Jump to content

Как засунуть pptp-подключение в бридж?

alibek
 Share

Recommended Posts

alibek

alibek

Posted
Posted

Есть бридж bridge-lan для локальной сети.

Еще есть правило файрвола: 

action=accept chain=forward in-interface=bridge-lan src-address-list=acl-lan

Есть PPTP-сервер и профиль для клиентов: 

/ppp profile add bridge=bridge-lan name=staff only-one=yes

Вроде бы это должно означать, что установленное pptp-подключение должно попадать в бридж.

Но видимо не попадает, потому что правило файрвола не работает.

Как сделать, чтобы для VPN-подключений правила тоже применялись?

В interface list добавить динамические правила нельзя, а дублировать правила с интерфейсом "all ppp" я не хочу, потому что на этом роутере есть разные PPP и не всем нужно попадать в LAN.

LostSoul

LostSoul

Posted
Posted
Только что, alibek сказал:

Вроде бы это должно означать, что установленное pptp-подключение должно попадать в бридж.

PPTP к сожалению не может никак попадать в бридж, в виду того что по PPTP соединению не передаются мак-адреса в полноценном виде.

Указанная запись лишь означает что в данном бридже ваш микротик будет делать proxyarp для  того IP что видит по другую сторону PPTP линка.

 

 

3 минуты назад, alibek сказал:

В interface list добавить динамические правила нельзя, а дублировать правила с интерфейсом "all ppp" я не хочу, потому что на этом роутере есть разные PPP и не всем нужно попадать в LAN.

Видимо, только какими-нибудь костылями через жопу ( как обычно в микротик )

 

s.lobanov

s.lobanov

Posted
Posted

Если вам надо выдать IP-адрес из существующей локалки по pptp, то просто выдаёте его в pptp, соответственно в таблице роутинга будет /32 в тунель, а на интерфейсе, где терминируется сеть (допустим /24) просто включаете proxy-arp

 

другой вопрос - зачем это нужно. реально это нужно лишь тогда, когда на устройствах в локалке не прописан шлюз и они не могут взаимодействовать с другими сетями

NiTr0

NiTr0

Posted
Posted
36 минут назад, s.lobanov сказал:

реально это нужно лишь тогда, когда на устройствах в локалке не прописан шлюз и они не могут взаимодействовать с другими сетями

может быть еще какая-нить хитрая загогулина юзающая мультикаст (или бродкаст). но для такого роутинг с проксиарп не прокатит.

из сколь-либо стандартизованных л2 туннелей на некротике - только openvpn. l2tpv3 - не умеет, eoip - проприетарная поделка (хоть юзерспейсная реализация под линь и есть, от ядрокота если память не подводит).

LostSoul

LostSoul

Posted
Posted
23 минуты назад, s.lobanov сказал:

openvpn tap тоже популярен, хз умеет его шлакотик или нет

умеет. но только через TCP.  За что микротик все поливают лучами поноса последние 10 лет

 

sdy_moscow

sdy_moscow

Posted
Posted
1 час назад, LostSoul сказал:

умеет. но только через TCP.  За что микротик все поливают лучами поноса последние 10 лет

 

За то, что имеет свойство глючить, при этом ни коим образом нигде это не показывая (в логах, алармах и т.д.).  Пока допрешь, что пора-бы его ЗАМЕНИТЬ на новый - можно опухнуть от "веселья".

McSea

McSea

Posted
Posted (edited)
6 hours ago, alibek said:

Но видимо не попадает, потому что правило файрвола не работает.

Что значит видимо не попадает, посмотрите в Bridge Ports, там точно видно добавляется ли динамический порт PPTP интерфейс или нет.

Но вам скорее всего надо просто собрать нужные PPTP интерфейсы в динамический interface list, он в ppp профиле прописывается. 

 

 

Edited by McSea
alibek

alibek

Posted
  • Author
Posted
6 часов назад, McSea сказал:

там точно видно добавляется ли динамический порт PPTP интерфейс или нет.

Туда могут попадать pptp-out. pptp-in туда никогда не попадают.

 

6 часов назад, McSea сказал:

Но вам скорее всего надо просто собрать нужные PPTP интерфейсы в динамический interface list, он в ppp профиле прописывается.

Конфигурацию профиля я приводил.

То есть мне нужно сделать так: 

/ppp profile add bridge=bridge-lan interface-list=internal name=staff only-one=yes

Вообще-то настройка interface-list находится в группе с фильтрами и я ее понимал, как список интерфейсов, с которых разрешено использовать данный профиль.

Или речь про то, чтобы добавить pptp-подключение в interface list member ? Ну так туда можно добавлять только интерфейсы pptp-out, а не pptp-in.

alibek

alibek

Posted
  • Author
Posted

Не знаю, как это вышло на скриншоте, у меня такое не работает.

Можно задать interface list, подключение в этот interface list попадает, но в бридж (bridge ports) все равно не попадает.

Помогает сделать proxy-arp на bridge-lan, но это такой костыль, который бы делать не хотелось.

McSea

McSea

Posted
Posted
4 hours ago, alibek said:

Не знаю, как это вышло на скриншоте, у меня такое не работает.

Можно задать interface list, подключение в этот interface list попадает, но в бридж (bridge ports) все равно не попадает.

Помогает сделать proxy-arp на bridge-lan, но это такой костыль, который бы делать не хотелось.

В бридж PPTP интерфейс добавляется, когда на другой стороне(клиенте) также настроено добавление в бридж, для BCP.

Я выше предлагал использовать в правилах файрвола interface list с нужными PPTP интерфейсами.

alibek

alibek

Posted
  • Author
Posted
2 минуты назад, McSea сказал:

Я выше предлагал использовать в правилах файрвола interface list с нужными PPTP интерфейсами.

А, теперь понял.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.