан белых айпишников 62.244.17.*, для которых он является шлюзом. На одном из этих адресов висит вайфайка Linksys WRT54Gl с прошивкой dd-wrt. На ней поднят сервер vpn2 для того, чтобы попасть в одну сеть с IP камерой.

Проблема заключается в том, что не смотря на то, что пинги на вайфайку идут, инет на ней есть, на 2ip.ru показывается её белый айпишник, НО, микротик не пускает соединение к vpn2. Выбивает ошибку 807 и всё.

Что делать?

 

 

Bezymiannyi123123123_800.jpgi.gif

Share this post


Link to post
Share on other sites

В смысле "не пускает"? Слушали сниффером?

Как упоминание сети 192.168.1.*, "серых вланов" связано с Вашим вопросом?

Edited by SOs

Share this post


Link to post
Share on other sites

В смысле "не пускает"? Слушали сниффером?

 

запускал на дд-врт dmesg, который должен показывать что происходит. ничего по поводу vpn нету на нем вообще. когда добавляю на микротике два правила в фаервол, чтобы пропускал трафик 6(tcp) порт 1723 на айпи вайфайки и трафик по протоколу (GRE) - то пакеты по первому правилу при попытке подключения идут (3-4 пакета), потом выдает сообщение на компе с ошибкой 807 и всё. Складывается впечатление, что микротик или на себя хапает пакеты по этим двум протоколам, или не дает пакетам tcp(1723) дойти до вайфайки

Share this post


Link to post
Share on other sites

Как организован влан? Он точно через firewall ходит? Поставте 4 правила на сниф или 2 или как оно у вас там смысл в том чтобы на тике увидеть что приходит куда идет и что уходит.

Share this post


Link to post
Share on other sites

Как организован влан? Он точно через firewall ходит? Поставте 4 правила на сниф или 2 или как оно у вас там смысл в том чтобы на тике увидеть что приходит куда идет и что уходит.

влан называется vlan_inter_new, входящий влан vlan_real_IP

Если в фаерволе в правилах на скрине VPN прописать дэстинэйшн аддресс белый айпишник вайфайки - то по первому правилу во время попытки подключения проходит 3-4 пакета и всё

снифер показал вот что

1_500.jpg

2.png

3_800.jpg[/url]i.gif

4_800.jpg

Edited by pajok

Share this post


Link to post
Share on other sites

И где хоть один пакет на установку VPN? По Вашему скрину видно, что не одного пакета VPN не прилетело на МТ.

 

Как бы дебажил сходу не зная Вашего хозяйства:

- Между МТ и WRT поставил сниффер

- Снял запрет в FW на МТ. Если религия позволяет, то permit any на момент установки сессии.

- Инициировал VPN с клиента.

- Закрываешь FW, смотришь дамп.

- Если прилетают пакеты VPN, смотри WRT.

- Если не прилетают, ставить снифер со стороны прова и опять стартуешь VPN.

- Если пакеты прилетают, смотри МТ. Попробуй прибить на нем локальный VPN сервер. Проверяй процессинг пакетов ТИКом по порядку.

Edited by SOs

Share this post


Link to post
Share on other sites

Нужно сбросить начальную конфигурацию и настроить все по новой без лишних правил и фильтров. Обычно в этом и лежит проблема.

Share this post


Link to post
Share on other sites

ааа кажется я почти понял, только зачем ему тогда куча вланов? И то что конект уходит а снифер ничего не видит не значит ли что он еще свичем подрабатывает.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.