[taravasya]

Здравствуйте! Несколько дней возился с VPN. Ситуация такова:

Рабочая сеть(офис). Локальная сеть(192.168.0.xxx) =>=>=> свитч => Mikrotik(192.168.0.1 + постоянный внешний IP) => WAN.

Домашняя сеть(по сути один комп мне нужен)(192.168.1.2) => Роутер HG532e => WAN

Поднял в Mikrotik L2TP-сервер(PPTP не получается, подозреваю, что из-за провайдера GRE не проходит).

[admin@MikroTik] /interface l2tp-server server> print
           enabled: yes
           max-mtu: 1460
           max-mru: 1460
              mrru: disabled
    authentication: mschap1,mschap2
 keepalive-timeout: 30
   default-profile: default
         use-ipsec: yes
      ipsec-secret: ********

----

[admin@MikroTik] > /ppp profile print
Flags: * - default 
0 * name="default" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes address-list="" 

1   name="l2tp" local-address=192.168.0.1 remote-address=vpn-pool use-mpls=default use-compression=default use-encryption=yes 
    only-one=default change-tcp-mss=yes address-list="" 

2 * name="default-encryption" use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes 
    address-list=""

В vpn-pool 192.168.0.100/105

----

[admin@MikroTik] > /ppp secret print 
Flags: X - disabled 
#   NAME                       SERVICE CALLER-ID                    PASSWORD                    PROFILE                    REMOTE-ADDRESS 
0   *****                      l2tp                                 ****                        l2tp                      

----

[admin@MikroTik] > /ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=forward action=jump jump-target=block-ddos connection-state=new log=no log-prefix="" 

1    chain=input action=accept protocol=udp port=1701,500,4500 log=no log-prefix="" 

2    chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 

3    chain=forward action=drop connection-state=new src-address-list=ddoser dst-address-list=ddosed log=no log-prefix="" 

4    chain=block-ddos action=return dst-limit=50,50,src-and-dst-addresses/10s log=no log-prefix="" 

5    chain=block-ddos action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m log=no log-prefix="" 

6    chain=block-ddos action=add-src-to-address-list address-list=ddoser address-list-timeout=10m log=no log-prefix="" 

7    chain=input action=reject reject-with=icmp-admin-prohibited src-address=37.46.80.226 log=no log-prefix="" 

8    chain=input action=reject reject-with=icmp-admin-prohibited src-address=37.247.102.226 log=no log-prefix="" 

9    chain=input action=reject reject-with=icmp-admin-prohibited src-address=95.142.160.189 log=no log-prefix="" 

10    chain=input action=reject reject-with=icmp-admin-prohibited src-address=91.250.83.205 log=no log-prefix=""

----

[admin@MikroTik] > /ip firewall nat print    
Flags: X - disabled, I - invalid, D - dynamic 
0    chain=srcnat action=masquerade src-address=192.168.0.0/24 log=no log-prefix="" 

1    chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=80 log=no log-prefix="" 

2    chain=dstnat action=dst-nat to-addresses=192.168.0.200 protocol=tcp dst-address=91.193.xxx.xxx dst-port=90 log=no log-prefix="" 

3    chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=7776 log=no log-prefix="" 

4    chain=dstnat action=dst-nat to-addresses=192.168.0.243 to-ports=81 protocol=tcp dst-address=91.193.xxx.xxx dst-port=81 log=no log-prefix="" 

5    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=82 protocol=tcp dst-address=91.193.xxx.xxx dst-port=82 log=no log-prefix="" 

6    chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=100 log=no log-prefix="" 

7    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=25 protocol=tcp dst-address=91.193.xxx.xxx dst-port=25 log=no log-prefix="" 

8    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=110 protocol=tcp dst-address=91.193.xxx.xxx dst-port=110 log=no log-prefix="" 

9    chain=dstnat action=dst-nat to-addresses=192.168.0.202 protocol=tcp dst-address=91.193.xxx.xxx dst-port=91 log=no log-prefix="" 

10    chain=dstnat action=dst-nat to-addresses=192.168.0.232 protocol=tcp dst-address=91.193.xxx.xxx dst-port=95 log=no log-prefix="" 

11    chain=dstnat action=dst-nat to-addresses=192.168.0.233 to-ports=7775 protocol=tcp dst-address=91.193.xxx.xxx dst-port=7775 log=no log-prefix="" 

12    chain=dstnat action=dst-nat to-addresses=192.168.0.15 to-ports=92 protocol=tcp dst-address=91.193.xxx.xxx dst-port=92 log=no log-prefix="" 

13    chain=dstnat action=dst-nat to-addresses=192.168.0.15 to-ports=34567 protocol=tcp dst-address=91.193.xxx.xxx dst-port=34567 log=no log-prefix="" 

14    chain=dstnat action=dst-nat to-addresses=192.168.0.9 protocol=tcp dst-address=91.193.xxx.xxx dst-port=5650-5670,5690 log=no log-prefix="" 

15    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=9987 protocol=udp dst-address=91.193.xxx.xxx dst-port=9987 log=no log-prefix="" 

16    chain=dstnat action=dst-nat to-addresses=192.168.0.226 to-ports=4555 protocol=tcp dst-address=91.193.xxx.xxx dst-port=4555 log=no log-prefix="" 

17 X  chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=3306 protocol=tcp dst-address=91.193.xxx.xxx dst-port=3306 log=no log-prefix="" 

