alexander-123 Posted March 22, 2016 Здравствуйте. Настроил PPTP сервер на Микротике. Удалённому пользователю присваивается адрес из локальной подсети. Включил arp-proxy на бридже локальной сети, ибо иначе удалённый пользователь ни в какую не хочет видеть машины внутри локалки. Однако это не правильно, выделять адреса удалённым пользователям из локальной сети, поэтому назначаю адрес из другой подсети. Но в этом случае удалённый пользователь не видит ни одну машину в подсети, хотя шлюз видит. Испробовал разные варианты, но ничего не получается. Что делаю не так? Спасибо... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Барагоз Posted March 22, 2016 Что делаю не так? Видимо, нужно привести ip pool print ip route print ip firewall filter print ip firewall nat print для начала ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexander-123 Posted March 22, 2016 Пожалуйста: # NAME RANGES 0 dhcp_pool1 192.168.1.100-192.168.1.110 # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 95.199.130.1 1 1 ADC 95.199.130.0/24 95.199.130.131 ether1 0 2 ADC 111.111.111.2/32 111.111.111.1 <pptp-1> 0 3 ADC 192.168.1.0/24 192.168.1.1 bridge LAN-WLAN 0 Flags: X - disabled, I - invalid, D - dynamic 0 ;;; INPUT Ralated & Est chain=input action=accept connection-state=established,related in-interface=ether1 log=no log-prefix="" 1 ;;; Ping chain=input action=accept connection-state=new protocol=icmp src-address=216.95.185.130 in-interface=ether1 log=no log-prefix="" 2 ;;; WinBox chain=input action=accept connection-state=new protocol=tcp src-address=216.95.185.130 in-interface=ether1 dst-port=443 log=no log-prefix="" 3 ;;; PPTP chain=input action=accept connection-state=new protocol=tcp in-interface=ether1 dst-port=1723 log=no log-prefix="" 4 chain=input action=accept connection-state=new protocol=gre in-interface=ether1 log=no log-prefix="" 5 ;;; DROP INPUT ALL chain=input action=drop in-interface=ether1 log=no log-prefix="" 6 ;;; NEW chain=forward action=accept connection-state=new in-interface=bridge LAN-WLAN out-interface=ether1 log=no log-prefix="" 7 ;;; Related & Est chain=forward action=accept connection-state=established,related log=no log-prefix="" 8 ;;; RDP chain=forward action=accept connection-state=new protocol=tcp src-address=216.95.185.130 in-interface=ether1 out-interface=bridge LAN-WLAN dst-port=3389 log=no log-prefix="" 9 ;;; VPN Access chain=forward action=accept connection-state=new out-interface=bridge LAN-WLAN log=no log-prefix="" 10 ;;; DROP Forward ALL chain=forward action=drop log=no log-prefix="" Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=src-nat to-addresses=95.199.130.131 out-interface=ether1 log=no log-prefix="" 1 chain=dstnat action=dst-nat to-addresses=192.168.1.100 protocol=tcp in-interface=ether1 dst-port=3389 log=no log-prefix="" В данном случае я присвоил адрес удаленному пользователю 111.111.111.2 , а локальный сервер прописал 111.111.111.1. Тогда когда локальная сеть 192.168.1.0/24 Удаленный П видит 192.168.1.1 но не видит 192.168.1.100 (например) В то же время если присвоить адрес из подсети 192.168.1.0/24 (например 192.168.1.200)то внутреннюю сеть всё он видит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 22, 2016 На каждую подсеть пропишите наты и у вас будет все работать. chain=srcnat action=src-nat to-addresses=192.168.x.x dst-address=192.168.x.0/24 log=no log-prefix="" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexander-123 Posted March 22, 2016 А можно по подробнее? Во-первых bad command name 3 (line 1 column 1) Подставляю номер впереди всё равно ошибка. И если удалённый пользователь получает адрес 111.111.111.2 значит должно быть так ? chain=srcnat action=src-nat to-addresses=111.111.111.2 dst-address=192.168.1.0/24 log=no log-prefix="" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted March 25, 2016 У тебя по умолчанию когда создается VPN уже для IP адреса есть маршруты т.е. это примерно как ты на обычном роутере получил дшсп или статику прописал со шлюзом по умолчанию, но ты видишь только свою сетку. И если ты просто создашь вилан и повешаешь туда IP ты видеть будешь только этот IP со своего впн. Я не очень хороший объеснятор. У тебя есть сеть 192.168.1.0/24 в vlan10 и в vlane у тебя устройства висят, когда ты выставишь ip для своего микротика в vlan10 у микротика автоматом создастся роут на эту сеть. Твой VPN не знает о этом маршруте и обратного марштута в твой впн нет. По этому используем нат IP->Firewall->NAT и создаем правило, что сеть удаленная dst-address и обозначаем маской находится за IP адресом 192.168.1.1 и выставляем в актион правило src-nat 192.168.1.1 Должно быть вот так chain=srcnat action=src-nat to-addresses=192.168.1.1 dst-address=192.168.1.0/24 log=no log-prefix="" Где 192.168.1.1 IP адрес самого микротика в нужном вилане либо интерфейсе, который смотрит в сторону нужной сети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
