taravasya Posted November 5, 2015 Posted November 5, 2015 (edited) Здравствуйте! Несколько дней возился с VPN. Ситуация такова: Рабочая сеть(офис). Локальная сеть(192.168.0.xxx) =>=>=> свитч => Mikrotik(192.168.0.1 + постоянный внешний IP) => WAN. Домашняя сеть(по сути один комп мне нужен)(192.168.1.2) => Роутер HG532e => WAN Поднял в Mikrotik L2TP-сервер(PPTP не получается, подозреваю, что из-за провайдера GRE не проходит). [admin@MikroTik] /interface l2tp-server server> print enabled: yes max-mtu: 1460 max-mru: 1460 mrru: disabled authentication: mschap1,mschap2 keepalive-timeout: 30 default-profile: default use-ipsec: yes ipsec-secret: ******** ---- [admin@MikroTik] > /ppp profile print Flags: * - default 0 * name="default" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list="" 1 name="l2tp" local-address=192.168.0.1 remote-address=vpn-pool use-mpls=default use-compression=default use-encryption=yes only-one=default change-tcp-mss=yes address-list="" 2 * name="default-encryption" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list="" В vpn-pool 192.168.0.100/105 ---- [admin@MikroTik] > /ppp secret print Flags: X - disabled # NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS 0 ***** l2tp **** l2tp ---- [admin@MikroTik] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix="" 1 chain=input action=accept protocol=udp port=1701,500,4500 log=no log-prefix="" 2 chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 3 chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix="" 4 chain=block-ddos action=return dst-limit=50,50,src-and-dst-addresses/10s log=no log-prefix="" 5 chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix="" 6 chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m log=no log-prefix="" 7 chain=input action=reject reject-with=icmp-admin-prohibited src-address=37.46.80.226 log=no log-prefix="" 8 chain=input action=reject reject-with=icmp-admin-prohibited src-address=37.247.102.226 log=no log-prefix="" 9 chain=input action=reject reject-with=icmp-admin-prohibited src-address=95.142.160.189 log=no log-prefix="" 10 chain=input action=reject reject-with=icmp-admin-prohibited src-address=91.250.83.205 log=no log-prefix="" ---- [admin@MikroTik] > /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade src-address=192.168.0.0/24 log=no log-prefix="" 1 chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=80 log=no log-prefix="" 2 chain=dstnat action=dst-nat to-addresses=192.168.0.200 protocol=tcp dst-address=91.193.xxx.xxx dst-port=90 log=no log-prefix="" 3 chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=7776 log=no log-prefix="" 4 chain=dstnat action=dst-nat to-addresses=192.168.0.243 to-ports=81 protocol=tcp dst-address=91.193.xxx.xxx dst-port=81 log=no log-prefix="" 5 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=82 protocol=tcp dst-address=91.193.xxx.xxx dst-port=82 log=no log-prefix="" 6 chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=100 log=no log-prefix="" 7 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=25 protocol=tcp dst-address=91.193.xxx.xxx dst-port=25 log=no log-prefix="" 8 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=110 protocol=tcp dst-address=91.193.xxx.xxx dst-port=110 log=no log-prefix="" 9 chain=dstnat action=dst-nat to-addresses=192.168.0.202 protocol=tcp dst-address=91.193.xxx.xxx dst-port=91 log=no log-prefix="" 10 chain=dstnat action=dst-nat to-addresses=192.168.0.232 protocol=tcp dst-address=91.193.xxx.xxx dst-port=95 log=no log-prefix="" 11 chain=dstnat action=dst-nat to-addresses=192.168.0.233 to-ports=7775 protocol=tcp dst-address=91.193.xxx.xxx dst-port=7775 log=no log-prefix="" 12 chain=dstnat action=dst-nat to-addresses=192.168.0.15 to-ports=92 protocol=tcp dst-address=91.193.xxx.xxx dst-port=92 log=no log-prefix="" 13 chain=dstnat action=dst-nat to-addresses=192.168.0.15 to-ports=34567 protocol=tcp dst-address=91.193.xxx.xxx dst-port=34567 log=no log-prefix="" 14 chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=5650-5670,5690 log=no log-prefix="" 15 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=9987 protocol=udp dst-address=91.193.xxx.xxx dst-port=9987 log=no log-prefix="" 16 chain=dstnat action=dst-nat to-addresses=192.168.0.226 to-ports=4555 protocol=tcp dst-address=91.193.xxx.xxx dst-port=4555 log=no log-prefix="" 17 X chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=3306 protocol=tcp dst-address=91.193.xxx.xxx dst-port=3306 log=no log-prefix="" 18 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=21 protocol=tcp dst-address=91.193.xxx.xxx dst-port=21 log=no log-prefix="" ---- [admin@MikroTik] > /interface ethernet print Flags: X - disabled, R - running, S - slave # NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH 