Di1Worker Posted June 30, 2018 Posted June 30, 2018 Уважаемые Гуру Микротиков и любители ребусов! Я не специалист, но следуя инструкциям и руководствам получилось подключаться к Микротику из Windows7, а дальше пинги не ходят. Целью стоит как-бы "вливаться" снаружи во внутреннюю сетку. Топология: На микротике 1 и 2 порт к двум провайдерам по PPPoe с белым адресом (для балансировки и резервирования, как понимаю, но один из каналов не активен), на 4 172.16.0.1 и внутрення сетка 172.16.0.0/21 со статическими адресами. Частью адресов 172.16.1.ххх рулит биллинг, часть 172.16.0.ххх для внутреннего пользования без ограничений, включен в лист "AlwaysON". На OVPN дописал 192.168.100.1 и для полключения снаружи адреса с 100.2 по 100.20. По итого соединение устанавливается, в Виндоус после ручного дописывани add route 172.16.0.0 mask 255.255.240.0 192.168.100.1 есть пинг до 192.168.100.1 и 172.16.0.1, с микротика есть пинг до виндузного компа и это всё. Конфиг с микротика прилагается: Spoiler /interface ethernet set [ find default-name=ether1 ] comment=1 set [ find default-name=ether2 ] comment=2 set [ find default-name=ether4 ] arp=proxy-arp comment=Gigabit-OUT /interface pppoe-client add add-default-route=yes comment=PPPoE_1 default-route-distance=16 \ disabled=no interface=ether1 max-mru=1480 max-mtu=1480 mrru=1600 name=\ pppoe-out1 password=**** use-peer-dns=yes user=**** add add-default-route=yes comment=PPPoE_2 default-route-distance=16 \ interface=ether2 max-mru=1480 max-mtu=1480 mrru=1600 name=pppoe-out2 \ password=**** use-peer-dns=yes user=**** /interface wireless set [ find default-name=wlan1 ] ssid=MikroTik /interface list add name=Providers add name=InterPPP /ip pool add name=pool172.16.0.200-210 ranges=172.16.0.200-172.16.0.210 add name=OVPN ranges=192.168.100.2-192.168.100.20 /ip dhcp-server add address-pool=pool172.16.0.200-210 disabled=no interface=ether4 \ lease-time=30m name=DHCPserver1 /ppp profile add local-address=192.168.100.1 name=OVPN remote-address=OVPN /queue type add kind=pfifo name=M_PFIFO pfifo-limit=500 add kind=sfq name=M_SFQ add kind=pcq name=M_PCQ_DOWN pcq-classifier=dst-address \ pcq-total-limit=16200KiB add kind=pcq name=M_PCQ_UP pcq-classifier=src-address \ pcq-total-limit=16200KiB /queue interface set ether1 queue=ethernet-default set ether2 queue=ethernet-default set ether3 queue=ethernet-default set ether4 queue=ethernet-default /interface list member add interface=ether1 list=Providers add interface=ether2 list=Providers add interface=pppoe-out1 list=InterPPP add interface=pppoe-out2 list=InterPPP /interface ovpn-server server set certificate=server.crt_0 default-profile=OVPN enabled=yes mode=ethernet \ require-client-certificate=yes /ip address add address=172.16.0.1/21 interface=ether4 network=172.16.0.0 add address=172.16.16.1/30 interface=ether3 network=172.16.16.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether3 /ip dhcp-server config set store-leases-disk=6h /ip dhcp-server lease **** /ip dhcp-server network add address=172.16.0.0/21 dns-server=172.16.0.1 gateway=172.16.0.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8,172.16.4.1 /ip firewall address-list add address=172.16.0.4-172.16.0.50 list=ether2 add address=172.16.1.2-172.16.1.74 list=ether1 add address=172.16.1.112 list=ether1 add address=172.16.1.130 list=ether1 add address=172.16.0.2 list=ether1 add address=172.16.0.200-172.16.0.254 list=ether2 add address=172.16.1.75-172.16.1.111 list=ether2 add address=172.16.1.113-172.16.1.129 list=ether2 add address=172.16.1.131-172.16.1.254 list=ether2 add address=172.16.4.2-172.16.4.254 list=ether2 add address=172.16.4.1 list=AlwaysOn add address=172.16.0.3-172.16.0.254 list=AlwaysOn add address=**** list=SitesBlock add address=**** comment=**** list=SitesBlock add address=172.16.0.0/20 list=LocalNet add address=172.16.1.0/24 