Помогите с маршрутизацией и правильно настроить фаервол

[ilya2006-08]

Здравствуйте.

Нужна человеческая помощь. Бьюсь уже 2-й день читаю форумы, но ничего не получается.

 

На микротике настроен pptp сlient до удаленного офиса:

[admin@MikroTik] /interface> print

Flags: D - dynamic, X - disabled, R - running, S - slave

# NAME TYPE MTU L2MTU MAX-L2MTU

0 R WAN1-gateway ether 1500 1526 1526

1 WAN2 ether 1500 1524 1524

2 R ether3 ether 1500 1524 1524

3 RS ether4 ether 1500 1524 1524

4 S ether5 ether 1500 1524 1524

5 R Office pptp-out 1400

 

Через pptp я получаю ip 172.24.180.253 шлюз 172.24.180.0

Через pptp мне требуется доступ до ip 172.24.2.199. Прописал маршрут:

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADS 0.0.0.0/0 178.49.xxx.129 1

1 A S 172.24.2.199/32 172.24.180.0 1

2 ADC 172.24.180.0/32 172.24.180.253 Office 0

3 ADC 178.49.xxx.128/26 178.49.xxx.141 WAN1-gateway 0

4 ADC 192.168.1.0/24 192.168.1.1 ether3 0

 

С микротика ip 172.24.2.199 я пингую без проблем, причем не указываю через какой интерфейс надо пинговать, т.е. пингуется на основе маршрутов.

Но с компьютера находящегося внутри сети микротика ip 172.24.2.199 не пингуется . Прописывал на компе маршрут, не пингуется:

 

IPv4 таблица маршрута

================================ ================================ ===========

Активные маршруты:

Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик

0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.100 20

127.0.0.0 255.0.0.0 On-link 127.0.0.1 306

127.0.0.1 255.255.255.255 On-link 127.0.0.1 306

127.255.255.255 255.255.255.255 On-link 127.0.0.1 306

172.24.2.199 255.255.255.255 192.168.1.1 192.168.1.100 21

192.168.1.0 255.255.255.0 On-link 192.168.1.100 276

192.168.1.100 255.255.255.255 On-link 192.168.1.100 276

192.168.1.255 255.255.255.255 On-link 192.168.1.100 276

224.0.0.0 240.0.0.0 On-link 127.0.0.1 306

224.0.0.0 240.0.0.0 On-link 192.168.1.100 276

255.255.255.255 255.255.255.255 On-link 127.0.0.1 306

255.255.255.255 255.255.255.255 On-link 192.168.1.100 276

================================ ================================ ===========

 

Также удаленный офис не может пропинговать полученный мной адрес через pptp 172.24.180.253.

 

 

фаервол и нат, думаю из-за него весь трабл.

[admin@MikroTik] > ip firewall filter print

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; default configuration

chain=input action=accept protocol=icmp

 

1 ;;; default configuration

chain=input action=accept connection-state=established

 

2 ;;; default configuration

chain=input action=accept connection-state=related

 

3 chain=forward action=accept out-interface=ether3

 

Блокирующих правил в фаерволе вообще нет, удалил в процессе ковыряний.

 

 

[admin@MikroTik] > ip firewall nat print

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; default configuration

chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=WAN1-gateway

 

1 ;;; Office ATS

chain=dstnat action=dst-nat to-addresses=192.168.1.150 to-ports=4569

protocol=udp in-interface=Office dst-port=4569

 

 

Суть всех ковыряний такова. 192.168.1.150 это мини АТС нашего маленького офиса, 172.24.2.199 АСТ большого удаленного офиса.

Причем связь между АСТками была 2 недели после первичной настройки микротика, и все сломалось после отключения электричества в нашем маленьком офисе. Получается перезагрузилось все железо, интернет заработал, pptp поднялось, а связь между АСТками пропала. И после различных ковыряний ничего не получается...

[yunon]

Если я правильно понял - через pptp ты не можешь достучаться до 172.24.2.199 то, я бы сделал вот так

посадил pptp в другую подсеть типа 192.168.2.4 шлюз 192.168.2.1 и сделал бы правила на miktotik

add chain=srcnat out-interface=(интерфейс на котором сидит IP 172.24.2.199) action=masquerade comment="" disabled=no

либо

add chain=srcnat dst-address=172.x.x.x/16(подсеть до которой надо достучатся или IP 172.24.2.199) src-address=172.x.x.x(ip - получный по pptp)action=src-nat to-addresses=172.x.x.x (ip - интерфейса за которым ip 172.24.2.199) to-ports=0-65535 comment="" disabled=no