Di1Worker Опубликовано 30 июня, 2018 · Жалоба Уважаемые Гуру Микротиков и любители ребусов! Я не специалист, но следуя инструкциям и руководствам получилось подключаться к Микротику из Windows7, а дальше пинги не ходят. Целью стоит как-бы "вливаться" снаружи во внутреннюю сетку. Топология: На микротике 1 и 2 порт к двум провайдерам по PPPoe с белым адресом (для балансировки и резервирования, как понимаю, но один из каналов не активен), на 4 172.16.0.1 и внутрення сетка 172.16.0.0/21 со статическими адресами. Частью адресов 172.16.1.ххх рулит биллинг, часть 172.16.0.ххх для внутреннего пользования без ограничений, включен в лист "AlwaysON". На OVPN дописал 192.168.100.1 и для полключения снаружи адреса с 100.2 по 100.20. По итого соединение устанавливается, в Виндоус после ручного дописывани add route 172.16.0.0 mask 255.255.240.0 192.168.100.1 есть пинг до 192.168.100.1 и 172.16.0.1, с микротика есть пинг до виндузного компа и это всё. Конфиг с микротика прилагается: Spoiler /interface ethernet set [ find default-name=ether1 ] comment=1 set [ find default-name=ether2 ] comment=2 set [ find default-name=ether4 ] arp=proxy-arp comment=Gigabit-OUT /interface pppoe-client add add-default-route=yes comment=PPPoE_1 default-route-distance=16 \ disabled=no interface=ether1 max-mru=1480 max-mtu=1480 mrru=1600 name=\ pppoe-out1 password=**** use-peer-dns=yes user=**** add add-default-route=yes comment=PPPoE_2 default-route-distance=16 \ interface=ether2 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-out2 \ password=**** use-peer-dns=yes user=**** /interface wireless set [ find default-name=wlan1 ] ssid=MikroTik /interface list add name=Providers add name=InterPPP /ip pool add name=pool172.16.0.200-210 ranges=172.16.0.200-172.16.0.210 add name=OVPN ranges=192.168.100.2-192.168.100.20 /ip dhcp-server add address-pool=pool172.16.0.200-210 disabled=no interface=ether4 \ lease-time=30m name=DHCPserver1 /ppp profile add local-address=192.168.100.1 name=OVPN remote-address=OVPN /queue type add kind=pfifo name=M_PFIFO pfifo-limit=500 add kind=sfq name=M_SFQ add kind=pcq name=M_PCQ_DOWN pcq-classifier=dst-address \ pcq-total-limit=16200KiB add kind=pcq name=M_PCQ_UP pcq-classifier=src-address \ pcq-total-limit=16200KiB /queue interface set ether1 queue=ethernet-default set ether2 queue=ethernet-default set ether3 queue=ethernet-default set ether4 queue=ethernet-default /interface list member add interface=ether1 list=Providers add interface=ether2 list=Providers add interface=pppoe-out1 list=InterPPP add interface=pppoe-out2 list=InterPPP /interface ovpn-server server set certificate=server.crt_0 default-profile=OVPN enabled=yes mode=ethernet \ require-client-certificate=yes /ip address add address=172.16.0.1/21 interface=ether4 network=172.16.0.0 add address=172.16.16.1/30 interface=ether3 network=172.16.16.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether3 /ip dhcp-server config set store-leases-disk=6h /ip dhcp-server lease **** /ip dhcp-server network add address=172.16.0.0/21 dns-server=172.16.0.1 gateway=172.16.0.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8,172.16.4.1 /ip firewall address-list add address=172.16.0.4-172.16.0.50 list=ether2 add address=172.16.1.2-172.16.1.74 list=ether1 add address=172.16.1.112 list=ether1 add address=172.16.1.130 list=ether1 add address=172.16.0.2 list=ether1 add address=172.16.0.200-172.16.0.254 list=ether2 add address=172.16.1.75-172.16.1.111 list=ether2 add address=172.16.1.113-172.16.1.129 list=ether2 add address=172.16.1.131-172.16.1.254 list=ether2 add address=172.16.4.2-172.16.4.254 list=ether2 add address=172.16.4.1 list=AlwaysOn add address=172.16.0.3-172.16.0.254 list=AlwaysOn add address=**** list=SitesBlock add address=**** comment=**** list=SitesBlock add address=172.16.0.0/20 list=LocalNet add address=172.16.1.0/24 comment="All