Jump to content

по SSTP не вижу компьютеры в сети и серверы.

WED1
 Share

Recommended Posts

WED1

WED1

Posted
Posted (edited)

Вопрос как доступ получить к сети микротика из VPN подключение SSTP?
SSTP настроил, подключился вижу только роутер по адресу 192.168.100.1   и через брауер доступен, но не вижу компьютеры в сети и серверы. Firewall отключил, proxy-arp включил в bridge

пробовал роут прописать route add -p 192.168.100.0 mask 255.255.254.0 10.20.20.1 if 1

 

IP-адреса на интерфейсах маршрутизатора:

/ip address add address=192.168.100.1/23 interface=ether1

сеть 192.168.100.1/23

/ip pool add name=vpn-pool ranges=10.10.20.10-10.10.20.30
 

 

прошу подсказать

Edited by WED1
jffulcrum

jffulcrum

Posted
Posted

SSTP - не L2 протокол, мосты вам не помогут. На клиенте надо добавлять маршрут до локальной сети ЗА роутером. На роутере обеспечить исключение адресов VPN клиентов из правила NAT. И да, IP-подсеть VPN клиентов и IP-подсеть локальной сети должны отличаться

WED1

WED1

Posted
  • Author
Posted (edited)

подсеть роутера 192.168.100.1/23

vpn-pool 10.10.20.10-10.10.20.30

 На клиенте добавил маршрут до локальной сети ЗА роутером. Верно маршрут указал?

Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
    192.168.100.0    255.255.254.0        10.20.0.1       1

но что то не заработал,
при подключений получил след.
Определенный для подключения DNS-суффикс: 
Описание: vpn_sstp
Физический адрес: ‎
DHCP включен: Нет
Адрес IPv4: 10.10.20.10
Маска подсети IPv4: 255.255.255.255
Шлюз по умолчанию IPv4: 
DNS-серверы IPv4: 8.8.8.8, 8.8.4.4
WINS-сервер IPv4 : 
Служба NetBIOS через TCP/IP включена: Да

NAT, посмотрю вместо Masquerade, как правильно использовать src-nat в чем польза, WAN белый адрес

Добавил в ip->address-list NO-NAT-VPN сложил список удаленных локальных сеток 10.10.20.0/24 чтобы не попадали в NAT . Верно? но не работает в чем загвоздка, только роутер вижу и веб морду роутера под сеть не вижу,
/ip firewall nat
add chain=srcnat dst-address-list=!NO-NAT-VPN out-interface=ether1-wan
add action=masquerade chain=srcnat out-interface=ether1-wan

Edited by WED1
WED1

WED1

Posted
  • Author
Posted

Если отключить второго провайдера WAN2_2 SSTP, после подключения Vpn вижу удаленную сеть за микротиком и сам микротик!
как только включаю настройки второго провайдера WAN2_2 не работает,
прошу подсказать  в логах заметил что идет out на WAN2_2 при вкл WAN2_2, если откл Out уходит в SSTP-interface-10.10.20.10, можете подсказать как с помощью мангла исправить в данный одновременно работают два провайдера, ниже настройки мангл 

/ip firewall mangle
add action=accept chain=prerouting dst-address=91.22.XX.XX/28 \
    in-interface-list=LAN
    
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface-list=WAN1_1 new-connection-mark=ISP1_1
    
add action=mark-routing chain=prerouting connection-mark=ISP1_1 \
    in-interface-list=LAN new-routing-mark=WAN1_ISP1_1
    
add action=mark-routing chain=output connection-mark=ISP1_1 \
    new-routing-mark=WAN1_ISP1_1
    
add action=accept chain=prerouting dst-address=102.45.XX.XX/28 \
    in-interface-list=LAN
    
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface-list=WAN2_2 new-connection-mark=ISP2_2
    
add action=mark-routing chain=prerouting connection-mark=ISP2_2 \
    in-interface-list=LAN new-routing-mark=WAN2_ISP2_2
    
add action=mark-routing chain=output connection-mark=ISP2_2 \
    new-routing-mark=WAN2_ISP2_2

add action=mark-routing chain=prerouting dst-address-list=\
    "office" new-routing-mark=WAN1_1 passthrough=yes
 

add action=mark-routing chain=prerouting dst-address-list=\
    "sklad" new-routing-mark=WAN2_2 passthrough=yes


    
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN1_1 \
    src-address-list=!NO-NAT-address-list
    
add action=src-nat chain=srcnat out-interface-list=WAN2_2 \
    src-address-list=!NO-NAT-address-list to-addresses=102.45.XX.XX

jffulcrum

jffulcrum

Posted
Posted

У вас в mangle, как минимум, вообще нет правил для input, то есть для трафика, адресованного в адрес роутера, каковым является и SSTP сервер:

 

add action=mark-connection chain=input in-interface-list=WAN1_1  new-connection-mark=WAN1_ISP1_1 passthrough=yes
add action=mark-connection chain=input in-interface-list=WAN2_2 new-connection-mark=WAN2_ISP2_2 passthrough=yes

 

Дальше, правила с in-interface-list=LAN вообще непонятно для чего.

 

В целом, все будто сделано по первому попавшемуся мануалу из Интернет, без понимания сути работы. Нужно изучить материал.presentation_6157_1554717194.pdfpresentation_6827_1553517470.pdf

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.