Jump to content
Калькуляторы

L2TP IPSec и имена компьютеров Через VPN, можно обращаться по IP-адресу, но невозможно по имени компа

Reply to this topic

taravasya   

taravasya
Posted (edited)

Здравствуйте! Несколько дней возился с VPN. Ситуация такова:

Рабочая сеть(офис). Локальная сеть(192.168.0.xxx) =>=>=> свитч => Mikrotik(192.168.0.1 + постоянный внешний IP) => WAN.

Домашняя сеть(по сути один комп мне нужен)(192.168.1.2) => Роутер HG532e => WAN

Поднял в Mikrotik L2TP-сервер(PPTP не получается, подозреваю, что из-за провайдера GRE не проходит).

[admin@MikroTik] /interface l2tp-server server> print
           enabled: yes
           max-mtu: 1460
           max-mru: 1460
              mrru: disabled
    authentication: mschap1,mschap2
 keepalive-timeout: 30
   default-profile: default
         use-ipsec: yes
      ipsec-secret: ********

----

[admin@MikroTik] > /ppp profile print
Flags: * - default 
0 * name="default" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list="" 

1   name="l2tp" local-address=192.168.0.1 remote-address=vpn-pool use-mpls=default use-compression=default use-encryption=yes 
    only-one=default change-tcp-mss=yes address-list="" 

2 * name="default-encryption" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes 
    address-list=""

В vpn-pool 192.168.0.100/105

----

[admin@MikroTik] > /ppp secret print 
Flags: X - disabled 
#   NAME                       SERVICE CALLER-ID                    PASSWORD                    PROFILE                    REMOTE-ADDRESS 
0   *****                      l2tp                                 ****                        l2tp

----

[admin@MikroTik] > /ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix="" 

1    chain=input action=accept protocol=udp port=1701,500,4500 log=no log-prefix="" 

2    chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 

3    chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix="" 

4    chain=block-ddos action=return dst-limit=50,50,src-and-dst-addresses/10s log=no log-prefix="" 

5    chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix="" 

6    chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m log=no log-prefix="" 

7    chain=input action=reject reject-with=icmp-admin-prohibited src-address=37.46.80.226 log=no log-prefix="" 

8    chain=input action=reject reject-with=icmp-admin-prohibited src-address=37.247.102.226 log=no log-prefix="" 

9    chain=input action=reject reject-with=icmp-admin-prohibited src-address=95.142.160.189 log=no log-prefix="" 

10    chain=input action=reject reject-with=icmp-admin-prohibited src-address=91.250.83.205 log=no log-prefix=""

----

[admin@MikroTik] > /ip firewall nat print    
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=srcnat action=masquerade src-address=192.168.0.0/24 log=no log-prefix="" 

1    chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=80 log=no log-prefix="" 

2    chain=dstnat action=dst-nat to-addresses=192.168.0.200 protocol=tcp dst-address=91.193.xxx.xxx dst-port=90 log=no log-prefix="" 

3    chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=7776 log=no log-prefix="" 

4    chain=dstnat action=dst-nat to-addresses=192.168.0.243 to-ports=81 protocol=tcp dst-address=91.193.xxx.xxx dst-port=81 log=no log-prefix="" 

5    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=82 protocol=tcp dst-address=91.193.xxx.xxx dst-port=82 log=no log-prefix="" 

6    chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=100 log=no log-prefix="" 

7    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=25 protocol=tcp dst-address=91.193.xxx.xxx dst-port=25 log=no log-prefix="" 

8    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=110 protocol=tcp dst-address=91.193.xxx.xxx dst-port=110 log=no log-prefix="" 

9    chain=dstnat action=dst-nat to-addresses=192.168.0.202 protocol=tcp dst-address=91.193.xxx.xxx dst-port=91 log=no log-prefix="" 

10    chain=dstnat action=dst-nat to-addresses=192.168.0.232 protocol=tcp dst-address=91.193.xxx.xxx dst-port=95 log=no log-prefix="" 

11    chain=dstnat action=dst-nat to-addresses=192.168.0.233 to-ports=7775 protocol=tcp dst-address=91.193.xxx.xxx dst-port=7775 log=no log-prefix="" 

12    chain=dstnat action=dst-nat to-addresses=192.168.0.15 to-ports=92 protocol=tcp dst-address=91.193.xxx.xxx dst-port=92 log=no log-prefix="" 

13    chain=dstnat action=dst-nat to-addresses=192.168.0.15 to-ports=34567 protocol=tcp dst-address=91.193.xxx.xxx dst-port=34567 log=no log-prefix="" 

14    chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=5650-5670,5690 log=no log-prefix="" 

15    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=9987 protocol=udp dst-address=91.193.xxx.xxx dst-port=9987 log=no log-prefix="" 

16    chain=dstnat action=dst-nat to-addresses=192.168.0.226 to-ports=4555 protocol=tcp dst-address=91.193.xxx.xxx dst-port=4555 log=no log-prefix="" 

17 X  chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=3306 protocol=tcp dst-address=91.193.xxx.xxx dst-port=3306 log=no log-prefix="" 

18    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=21 protocol=tcp dst-address=91.193.xxx.xxx dst-port=21 log=no log-prefix=""

----

[admin@MikroTik] > /interface ethernet print 
Flags: X - disabled, R - running, S - slave 
#    NAME                                    MTU MAC-ADDRESS       ARP        MASTER-PORT                                  SWITCH                                 
0 R  ether1                                 1500 00:0C:42:82:4C:13 enabled    none                                        
1  S ether4                                 1500 00:0C:42:82:4C:16 enabled    none                                         switch1                                
2  S ether5                                 1500 00:0C:42:82:4C:17 enabled    none                                         switch1                                
3 RS localToPM                              1500 00:0C:42:82:4C:14 enabled    none                                         switch1                                
4 RS localToPT                              1500 00:0C:42:82:4C:15 proxy-arp  none                                         switch1

----

Дома, просто на компе создал VPN-подключение.