comment="All Drop in 172.16.1.0/24" list=\ M_All_Drop add address=172.16.250.57 comment=M_LAN_LIST list=DNSs add address=172.16.250.50 comment=M_LAN_LIST list=DNSs add address=172.16.1.82 list=ether2 add address=172.16.4.0/24 comment="All Drop in 172.16.4.0/24" list=\ M_All_Drop /ip firewall filter add action=accept chain=forward dst-address=172.16.0.0/20 src-address=\ 192.168.100.0/24 add action=accept chain=forward dst-address=192.168.100.0/24 src-address=\ 172.16.0.0/20 add action=accept chain=input comment="OPENVPN IN" dst-port=1194 \ in-interface=pppoe-out1 protocol=tcp add action=drop chain=forward comment=M_Flood_Killer \ src-address-list=M_BLOCKED_FLOOD add action=drop chain=forward comment="Drop spamers an viruses" dst-port=25 \ protocol=tcp src-address-list=spammer add action=add-src-to-address-list address-list=spammer address-list-timeout=\ 8h chain=forward comment=Spammers connection-limit=30,32 dst-port=25 \ limit=50,5:packet log=yes protocol=tcp src-address-list=!spammer add action=add-src-to-address-list address-list=M_BLOCKED_FLOOD \ address-list-timeout=3m chain=forward comment=M_Block_Flood \ connection-limit=20,32 dst-port=80 log=yes protocol=tcp src-address-list=\ M_OFF_Users add action=drop chain=input comment="DNS atack" src-address-list=atacker add action=add-src-to-address-list address-list=atacker address-list-timeout=\ 10m chain=input comment="DNS atack" dst-port=53 in-interface=!ether4 \ log-prefix=ATACKER protocol=udp src-address-list=!atacker add action=add-src-to-address-list address-list=atacker address-list-timeout=\ 10m chain=input comment="DNS atack" dst-port=53 in-interface=!ether4 \ log-prefix=ATACKER protocol=tcp src-address-list=!atacker add action=drop chain=forward comment=SitesBlock src-address-list=SitesBlock add action=accept chain=forward comment=M_Server src-address=\ 172.16.0.2 add action=accept chain=forward comment=M_Server2 dst-address=\ 172.16.0.2 add action=accept chain=forward comment=M_Users src-address-list=\ M_Users add action=accept chain=forward comment=M_Users2 dst-address-list=\ M_Users add action=accept chain=forward comment=M_DNS_in_56370213141971 \ src-address-list=DNSs add action=accept chain=forward comment=M_DNS_out_30837829141795 \ dst-address-list=DNSs add action=accept chain=forward comment=AlwaysON \ src-address-list=AlwaysOn add action=accept chain=forward comment=AlwaysON dst-address-list=AlwaysOn add action=accept chain=input comment=AlwaysON src-address-list=AlwaysOn add action=drop chain=forward comment=Invalid connection-state=invalid add action=drop chain=input comment=Invalid connection-state=invalid add action=drop chain=forward comment=M_Blocked_Users \ src-address-list=M_All_Drop add action=drop chain=forward comment=M_Blocked_Users2 \ dst-address-list=M_All_Drop add action=accept chain=forward comment="allow PING" in-interface-list=\ !Providers protocol=icmp add action=accept chain=input comment="allow PING" in-interface-list=\ !Providers protocol=icmp add action=accept chain=input comment=related connection-state=related add action=accept chain=input comment=established connection-state=\ established add action=accept chain=input comment="80, ..." dst-port=80,8728,8291,22 \ in-interface=ether4 protocol=tcp add action=drop chain=input comment="Drop ALL" in-interface-list=InterPPP add action=drop chain=input comment="Drop ALL" in-interface-list=Providers /ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:3 passthrough=yes add action=mark-routing chain=prerouting comment=1 dst-address=\ !172.16.0.0/21 new-routing-mark=ETHER1_Routing passthrough=no \ src-address-list=ether1 add action=mark-routing chain=prerouting comment=2 dst-address=\ !172.16.0.0/21 new-routing-mark=ETHER2_Routing passthrough=no \ src-address-list=ether2 /ip firewall nat add action=netmap chain=dstnat