Drop in 172.16.1.0/24" list=\ M_All_Drop add address=172.16.250.57 comment=M_LAN_LIST list=DNSs add address=172.16.250.50 comment=M_LAN_LIST list=DNSs add address=172.16.1.82 list=ether2 add address=172.16.4.0/24 comment="All Drop in 172.16.4.0/24" list=\ M_All_Drop /ip firewall filter add action=accept chain=forward dst-address=172.16.0.0/20 src-address=\ 192.168.100.0/24 add action=accept chain=forward dst-address=192.168.100.0/24 src-address=\ 172.16.0.0/20 add action=accept chain=input comment="OPENVPN IN" dst-port=1194 \ in-interface=pppoe-out1 protocol=tcp add action=drop chain=forward comment=M_Flood_Killer \ src-address-list=M_BLOCKED_FLOOD add action=drop chain=forward comment="Drop spamers an viruses" dst-port=25 \ protocol=tcp src-address-list=spammer add action=add-src-to-address-list address-list=spammer address-list-timeout=\ 8h chain=forward comment=Spammers connection-limit=30,32 dst-port=25 \ limit=50,5:packet log=yes protocol=tcp src-address-list=!spammer add action=add-src-to-address-list address-list=M_BLOCKED_FLOOD \ address-list-timeout=3m chain=forward comment=M_Block_Flood \ connection-limit=20,32 dst-port=80 log=yes protocol=tcp src-address-list=\ M_OFF_Users add action=drop chain=input comment="DNS atack" src-address-list=atacker add action=add-src-to-address-list address-list=atacker address-list-timeout=\ 10m chain=input comment="DNS atack" dst-port=53 in-interface=!ether4 \ log-prefix=ATACKER protocol=udp src-address-list=!atacker add action=add-src-to-address-list address-list=atacker address-list-timeout=\ 10m chain=input comment="DNS atack" dst-port=53 in-interface=!ether4 \ log-prefix=ATACKER protocol=tcp src-address-list=!atacker add action=drop chain=forward comment=SitesBlock src-address-list=SitesBlock add action=accept chain=forward comment=M_Server src-address=\ 172.16.0.2 add action=accept chain=forward comment=M_Server2 dst-address=\ 172.16.0.2 add action=accept chain=forward comment=M_Users src-address-list=\ M_Users add action=accept chain=forward comment=M_Users2 dst-address-list=\ M_Users add action=accept chain=forward comment=M_DNS_in_56370213141971 \ src-address-list=DNSs add action=accept chain=forward comment=M_DNS_out_30837829141795 \ dst-address-list=DNSs add action=accept chain=forward comment=AlwaysON \ src-address-list=AlwaysOn add action=accept chain=forward comment=AlwaysON dst-address-list=AlwaysOn add action=accept chain=input comment=AlwaysON src-address-list=AlwaysOn add action=drop chain=forward comment=Invalid connection-state=invalid add action=drop chain=input comment=Invalid connection-state=invalid add action=drop chain=forward comment=M_Blocked_Users \ src-address-list=M_All_Drop add action=drop chain=forward comment=M_Blocked_Users2 \ dst-address-list=M_All_Drop add action=accept chain=forward comment="allow PING" in-interface-list=\ !Providers protocol=icmp add action=accept chain=input comment="allow PING" in-interface-list=\ !Providers protocol=icmp add action=accept chain=input comment=related connection-state=related add action=accept chain=input comment=established connection-state=\ established add action=accept chain=input comment="80, ..." dst-port=80,8728,8291,22 \ in-interface=ether4 protocol=tcp add action=drop chain=input comment="Drop ALL" in-interface-list=InterPPP add action=drop chain=input comment="Drop ALL" in-interface-list=Providers /ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:3 passthrough=yes add action=mark-routing chain=prerouting comment=1 dst-address=\ !172.16.0.0/21 new-routing-mark=ETHER1_Routing passthrough=no \ src-address-list=ether1 add action=mark-routing chain=prerouting comment=2 dst-address=\ !172.16.0.0/21 new-routing-mark=ETHER2_Routing passthrough=no \ src-address-list=ether2 /ip firewall nat add action=netmap chain=dstnat comment="M WEB-CAP" dst-address=\ !172.16.0.2 