Проблема собственно в описании темы. Я могу подключаться к компьютерам в локальной сети предприятия, только обращаясь по ip-адресу. В сетевом окружении домашнего компа нет ни одного компьютера. Попытки обращения по имени компьютера, заканчиваются ошибкой - не найден путь.

Понимаю, что чего то недонастроил... но уже что только не перепробовал, ничего не получается((((

Может кто нибудь подскажет, что нужно?

Edited by taravasya

Share this post

Link to post
Share on other sites

Nickuz   

Nickuz
Posted

Я могу подключаться к компьютерам в локальной сети предприятия, только обращаясь по ip-адресу.

Как бы логично, NetBIOS не пролазит.

В сетевом окружении домашнего компа нет ни одного компьютера.

По той же причине.

Попытки обращения по имени компьютера, заканчиваются ошибкой - не найден путь.

Скорее всего, у вас не используется корпоративный ДНС, поэтому так происходит. Настраивайте его в качестве ДНС сервера, обращайтесь по FQDN.

Share this post

Link to post
Share on other sites

EugeneTV   

EugeneTV
Posted

Надо настроить условный форвардинг DNS запросов для хостов в корпоративном домене.

Подробно тут: http://blog.degree.no/2013/10/mikrotik-routeros-conditional-dns-forward/

Вкратце: Перехватываются dns запросы на 8.8.8.8 (или любой другой настроенный на вашем роутере в качестве dns сервера для отдачи юзерам), анализируется доменный суффикс и, если он совпадает с заданным, то запрос кидается на корпоративный днс сервер.

 

P.S. Аналогичным образом можно зафильтровать ютюб или тимвьювер например

Share this post

Link to post
Share on other sites

taravasya   

taravasya
Posted

NetBIOS не пролазит

Да... пару дней возился с VPN как таковым. Вчера, когда получил стабильное соединение, "переключился" как раз на поиск сочетаний NetBIOS + Mikrotik, WINS + Mikrotik, и понял, что проблема тривиальна и присутствует у каждого второго )))

Настраивайте его в качестве ДНС сервера

Кого "его"? Роутер(он сейчас вроде и есть DNSсервер в локалке) или компьютер?

 

Подробно тут

К сожалению, большинство терминологий и в Вашем сообщении и в блоге по ссылке, для меня в новинку. Проще говоря, я очень туманно представляю о чём и идёт речь(((

 

Надеюсь, что мне помогут разъяснить всё это...

Начну по малу...

Я так понимаю, что оба варианта актуальны если в локальной сети используется домен? Спрашиваю потому, что он не используется, а вместо сервера стоит Win7Pro )))

Share this post

Link to post
Share on other sites

Nickuz   

Nickuz
Posted

Кого "его"? Роутер(он сейчас вроде и есть DNSсервер в локалке) или компьютер?

Корп. ДНС-сервер должен для вашего компа быть ДНС-сервером.

Спрашиваю потому, что он не используется, а вместо сервера стоит Win7Pro )))

Тогда поздравляю. Ваша недосеть использует для разрешения имён NetBIOS ))

Share this post

Link to post
Share on other sites

taravasya   

taravasya
Posted (edited)

Ю-хууу!!! ))) Заработало))) Спасибо огромезное!!!

Корп. ДНС-сервер должен для вашего компа быть ДНС-сервером

 

Я пока что установил на компьютер выполняющий роль сервера(пусть будет myremoteserver), DualServer используя только его DNS сервис. Хочу попробовать всё настроить при его помощи, а уж если всё получится, то буду переводить сервер на адекватную ОС.

На данный момент, все мои настройки свелись к тому, что в параметре Domain_name DualServer-а, я прописал:

mywebsite.com=0.168.192.in-addr.arpa

Нуу... вместо mywebsite реальный зарегистрированный домен.

На нужных мне клиентских машинах внутри сети, я указал предпочтительным DNS-сервер по IP-адресу моего "недосервера" ))))

В L2TP профиле микротика, DNS сервером, так же указал того же несчастного.

И теперь я могу попадать на нужный мне комп по FQDN!! (как мне кажется ))))

Адреса выглядят так:

\\myremoteclient.mywebsite.com\

\\myremoteserver.mywebsite.com\

 

Это я для тех, у кого вдруг будут похожие "затыки".

Edited by taravasya

Share this post

Link to post
Share on other sites

taravasya   

taravasya
Posted

Добавлю ещё одну монетку в "копилку" знаний. В самом роутере, есть возможность прописать статичных "dns клиентов"(прошу прощения если не правильный термин использовал). То-есть если компьютер в корпоративной сети, к которому нужен доступ использует статичный ip, то тогда идём в настройках роутера IP=>DNS=>Add(красный плюсик). В открывшемся окошке вписываем статичный адрес искомой машины, и её имя.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik Wireless