taravasya Опубликовано 5 ноября, 2015 (изменено) · Жалоба Здравствуйте! Несколько дней возился с VPN. Ситуация такова: Рабочая сеть(офис). Локальная сеть(192.168.0.xxx) =>=>=> свитч => Mikrotik(192.168.0.1 + постоянный внешний IP) => WAN. Домашняя сеть(по сути один комп мне нужен)(192.168.1.2) => Роутер HG532e => WAN Поднял в Mikrotik L2TP-сервер(PPTP не получается, подозреваю, что из-за провайдера GRE не проходит). [admin@MikroTik] /interface l2tp-server server> print enabled: yes max-mtu: 1460 max-mru: 1460 mrru: disabled authentication: mschap1,mschap2 keepalive-timeout: 30 default-profile: default use-ipsec: yes ipsec-secret: ******** ---- [admin@MikroTik] > /ppp profile print Flags: * - default 0 * name="default" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list="" 1 name="l2tp" local-address=192.168.0.1 remote-address=vpn-pool use-mpls=default use-compression=default use-encryption=yes only-one=default change-tcp-mss=yes address-list="" 2 * name="default-encryption" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list="" В vpn-pool 192.168.0.100/105 ---- [admin@MikroTik] > /ppp secret print Flags: X - disabled # NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS 0 ***** l2tp **** l2tp ---- [admin@MikroTik] > /ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix="" 1 chain=input action=accept protocol=udp port=1701,500,4500 log=no log-prefix="" 2 chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 3 chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix="" 4 chain=block-ddos action=return dst-limit=50,50,src-and-dst-addresses/10s log=no log-prefix="" 5 chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix="" 6 chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m log=no log-prefix="" 7 chain=input action=reject reject-with=icmp-admin-prohibited src-address=37.46.80.226 log=no log-prefix="" 8 chain=input action=reject reject-with=icmp-admin-prohibited src-address=37.247.102.226 log=no log-prefix="" 9 chain=input action=reject reject-with=icmp-admin-prohibited src-address=95.142.160.189 log=no log-prefix="" 10 chain=input action=reject reject-with=icmp-admin-prohibited src-address=91.250.83.205 log=no log-prefix="" ---- [admin@MikroTik] > /ip firewall nat print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade src-address=192.168.0.0/24 log=no log-prefix="" 1 chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=80 log=no log-prefix="" 2 chain=dstnat action=dst-nat to-addresses=192.168.0.200 protocol=tcp dst-address=91.193.xxx.xxx dst-port=90 log=no log-prefix="" 3 chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=7776 log=no log-prefix="" 4 chain=dstnat action=dst-nat to-addresses=192.168.0.243 to-ports=81 protocol=tcp dst-address=91.193.xxx.xxx dst-port=81 log=no log-prefix="" 5 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=82 protocol=tcp dst-address=91.193.xxx.xxx dst-port=82 log=no log-prefix="" 6 chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=100 log=no log-prefix="" 7 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=25 protocol=tcp dst-address=91.193.xxx.xxx dst-port=25 log=no log-prefix="" 8 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=110 protocol=tcp dst-address=91.193.xxx.xxx dst-port=110 log=no log-prefix="" 9 chain=dstnat action=dst-nat to-addresses=192.168.0.202 protocol=tcp dst-address=91.193.xxx.xxx dst-port=91 log=no log-prefix="" 10 chain=dstnat action=dst-nat to-addresses=192.168.0.232 protocol=tcp dst-address=91.193.xxx.xxx dst-port=95 log=no log-prefix="" 11 chain=dstnat action=dst-nat to-addresses=192.168.0.233 to-ports=7775 protocol=tcp dst-address=91.193.xxx.xxx dst-port=7775 log=no log-prefix="" 12 chain=dstnat action=dst-nat to-addresses=192.168.0.15 to-ports=92 protocol=tcp dst-address=91.193.xxx.xxx dst-port=92 log=no log-prefix="" 13 chain=dstnat action=dst-nat to-addresses=192.168.0.15 to-ports=34567 protocol=tcp dst-address=91.193.xxx.xxx dst-port=34567 log=no log-prefix="" 14 chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=5650-5670,5690 log=no log-prefix="" 15 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=9987 protocol=udp dst-address=91.193.xxx.xxx dst-port=9987 log=no log-prefix="" 16 chain=dstnat action=dst-nat to-addresses=192.168.0.226 to-ports=4555 protocol=tcp dst-address=91.193.xxx.xxx dst-port=4555 log=no log-prefix="" 17 X chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=3306 protocol=tcp dst-address=91.193.xxx.xxx dst-port=3306 log=no log-prefix="" 18 chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=21 protocol=tcp dst-address=91.193.xxx.xxx dst-port=21 log=no log-prefix="" ---- [admin@MikroTik] > /interface ethernet print Flags: X - disabled, R - running, S - slave # NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH 0 R ether1 1500 