18    chain=dstnat action=dst-nat to-addresses=192.168.0.9 to-ports=21 protocol=tcp dst-address=91.193.xxx.xxx dst-port=21 log=no log-prefix=""

----

[admin@MikroTik] > /interface ethernet print 
Flags: X - disabled, R - running, S - slave 
#    NAME                                    MTU MAC-ADDRESS       ARP        MASTER-PORT                                  SWITCH                                 
0 R  ether1                                 1500 00:0C:42:82:4C:13 enabled    none                                        
1  S ether4                                 1500 00:0C:42:82:4C:16 enabled    none                                         switch1                                
2  S ether5                                 1500 00:0C:42:82:4C:17 enabled    none                                         switch1                                
3 RS localToPM                              1500 00:0C:42:82:4C:14 enabled    none                                         switch1                                
4 RS localToPT                              1500 00:0C:42:82:4C:15 proxy-arp  none                                         switch1

----

Дома, просто на компе создал VPN-подключение.

Проблема собственно в описании темы. Я могу подключаться к компьютерам в локальной сети предприятия, только обращаясь по ip-адресу. В сетевом окружении домашнего компа нет ни одного компьютера. Попытки обращения по имени компьютера, заканчиваются ошибкой - не найден путь.

Понимаю, что чего то недонастроил... но уже что только не перепробовал, ничего не получается((((

Может кто нибудь подскажет, что нужно?

Изменено 5 ноября, 2015 пользователем taravasya

[Nickuz]

Я могу подключаться к компьютерам в локальной сети предприятия, только обращаясь по ip-адресу.

Как бы логично, NetBIOS не пролазит.

В сетевом окружении домашнего компа нет ни одного компьютера.

По той же причине.

Попытки обращения по имени компьютера, заканчиваются ошибкой - не найден путь.

Скорее всего, у вас не используется корпоративный ДНС, поэтому так происходит. Настраивайте его в качестве ДНС сервера, обращайтесь по FQDN.

[EugeneTV]

Надо настроить условный форвардинг DNS запросов для хостов в корпоративном домене.

Подробно тут: http://blog.degree.no/2013/10/mikrotik-routeros-conditional-dns-forward/

Вкратце: Перехватываются dns запросы на 8.8.8.8 (или любой другой настроенный на вашем роутере в качестве dns сервера для отдачи юзерам), анализируется доменный суффикс и, если он совпадает с заданным, то запрос кидается на корпоративный днс сервер.

 

P.S. Аналогичным образом можно зафильтровать ютюб или тимвьювер например

[taravasya]

NetBIOS не пролазит

Да... пару дней возился с VPN как таковым. Вчера, когда получил стабильное соединение, "переключился" как раз на поиск сочетаний NetBIOS + Mikrotik, WINS + Mikrotik, и понял, что проблема тривиальна и присутствует у каждого второго )))

Настраивайте его в качестве ДНС сервера

Кого "его"? Роутер(он сейчас вроде и есть DNSсервер в локалке) или компьютер?

 

Подробно тут

К сожалению, большинство терминологий и в Вашем сообщении и в блоге по ссылке, для меня в новинку. Проще говоря, я очень туманно представляю о чём и идёт речь(((

 

Надеюсь, что мне помогут разъяснить всё это...

Начну по малу...

Я так понимаю, что оба варианта актуальны если в локальной сети используется домен? Спрашиваю потому, что он не используется, а вместо сервера стоит Win7Pro )))

[Nickuz]

Кого "его"? Роутер(он сейчас вроде и есть DNSсервер в локалке) или компьютер?

Корп. ДНС-сервер должен для вашего компа быть ДНС-сервером.

Спрашиваю потому, что он не используется, а вместо сервера стоит Win7Pro )))

Тогда поздравляю. Ваша недосеть использует для разрешения имён NetBIOS ))

[taravasya]

Ю-хууу!!! ))) Заработало))) Спасибо огромезное!!!

Корп. ДНС-сервер должен для вашего компа быть ДНС-сервером

 

Я пока что установил на компьютер выполняющий роль сервера(пусть будет myremoteserver), DualServer используя только его DNS сервис. Хочу попробовать всё настроить при его помощи, а уж если всё получится, то буду переводить сервер на адекватную ОС.

На данный момент, все мои настройки свелись к тому, что в параметре Domain_name DualServer-а, я прописал:

mywebsite.com=0.168.192.in-addr.arpa

Нуу... вместо mywebsite реальный зарегистрированный домен.

На нужных мне клиентских машинах внутри сети, я указал предпочтительным DNS-сервер по IP-адресу моего "недосервера" ))))

В L2TP профиле микротика, DNS сервером, так же указал того же несчастного.

И теперь я могу попадать на нужный мне комп по FQDN!! (как мне кажется ))))

Адреса выглядят так:

\\myremoteclient.mywebsite.com\

\\myremoteserver.mywebsite.com\

 

Это я для тех, у кого вдруг будут похожие "затыки".

Изменено 6 ноября, 2015 пользователем taravasya

[taravasya]

Добавлю ещё одну монетку в "копилку" знаний. В самом роутере, есть возможность прописать статичных "dns клиентов"(прошу прощения если не правильный термин использовал). То-есть если компьютер в корпоративной сети, к которому нужен доступ использует статичный ip, то тогда идём в настройках роутера IP=>DNS=>Add(красный плюсик). В открывшемся окошке вписываем статичный адрес искомой машины, и её имя.