dst-port=80 log=yes log-prefix="81 Port" protocol=tcp \ src-address-list=M_OFF_Users to-addresses=172.16.0.2 to-ports=81 add action=masquerade chain=srcnat comment="M USERS NAT" \ src-address-list=M_All_Drop add action=masquerade chain=srcnat out-interface=pppoe-out1 # pppoe-out2 not ready add action=masquerade chain=srcnat out-interface=pppoe-out2 src-address-list=\ AlwaysOn add action=dst-nat chain=dstnat dst-port=7660 protocol=tcp to-addresses=\ 172.16.0.2 /ip proxy set parent-proxy=0.0.0.0 port=81 src-address=0.0.0.0 /ip proxy access add action=deny comment=M_WEB_CAP dst-port=80 redirect-to=\ 172.16.0.2:81/ /ip route add check-gateway=ping distance=10 gateway=pppoe-out1 routing-mark=\ ETHER1_Routing add check-gateway=ping distance=11 gateway=pppoe-out2 routing-mark=\ ETHER1_Routing add check-gateway=ping distance=10 gateway=pppoe-out2 routing-mark=\ ETHER2_Routing add check-gateway=ping distance=11 gateway=pppoe-out1 routing-mark=\ ETHER2_Routing add distance=20 gateway=172.16.4.1 /ip service set telnet disabled=yes set ftp disabled=yes set www address=172.16.0.0/20 set ssh address=172.16.0.0/20 set api address=172.16.0.0/20 set winbox address=172.16.0.0/20 set api-ssl disabled=yes /ppp secret add name=**** password=**** profile=OVPN service=ovpn /system clock set time-zone-autodetect=no time-zone-name=Etc/GMT-3 /system ntp client set enabled=yes primary-ntp=89.109.251.22 secondary-ntp=89.109.251.21 /system ntp server set enabled=yes Конфиг с Виндоус: Spoiler proto tcp-client remote **** dev tap nobind persist-key tls-client ca ca.crt cert client.crt key client.key ping-restart 10 verb 5 remote-cert-tls server #cipher AES-256-CBC tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA auth SHA1 pull auth-user-pass auth.cfg route-method exe route-delay 2 #redirect-gateway def1 route network 172.16.0.0 255.255.240.0 192.168.100.1 dh dh2048.pem Из руководств понял, что OVPN клиентам нужен свой диапазон, не из внутренней подсети; Что есть 2 варианта L2 и L3 и в виндоус конфиге либо dev tap либо dev tun и в Микротике в OVPN Server ставится ethernet или ip соответственно. Раз результат не достигнут, наверно, мне предстоит еще некоторое количество открытий... Есто подозрение, что нужен бридж в микротике (его там совсем нет) или что-то с arp или nat не то, но знаний не хватает, а метод эксперименов ситуацию не улучшил. Посоветуйте, что можно почитать понятное, или что-где дописать. Вторая неделя, весь мозг сломал... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 30 июня, 2018 · Жалоба @Di1Worker L2TP/IPSec проще же настраивать, встроенный клиент в виндовс. Там только один момент - для клиента за NAT нужно ключ AssumeUDPEncapsulationContextOnSendRule в реестре прописать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Di1Worker Опубликовано 30 июня, 2018 · Жалоба Возможно, для тех, у кого это не первый опыт, проще. А так, по картинкам и описаниям, и ОВПН вроде как не сложно должно было быть. Только наверно получил бы те же вилы и описывал тут про то, как у меня L2TP коннектится, IPSec заводится, а пинги не ходят )) Почти уверен, что косяк какой-то принципиальный и он в настройках микротика. И соединение есть, и в фаервол все попрописал, и в Роутах он видит подключеный комп... только через себя почему-то пропускать не хочет. Да, ести в виндовс дефолтный маршрут поставить на тунель, то и в интернет через микротик ходить начинает. А во внутреннюю сетку - ??? Прям беда... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 30 июня, 2018 · Жалоба 2 hours ago, Di1Worker said: А во внутреннюю сетку - ??? На компах во внутренней сетке, которые пингаете, файрвол как настроен ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Di1Worker Опубликовано 1 июля, 2018 · Жалоба Можно считать, что отключен. Совсем. Дело точно не в настройках "снутри". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...