00:0C:42:82:4C:13 enabled none 1 S ether4 1500 00:0C:42:82:4C:16 enabled none switch1 2 S ether5 1500 00:0C:42:82:4C:17 enabled none switch1 3 RS localToPM 1500 00:0C:42:82:4C:14 enabled none switch1 4 RS localToPT 1500 00:0C:42:82:4C:15 proxy-arp none switch1 ---- Дома, просто на компе создал VPN-подключение. Проблема собственно в описании темы. Я могу подключаться к компьютерам в локальной сети предприятия, только обращаясь по ip-адресу. В сетевом окружении домашнего компа нет ни одного компьютера. Попытки обращения по имени компьютера, заканчиваются ошибкой - не найден путь. Понимаю, что чего то недонастроил... но уже что только не перепробовал, ничего не получается(((( Может кто нибудь подскажет, что нужно? Изменено 5 ноября, 2015 пользователем taravasya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 6 ноября, 2015 · Жалоба Я могу подключаться к компьютерам в локальной сети предприятия, только обращаясь по ip-адресу. Как бы логично, NetBIOS не пролазит. В сетевом окружении домашнего компа нет ни одного компьютера. По той же причине. Попытки обращения по имени компьютера, заканчиваются ошибкой - не найден путь. Скорее всего, у вас не используется корпоративный ДНС, поэтому так происходит. Настраивайте его в качестве ДНС сервера, обращайтесь по FQDN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 6 ноября, 2015 · Жалоба Надо настроить условный форвардинг DNS запросов для хостов в корпоративном домене. Подробно тут: http://blog.degree.no/2013/10/mikrotik-routeros-conditional-dns-forward/ Вкратце: Перехватываются dns запросы на 8.8.8.8 (или любой другой настроенный на вашем роутере в качестве dns сервера для отдачи юзерам), анализируется доменный суффикс и, если он совпадает с заданным, то запрос кидается на корпоративный днс сервер. P.S. Аналогичным образом можно зафильтровать ютюб или тимвьювер например Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taravasya Опубликовано 6 ноября, 2015 · Жалоба NetBIOS не пролазит Да... пару дней возился с VPN как таковым. Вчера, когда получил стабильное соединение, "переключился" как раз на поиск сочетаний NetBIOS + Mikrotik, WINS + Mikrotik, и понял, что проблема тривиальна и присутствует у каждого второго ))) Настраивайте его в качестве ДНС сервера Кого "его"? Роутер(он сейчас вроде и есть DNSсервер в локалке) или компьютер? Подробно тут К сожалению, большинство терминологий и в Вашем сообщении и в блоге по ссылке, для меня в новинку. Проще говоря, я очень туманно представляю о чём и идёт речь((( Надеюсь, что мне помогут разъяснить всё это... Начну по малу... Я так понимаю, что оба варианта актуальны если в локальной сети используется домен? Спрашиваю потому, что он не используется, а вместо сервера стоит Win7Pro ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nickuz Опубликовано 6 ноября, 2015 · Жалоба Кого "его"? Роутер(он сейчас вроде и есть DNSсервер в локалке) или компьютер? Корп. ДНС-сервер должен для вашего компа быть ДНС-сервером. Спрашиваю потому, что он не используется, а вместо сервера стоит Win7Pro ))) Тогда поздравляю. Ваша недосеть использует для разрешения имён NetBIOS )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taravasya Опубликовано 6 ноября, 2015 (изменено) · Жалоба Ю-хууу!!! ))) Заработало))) Спасибо огромезное!!! Корп. ДНС-сервер должен для вашего компа быть ДНС-сервером Я пока что установил на компьютер выполняющий роль сервера(пусть будет myremoteserver), DualServer используя только его DNS сервис. Хочу попробовать всё настроить при его помощи, а уж если всё получится, то буду переводить сервер на адекватную ОС. На данный момент, все мои настройки свелись к тому, что в параметре Domain_name DualServer-а, я прописал: mywebsite.com=0.168.192.in-addr.arpa Нуу... вместо mywebsite реальный зарегистрированный домен. На нужных мне клиентских машинах внутри сети, я указал предпочтительным DNS-сервер по IP-адресу моего "недосервера" )))) В L2TP профиле микротика, DNS сервером, так же указал того же несчастного. И теперь я могу попадать на нужный мне комп по FQDN!! (как мне кажется )))) Адреса выглядят так: \\myremoteclient.mywebsite.com\ \\myremoteserver.mywebsite.com\ Это я для тех, у кого вдруг будут похожие "затыки". Изменено 6 ноября, 2015 пользователем taravasya Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taravasya Опубликовано 7 августа, 2016 · Жалоба Добавлю ещё одну монетку в "копилку" знаний. В самом роутере, есть возможность прописать статичных "dns клиентов"(прошу прощения если не правильный термин использовал). То-есть если компьютер в корпоративной сети, к которому нужен доступ использует статичный ip, то тогда идём в настройках роутера IP=>DNS=>Add(красный плюсик). В открывшемся окошке вписываем статичный адрес искомой машины, и её имя. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...