[pajok]

Спасите - помогите.

Уже неделю мучаюсь с задачей.

Вобщем есть микротик. На него заходит канал от провайдера. Он имеет белый айпишник 62.244.53.* на WAN порте. На нем-же поднят vpn1, для попадания в сеть 192.168.1.*.

На микротике крутится куча серых вланов, в том числе и влан белых айпишников 62.244.17.*, для которых он является шлюзом. На одном из этих адресов висит вайфайка Linksys WRT54Gl с прошивкой dd-wrt. На ней поднят сервер vpn2 для того, чтобы попасть в одну сеть с IP камерой.

Проблема заключается в том, что не смотря на то, что пинги на вайфайку идут, инет на ней есть, на 2ip.ru показывается её белый айпишник, НО, микротик не пускает соединение к vpn2. Выбивает ошибку 807 и всё.

Что делать?

 

 

[SOs]

В смысле "не пускает"? Слушали сниффером?

Как упоминание сети 192.168.1.*, "серых вланов" связано с Вашим вопросом?

Edited July 28, 2015 by SOs

[pajok]

В смысле "не пускает"? Слушали сниффером?

 

запускал на дд-врт dmesg, который должен показывать что происходит. ничего по поводу vpn нету на нем вообще. когда добавляю на микротике два правила в фаервол, чтобы пропускал трафик 6(tcp) порт 1723 на айпи вайфайки и трафик по протоколу (GRE) - то пакеты по первому правилу при попытке подключения идут (3-4 пакета), потом выдает сообщение на компе с ошибкой 807 и всё. Складывается впечатление, что микротик или на себя хапает пакеты по этим двум протоколам, или не дает пакетам tcp(1723) дойти до вайфайки

[user71]

Как организован влан? Он точно через firewall ходит? Поставте 4 правила на сниф или 2 или как оно у вас там смысл в том чтобы на тике увидеть что приходит куда идет и что уходит.

[pajok]

Как организован влан? Он точно через firewall ходит? Поставте 4 правила на сниф или 2 или как оно у вас там смысл в том чтобы на тике увидеть что приходит куда идет и что уходит.

влан называется vlan_inter_new, входящий влан vlan_real_IP

Если в фаерволе в правилах на скрине VPN прописать дэстинэйшн аддресс белый айпишник вайфайки - то по первому правилу во время попытки подключения проходит 3-4 пакета и всё

снифер показал вот что

[/url]

Edited July 28, 2015 by pajok

[SOs]

И где хоть один пакет на установку VPN? По Вашему скрину видно, что не одного пакета VPN не прилетело на МТ.

 

Как бы дебажил сходу не зная Вашего хозяйства:

- Между МТ и WRT поставил сниффер

- Снял запрет в FW на МТ. Если религия позволяет, то permit any на момент установки сессии.

- Инициировал VPN с клиента.

- Закрываешь FW, смотришь дамп.

- Если прилетают пакеты VPN, смотри WRT.

- Если не прилетают, ставить снифер со стороны прова и опять стартуешь VPN.

- Если пакеты прилетают, смотри МТ. Попробуй прибить на нем локальный VPN сервер. Проверяй процессинг пакетов ТИКом по порядку.

Edited July 28, 2015 by SOs

[Saab95]

Нужно сбросить начальную конфигурацию и настроить все по новой без лишних правил и фильтров. Обычно в этом и лежит проблема.

[user71]

хм все интересатее и интересатее а как на lan интерфейсе оказадись вланы с белыми ип?

[SOs]

user71, у него МТ маршрутизирует белые IP. ЛАН, как я понимаю, просто интерфейс с его стороны.

[user71]

ааа кажется я почти понял, только зачем ему тогда куча вланов? И то что конект уходит а снифер ничего не видит не значит ли что он еще свичем подрабатывает.