Jump to content
Калькуляторы

по SSTP не вижу компьютеры в сети и серверы.

Вопрос как доступ получить к сети микротика из VPN подключение SSTP?
SSTP настроил, подключился вижу только роутер по адресу 
192.168.100.1   и через брауер доступен, но не вижу компьютеры в сети и серверы. Firewall отключил, proxy-arp включил в bridge

пробовал роут прописать route add -p 192.168.100.0 mask 255.255.254.0 10.20.20.1 if 1

 

IP-адреса на интерфейсах маршрутизатора:

/ip address add address=192.168.100.1/23 interface=ether1

сеть 192.168.100.1/23

/ip pool add name=vpn-pool ranges=10.10.20.10-10.10.20.30
 

 

прошу подсказать

Edited by WED1

Share this post


Link to post
Share on other sites

SSTP - не L2 протокол, мосты вам не помогут. На клиенте надо добавлять маршрут до локальной сети ЗА роутером. На роутере обеспечить исключение адресов VPN клиентов из правила NAT. И да, IP-подсеть VPN клиентов и IP-подсеть локальной сети должны отличаться

Share this post


Link to post
Share on other sites

подсеть роутера 192.168.100.1/23

vpn-pool 10.10.20.10-10.10.20.30

 На клиенте добавил маршрут до локальной сети ЗА роутером. Верно маршрут указал?

Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
    192.168.100.0    255.255.254.0        10.20.0.1       1

но что то не заработал,
при подключений получил след.
Определенный для подключения DNS-суффикс: 
Описание: vpn_sstp
Физический адрес: ‎
DHCP включен: Нет
Адрес IPv4: 10.10.20.10
Маска подсети IPv4: 255.255.255.255
Шлюз по умолчанию IPv4: 
DNS-серверы IPv4: 8.8.8.8, 8.8.4.4
WINS-сервер IPv4 : 
Служба NetBIOS через TCP/IP включена: Да

NAT, посмотрю вместо Masquerade, как правильно использовать 
src-nat в чем польза, WAN белый адрес

Добавил в ip->
address-list NO-NAT-VPN сложил список удаленных локальных сеток 10.10.20.0/24 чтобы не попадали в NAT . Верно? но не работает в чем загвоздка, только роутер вижу и веб морду роутера под сеть не вижу,
/ip firewall nat
add chain=srcnat dst-address-list=!NO-NAT-VPN out-interface=ether1-wan
add action=masquerade chain=srcnat out-interface=ether1-wan

Edited by WED1

Share this post


Link to post
Share on other sites

Если отключить второго провайдера WAN2_2 SSTP, после подключения Vpn вижу удаленную сеть за микротиком и сам микротик!
как только включаю 
настройки второго провайдера WAN2_2 не работает,
прошу подсказать  в логах заметил что идет out на WAN2_2 при вкл WAN2_2, если откл Out уходит в SSTP-interface-10.10.20.10, можете подсказать как с помощью мангла исправить в данный одновременно работают два провайдера, ниже настройки мангл 

/ip firewall mangle
add action=accept chain=prerouting dst-address=91.22.XX.XX/28 \
    in-interface-list=LAN
    
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface-list=WAN1_1 new-connection-mark=ISP1_1
    
add action=mark-routing chain=prerouting connection-mark=ISP1_1 \
    in-interface-list=LAN new-routing-mark=WAN1_ISP1_1
    
add action=mark-routing chain=output connection-mark=ISP1_1 \
    new-routing-mark=WAN1_ISP1_1
    
add action=accept chain=prerouting dst-address=102.45.XX.XX/28 \
    in-interface-list=LAN
    
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface-list=WAN2_2 new-connection-mark=ISP2_2
    
add action=mark-routing chain=prerouting connection-mark=ISP2_2 \
    in-interface-list=LAN new-routing-mark=WAN2_ISP2_2
    
add action=mark-routing chain=output connection-mark=ISP2_2 \
    new-routing-mark=WAN2_ISP2_2

add action=mark-routing chain=prerouting dst-address-list=\
    "office" new-routing-mark=WAN1_1 passthrough=yes
 

add action=mark-routing chain=prerouting dst-address-list=\
    "sklad" new-routing-mark=WAN2_2 passthrough=yes


    
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN1_1 \
    src-address-list=!NO-NAT-address-list
    
add action=src-nat chain=srcnat out-interface-list=WAN2_2 \
    src-address-list=!NO-NAT-address-list to-addresses=102.45.XX.XX

Share this post


Link to post
Share on other sites

У вас в mangle, как минимум, вообще нет правил для input, то есть для трафика, адресованного в адрес роутера, каковым является и SSTP сервер:

 

add action=mark-connection chain=input in-interface-list=WAN1_1  new-connection-mark=WAN1_ISP1_1 passthrough=yes
add action=mark-connection chain=input in-interface-list=WAN2_2 new-connection-mark=WAN2_ISP2_2 passthrough=yes

 

Дальше, правила с in-interface-list=LAN вообще непонятно для чего.

 

В целом, все будто сделано по первому попавшемуся мануалу из Интернет, без понимания сути работы. Нужно изучить материал.presentation_6157_1554717194.pdfpresentation_6827_1553517470.pdf

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.