comment="M WEB-CAP" dst-address=\ !172.16.0.2 dst-port=80 log=yes log-prefix="81 Port" protocol=tcp \ src-address-list=M_OFF_Users to-addresses=172.16.0.2 to-ports=81 add action=masquerade chain=srcnat comment="M USERS NAT" \ src-address-list=M_All_Drop add action=masquerade chain=srcnat out-interface=pppoe-out1 # pppoe-out2 not ready add action=masquerade chain=srcnat out-interface=pppoe-out2 src-address-list=\ AlwaysOn add action=dst-nat chain=dstnat dst-port=7660 protocol=tcp to-addresses=\ 172.16.0.2 /ip proxy set parent-proxy=0.0.0.0 port=81 src-address=0.0.0.0 /ip proxy access add action=deny comment=M_WEB_CAP dst-port=80 redirect-to=\ 172.16.0.2:81/ /ip route add check-gateway=ping distance=10 gateway=pppoe-out1 routing-mark=\ ETHER1_Routing add check-gateway=ping distance=11 gateway=pppoe-out2 routing-mark=\ ETHER1_Routing add check-gateway=ping distance=10 gateway=pppoe-out2 routing-mark=\ ETHER2_Routing add check-gateway=ping distance=11 gateway=pppoe-out1 routing-mark=\ ETHER2_Routing add distance=20 gateway=172.16.4.1 /ip service set telnet disabled=yes set ftp disabled=yes set www address=172.16.0.0/20 set ssh address=172.16.0.0/20 set api address=172.16.0.0/20 set winbox address=172.16.0.0/20 set api-ssl disabled=yes /ppp secret add name=**** password=**** profile=OVPN service=ovpn /system clock set time-zone-autodetect=no time-zone-name=Etc/GMT-3 /system ntp client set enabled=yes primary-ntp=89.109.251.22 secondary-ntp=89.109.251.21 /system ntp server set enabled=yes Конфиг с Виндоус: Spoiler proto tcp-client remote **** dev tap nobind persist-key tls-client ca ca.crt cert client.crt key client.key ping-restart 10 verb 5 remote-cert-tls server #cipher AES-256-CBC tls-cipher TLS-RSA-WITH-AES-256-CBC-SHA auth SHA1 pull auth-user-pass auth.cfg route-method exe route-delay 2 #redirect-gateway def1 route network 172.16.0.0 255.255.240.0 192.168.100.1 dh dh2048.pem Из руководств понял, что OVPN клиентам нужен свой диапазон, не из внутренней подсети; Что есть 2 варианта L2 и L3 и в виндоус конфиге либо dev tap либо dev tun и в Микротике в OVPN Server ставится ethernet или ip соответственно. Раз результат не достигнут, наверно, мне предстоит еще некоторое количество открытий... Есто подозрение, что нужен бридж в микротике (его там совсем нет) или что-то с arp или nat не то, но знаний не хватает, а метод эксперименов ситуацию не улучшил. Посоветуйте, что можно почитать понятное, или что-где дописать. Вторая неделя, весь мозг сломал... Вставить ник Quote
McSea Posted June 30, 2018 Posted June 30, 2018 @Di1Worker L2TP/IPSec проще же настраивать, встроенный клиент в виндовс. Там только один момент - для клиента за NAT нужно ключ AssumeUDPEncapsulationContextOnSendRule в реестре прописать. Вставить ник Quote
Di1Worker Posted June 30, 2018 Author Posted June 30, 2018 Возможно, для тех, у кого это не первый опыт, проще. А так, по картинкам и описаниям, и ОВПН вроде как не сложно должно было быть. Только наверно получил бы те же вилы и описывал тут про то, как у меня L2TP коннектится, IPSec заводится, а пинги не ходят )) Почти уверен, что косяк какой-то принципиальный и он в настройках микротика. И соединение есть, и в фаервол все попрописал, и в Роутах он видит подключеный комп... только через себя почему-то пропускать не хочет. Да, ести в виндовс дефолтный маршрут поставить на тунель, то и в интернет через микротик ходить начинает. А во внутреннюю сетку - ??? Прям беда... Вставить ник Quote
McSea Posted June 30, 2018 Posted June 30, 2018 2 hours ago, Di1Worker said: А во внутреннюю сетку - ??? На компах во внутренней сетке, которые пингаете, файрвол как настроен ? Вставить ник Quote
Di1Worker Posted July 1, 2018 Author Posted July 1, 2018 Можно считать, что отключен. Совсем. Дело точно не в настройках "снутри". Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.