[alibek]

Есть бридж bridge-lan для локальной сети.

Еще есть правило файрвола:

action=accept chain=forward in-interface=bridge-lan src-address-list=acl-lan

Есть PPTP-сервер и профиль для клиентов:

/ppp profile add bridge=bridge-lan name=staff only-one=yes

Вроде бы это должно означать, что установленное pptp-подключение должно попадать в бридж.

Но видимо не попадает, потому что правило файрвола не работает.

Как сделать, чтобы для VPN-подключений правила тоже применялись?

В interface list добавить динамические правила нельзя, а дублировать правила с интерфейсом "all ppp" я не хочу, потому что на этом роутере есть разные PPP и не всем нужно попадать в LAN.

[LostSoul]

Только что, alibek сказал:

Вроде бы это должно означать, что установленное pptp-подключение должно попадать в бридж.

PPTP к сожалению не может никак попадать в бридж, в виду того что по PPTP соединению не передаются мак-адреса в полноценном виде.

Указанная запись лишь означает что в данном бридже ваш микротик будет делать proxyarp для  того IP что видит по другую сторону PPTP линка.

 

 

3 минуты назад, alibek сказал:

В interface list добавить динамические правила нельзя, а дублировать правила с интерфейсом "all ppp" я не хочу, потому что на этом роутере есть разные PPP и не всем нужно попадать в LAN.

Видимо, только какими-нибудь костылями через жопу ( как обычно в микротик )

 

[alibek]

Жаль.

Ну хотя бы понятна причина.

Я думал, что может быть бридж как-то недонастроил.

[s.lobanov]

Если вам надо выдать IP-адрес из существующей локалки по pptp, то просто выдаёте его в pptp, соответственно в таблице роутинга будет /32 в тунель, а на интерфейсе, где терминируется сеть (допустим /24) просто включаете proxy-arp

 

другой вопрос - зачем это нужно. реально это нужно лишь тогда, когда на устройствах в локалке не прописан шлюз и они не могут взаимодействовать с другими сетями

[NiTr0]

36 минут назад, s.lobanov сказал:

реально это нужно лишь тогда, когда на устройствах в локалке не прописан шлюз и они не могут взаимодействовать с другими сетями

может быть еще какая-нить хитрая загогулина юзающая мультикаст (или бродкаст). но для такого роутинг с проксиарп не прокатит.

из сколь-либо стандартизованных л2 туннелей на некротике - только openvpn. l2tpv3 - не умеет, eoip - проприетарная поделка (хоть юзерспейсная реализация под линь и есть, от ядрокота если память не подводит).

[s.lobanov]

openvpn tap тоже популярен, хз умеет его шлакотик или нет

[LostSoul]

23 минуты назад, s.lobanov сказал:

openvpn tap тоже популярен, хз умеет его шлакотик или нет

умеет. но только через TCP.  За что микротик все поливают лучами поноса последние 10 лет

 

[sdy_moscow]

1 час назад, LostSoul сказал:

умеет. но только через TCP.  За что микротик все поливают лучами поноса последние 10 лет

 

За то, что имеет свойство глючить, при этом ни коим образом нигде это не показывая (в логах, алармах и т.д.).  Пока допрешь, что пора-бы его ЗАМЕНИТЬ на новый - можно опухнуть от "веселья".

[McSea]

6 hours ago, alibek said:

Но видимо не попадает, потому что правило файрвола не работает.

Что значит видимо не попадает, посмотрите в Bridge Ports, там точно видно добавляется ли динамический порт PPTP интерфейс или нет.

Но вам скорее всего надо просто собрать нужные PPTP интерфейсы в динамический interface list, он в ppp профиле прописывается. 

 

 

Изменено 15 февраля, 2019 пользователем McSea

[alibek]

6 часов назад, McSea сказал:

там точно видно добавляется ли динамический порт PPTP интерфейс или нет.

Туда могут попадать pptp-out. pptp-in туда никогда не попадают.

 

6 часов назад, McSea сказал:

Но вам скорее всего надо просто собрать нужные PPTP интерфейсы в динамический interface list, он в ppp профиле прописывается.

Конфигурацию профиля я приводил.

То есть мне нужно сделать так:

/ppp profile add bridge=bridge-lan interface-list=internal name=staff only-one=yes

Вообще-то настройка interface-list находится в группе с фильтрами и я ее понимал, как список интерфейсов, с которых разрешено использовать данный профиль.

Или речь про то, чтобы добавить pptp-подключение в interface list member ? Ну так туда можно добавлять только интерфейсы pptp-out, а не pptp-in.

[McSea]

@alibek 

На скриншоте сервер, видно что интерфейс и в бридж добавился, и в интерфейс лист.

 

 

Изменено 15 февраля, 2019 пользователем McSea

[alibek]

Не знаю, как это вышло на скриншоте, у меня такое не работает.

Можно задать interface list, подключение в этот interface list попадает, но в бридж (bridge ports) все равно не попадает.

Помогает сделать proxy-arp на bridge-lan, но это такой костыль, который бы делать не хотелось.

[LostSoul]

Посмотрел, реально есть такое в ppp profiles . Надо потестировать как оно работает.

 

[McSea]

4 hours ago, alibek said:

Не знаю, как это вышло на скриншоте, у меня такое не работает.

Можно задать interface list, подключение в этот interface list попадает, но в бридж (bridge ports) все равно не попадает.

Помогает сделать proxy-arp на bridge-lan, но это такой костыль, который бы делать не хотелось.

В бридж PPTP интерфейс добавляется, когда на другой стороне(клиенте) также настроено добавление в бридж, для BCP.

Я выше предлагал использовать в правилах файрвола interface list с нужными PPTP интерфейсами.

[alibek]

2 минуты назад, McSea сказал:

Я выше предлагал использовать в правилах файрвола interface list с нужными PPTP интерфейсами.

А, теперь понял.