0 R ether1 1500 00:0C:42:82:4C:13 enabled none 1 S ether4 1500 00:0C:42:82:4C:16 enabled none switch1 2 S ether5 1500 00:0C:42:82:4C:17 enabled none switch1 3 RS localToPM 1500 00:0C:42:82:4C:14 enabled none switch1 4 RS localToPT 1500 00:0C:42:82:4C:15 proxy-arp none switch1 ---- Дома, просто на компе создал VPN-подключение. Проблема собственно в описании темы. Я могу подключаться к компьютерам в локальной сети предприятия, только обращаясь по ip-адресу. В сетевом окружении домашнего компа нет ни одного компьютера. Попытки обращения по имени компьютера, заканчиваются ошибкой - не найден путь. Понимаю, что чего то недонастроил... но уже что только не перепробовал, ничего не получается(((( Может кто нибудь подскажет, что нужно? Edited November 5, 2015 by taravasya Вставить ник Quote
Nickuz Posted November 6, 2015 Posted November 6, 2015 Я могу подключаться к компьютерам в локальной сети предприятия, только обращаясь по ip-адресу. Как бы логично, NetBIOS не пролазит. В сетевом окружении домашнего компа нет ни одного компьютера. По той же причине. Попытки обращения по имени компьютера, заканчиваются ошибкой - не найден путь. Скорее всего, у вас не используется корпоративный ДНС, поэтому так происходит. Настраивайте его в качестве ДНС сервера, обращайтесь по FQDN. Вставить ник Quote
EugeneTV Posted November 6, 2015 Posted November 6, 2015 Надо настроить условный форвардинг DNS запросов для хостов в корпоративном домене. Подробно тут: http://blog.degree.no/2013/10/mikrotik-routeros-conditional-dns-forward/ Вкратце: Перехватываются dns запросы на 8.8.8.8 (или любой другой настроенный на вашем роутере в качестве dns сервера для отдачи юзерам), анализируется доменный суффикс и, если он совпадает с заданным, то запрос кидается на корпоративный днс сервер. P.S. Аналогичным образом можно зафильтровать ютюб или тимвьювер например Вставить ник Quote
taravasya Posted November 6, 2015 Author Posted November 6, 2015 NetBIOS не пролазит Да... пару дней возился с VPN как таковым. Вчера, когда получил стабильное соединение, "переключился" как раз на поиск сочетаний NetBIOS + Mikrotik, WINS + Mikrotik, и понял, что проблема тривиальна и присутствует у каждого второго ))) Настраивайте его в качестве ДНС сервера Кого "его"? Роутер(он сейчас вроде и есть DNSсервер в локалке) или компьютер? Подробно тут К сожалению, большинство терминологий и в Вашем сообщении и в блоге по ссылке, для меня в новинку. Проще говоря, я очень туманно представляю о чём и идёт речь((( Надеюсь, что мне помогут разъяснить всё это... Начну по малу... Я так понимаю, что оба варианта актуальны если в локальной сети используется домен? Спрашиваю потому, что он не используется, а вместо сервера стоит Win7Pro ))) Вставить ник Quote
Nickuz Posted November 6, 2015 Posted November 6, 2015 Кого "его"? Роутер(он сейчас вроде и есть DNSсервер в локалке) или компьютер? Корп. ДНС-сервер должен для вашего компа быть ДНС-сервером. Спрашиваю потому, что он не используется, а вместо сервера стоит Win7Pro ))) Тогда поздравляю. Ваша недосеть использует для разрешения имён NetBIOS )) Вставить ник Quote
taravasya Posted November 6, 2015 Author Posted November 6, 2015 (edited) Ю-хууу!!! ))) Заработало))) Спасибо огромезное!!! Корп. ДНС-сервер должен для вашего компа быть ДНС-сервером Я пока что установил на компьютер выполняющий роль сервера(пусть будет myremoteserver), DualServer используя только его DNS сервис. Хочу попробовать всё настроить при его помощи, а уж если всё получится, то буду переводить сервер на адекватную ОС. На данный момент, все мои настройки свелись к тому, что в параметре Domain_name DualServer-а, я прописал: mywebsite.com=0.168.192.in-addr.arpa Нуу... вместо mywebsite реальный зарегистрированный домен. На нужных мне клиентских машинах внутри сети, я указал предпочтительным DNS-сервер по IP-адресу моего "недосервера" )))) В L2TP профиле микротика, DNS сервером, так же указал того же несчастного. И теперь я могу попадать на нужный мне комп по FQDN!! (как мне кажется )))) Адреса выглядят так: \\myremoteclient.mywebsite.com\ \\myremoteserver.mywebsite.com\ Это я для тех, у кого вдруг будут похожие "затыки". Edited November 6, 2015 by taravasya Вставить ник Quote
taravasya Posted August 7, 2016 Author Posted August 7, 2016 Добавлю ещё одну монетку в "копилку" знаний. В самом роутере, есть возможность прописать статичных "dns клиентов"(прошу прощения если не правильный термин использовал). То-есть если компьютер в корпоративной сети, к которому нужен доступ использует статичный ip, то тогда идём в настройках роутера IP=>DNS=>Add(красный плюсик). В открывшемся окошке вписываем статичный адрес искомой машины, и её имя. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.