Jump to content
Калькуляторы

VPN за микротиком

Спасите - помогите.

Уже неделю мучаюсь с задачей.

Вобщем есть микротик. На него заходит канал от провайдера. Он имеет белый айпишник 62.244.53.* на WAN порте. На нем-же поднят vpn1, для попадания в сеть 192.168.1.*.

На микротике крутится куча серых вланов, в том числе и влан белых айпишников 62.244.17.*, для которых он является шлюзом. На одном из этих адресов висит вайфайка Linksys WRT54Gl с прошивкой dd-wrt. На ней поднят сервер vpn2 для того, чтобы попасть в одну сеть с IP камерой.

Проблема заключается в том, что не смотря на то, что пинги на вайфайку идут, инет на ней есть, на 2ip.ru показывается её белый айпишник, НО, микротик не пускает соединение к vpn2. Выбивает ошибку 807 и всё.

Что делать?

 

 

Bezymiannyi123123123_800.jpgi.gif

Share this post


Link to post
Share on other sites

В смысле "не пускает"? Слушали сниффером?

Как упоминание сети 192.168.1.*, "серых вланов" связано с Вашим вопросом?

Edited by SOs

Share this post


Link to post
Share on other sites

В смысле "не пускает"? Слушали сниффером?

 

запускал на дд-врт dmesg, который должен показывать что происходит. ничего по поводу vpn нету на нем вообще. когда добавляю на микротике два правила в фаервол, чтобы пропускал трафик 6(tcp) порт 1723 на айпи вайфайки и трафик по протоколу (GRE) - то пакеты по первому правилу при попытке подключения идут (3-4 пакета), потом выдает сообщение на компе с ошибкой 807 и всё. Складывается впечатление, что микротик или на себя хапает пакеты по этим двум протоколам, или не дает пакетам tcp(1723) дойти до вайфайки

Share this post


Link to post
Share on other sites

Как организован влан? Он точно через firewall ходит? Поставте 4 правила на сниф или 2 или как оно у вас там смысл в том чтобы на тике увидеть что приходит куда идет и что уходит.

Share this post


Link to post
Share on other sites

Как организован влан? Он точно через firewall ходит? Поставте 4 правила на сниф или 2 или как оно у вас там смысл в том чтобы на тике увидеть что приходит куда идет и что уходит.

влан называется vlan_inter_new, входящий влан vlan_real_IP

Если в фаерволе в правилах на скрине VPN прописать дэстинэйшн аддресс белый айпишник вайфайки - то по первому правилу во время попытки подключения проходит 3-4 пакета и всё

снифер показал вот что

1_500.jpg

2.png

3_800.jpg[/url]i.gif

4_800.jpg

Edited by pajok

Share this post


Link to post
Share on other sites

И где хоть один пакет на установку VPN? По Вашему скрину видно, что не одного пакета VPN не прилетело на МТ.

 

Как бы дебажил сходу не зная Вашего хозяйства:

- Между МТ и WRT поставил сниффер

- Снял запрет в FW на МТ. Если религия позволяет, то permit any на момент установки сессии.

- Инициировал VPN с клиента.

- Закрываешь FW, смотришь дамп.

- Если прилетают пакеты VPN, смотри WRT.

- Если не прилетают, ставить снифер со стороны прова и опять стартуешь VPN.

- Если пакеты прилетают, смотри МТ. Попробуй прибить на нем локальный VPN сервер. Проверяй процессинг пакетов ТИКом по порядку.

Edited by SOs

Share this post


Link to post
Share on other sites

Нужно сбросить начальную конфигурацию и настроить все по новой без лишних правил и фильтров. Обычно в этом и лежит проблема.

Share this post


Link to post
Share on other sites

хм все интересатее и интересатее а как на lan интерфейсе оказадись вланы с белыми ип?

Share this post


Link to post
Share on other sites

user71, у него МТ маршрутизирует белые IP. ЛАН, как я понимаю, просто интерфейс с его стороны.

Share this post


Link to post
Share on other sites

ааа кажется я почти понял, только зачем ему тогда куча вланов? И то что конект уходит а снифер ничего не видит не значит ли что он еще свичем подрабатывает.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this