johnfx Posted February 4, 2014 Posted February 4, 2014 Здравствуйте! Из внутренней сети могу подключить VPN, а из внешней - не хочет. пишет: waiting for call... terminating... disconnected... подключаюсь на внешний IP mikrotik rb2011uas /ppp profile set 0 change-tcp-mss=yes name=default only-one=default use-compression=default use-encryption=default use-mpls=default use-vj-compression=default add bridge=bridge1 change-tcp-mss=yes local-address=10.5.108.16 name=prof-10 only-one=default remote-address=p-108 use-compression=no use-encryption=no \ use-mpls=no use-vj-compression=no set 2 change-tcp-mss=yes name=default-encryption only-one=default use-compression=default use-encryption=yes use-mpls=default use-vj-compression=default /ppp aaa set accounting=yes interim-update=0s use-radius=no /ppp secret add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=admin40 password=8621 profile=prof-10 routes="" service=any add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=admin password=samsung2mrtg profile=prof-10 routes="" service=pptp Вставить ник Quote
stranger2904 Posted February 4, 2014 Posted February 4, 2014 На файерволе порты открыты ? По умолчанию, мтик блокирует соединения извне.. Вставить ник Quote
Saab95 Posted February 4, 2014 Posted February 4, 2014 По умолчанию он все блокирует, если начальную конфигурацию не сбрасывали - самое время исправить положение. Вставить ник Quote
johnfx Posted February 21, 2014 Author Posted February 21, 2014 конечно сбрасывал по дефоулту. фаервол отключал полностью, делал разрешения Input на протокол 47(gre), открывал порт 1723, ну не помогает. Вставить ник Quote
johnfx Posted February 21, 2014 Author Posted February 21, 2014 (edited) все настройки firewall: [admin@news] /ip firewall> export compac /ip firewall address-list add address=10.5.2.47 comment=eliteco list=speed-3300k add address=10.5.16.10 comment=j7-home_2014 list=speed-2300k add address=10.5.16.152 comment=omni1-b52-2666 list=speed-3300k /ip firewall filter add chain=input comment=rip dst-port=520 in-interface=sfp1 protocol=udp \ src-port=520 add chain=output comment=rip dst-port=520 out-interface=sfp1 protocol=udp \ src-port=520 add chain=input dst-address=99.195.40.246 protocol=gre src-address=\ 89.82.162.70 add chain=input dst-port=1723 protocol=tcp add chain=output protocol=tcp src-port=1723 add chain=forward comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=forward comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=forward comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add chain=forward comment="allow established" connection-state=established \ in-interface=sfp1 add chain=forward comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=forward comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=forward comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add chain=input comment="allow established" connection-state=established \ in-interface=sfp1 add chain=input comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=input comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=input comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add chain=input comment="allow established" connection-state=established \ in-interface=sfp1 add chain=input comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=input comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=input comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add action=drop chain=input protocol=icmp add action=drop chain=input dst-port=80 in-interface=sfp1 protocol=tcp add chain=forward comment=2300k src-address-list=speed-2300k add chain=forward comment=3300k src-address-list=speed-3300k add chain=forward comment=27m src-address-list=speed-27M add action=drop chain=forward src-address=10.5.10.0/24 add action=drop chain=forward src-address=10.5.16.0/24 add action=add-dst-to-address-list address-list=dst_list_16 \ address-list-timeout=2m chain=forward comment=16 dst-address-list=\ speed-2300k protocol=udp add chain=forward comment=16 dst-address-list=dst_list_16 dst-limit=\ 200,500,dst-address add action=reject chain=forward comment=16 dst-address-list=dst_list_16 \ reject-with=icmp-admin-prohibited add action=add-dst-to-address-list address-list=dst_list_10 \ address-list-timeout=2m chain=forward comment=10 dst-address-list=\ speed-3300k protocol=udp add chain=forward comment=10 dst-address-list=dst_list_10 dst-limit=\ 200,500,dst-address add action=reject chain=forward comment=10 dst-address-list=dst_list_10 \ reject-with=icmp-admin-prohibited /ip firewall mangle add action=mark-connection chain=prerouting comment=all new-connection-mark=\ c-inet add action=mark-packet chain=prerouting comment=all connection-mark=c-inet \ new-packet-mark=p-inet passthrough=no add action=mark-connection chain=prerouting comment=2300k \ new-connection-mark=c-2300k src-address-list=speed-2300k add action=mark-packet chain=prerouting comment=2300k connection-mark=c-2300k \ new-packet-mark=p-2300k passthrough=no add action=mark-connection chain=prerouting comment=3300k \ new-connection-mark=c-3300k src-address-list=speed-3300k add action=mark-packet chain=prerouting comment=3300k connection-mark=c-3300k \ new-packet-mark=p-3300k passthrough=no add action=mark-connection chain=prerouting comment=27 new-connection-mark=\ c-27M src-address-list=speed-27M add action=mark-packet chain=prerouting comment=27 connection-mark=c-27M \ new-packet-mark=p-27M passthrough=no /ip firewall nat add action=dst-nat chain=dstnat dst-port=8087 protocol=tcp to-addresses=\ 10.5.7.40 to-ports=8291 add action=dst-nat chain=dstnat dst-port=8011 protocol=tcp to-addresses=\ 10.5.10.31 to-ports=8291 add action=masquerade chain=srcnat out-interface=sfp1 сократил маленько ненужное. По умолчанию, мтик блокирует соединения извне.. дригие соединения настриаваюстя нормально (входящие на 80 извне, winbox из вне цепляется) Edited February 21, 2014 by johnfx Вставить ник Quote
jogan Posted February 25, 2014 Posted February 25, 2014 1. Какую ошибку при подключении выдает клиент? 2. Подключаетесь чьим клиентом, Windows или нет? Если ошибка 628 и клиент Win 7(8) то в настройках клиента на вкладке "Безопасность": выбрать "Разрешить следующие протоколы" и галочку на "Протокол Mikrosoft CHAP версии 2 ..." Вставить ник Quote
johnfx Posted March 3, 2014 Author Posted March 3, 2014 просто пишет не установлено. система ubuntu 10.04 со стороны микротика пишет: waiting for call... terminating... disconnected... Вставить ник Quote
agr Posted March 3, 2014 Posted March 3, 2014 Посмотрите на Ubuntu в /var/log/messages что говорит pppd. Также посмотрите tcpdump'ом проходят ли в обе стороны нужные пакеты до mikrotik: должна быть tcp сессия на 1723 порт и обмен gre пакетами. Если gre пакеты не ходят, то настраивайте фаервол дальше. Вставить ник Quote
NikAlexAn Posted March 3, 2014 Posted March 3, 2014 Пакеты PPP могут блокироваться у провайдера. Вставить ник Quote
johnfx Posted March 13, 2014 Author Posted March 13, 2014 Посмотрите на Ubuntu в /var/log/messages что говорит pppd. Mar 13 16:41:24 john-laptop pppd[2287]: Plugin /usr/lib/pppd/2.4.5//nm-pptp-pppd-plugin.so loaded. Mar 13 16:41:24 john-laptop pppd[2287]: pppd 2.4.5 started by root, uid 0 Mar 13 16:41:25 john-laptop pppd[2287]: Using interface ppp0 Mar 13 16:41:25 john-laptop pppd[2287]: Connect: ppp0 <--> /dev/pts/1 Mar 13 16:41:31 john-laptop pppd[2287]: Modem hangup Mar 13 16:41:31 john-laptop pppd[2287]: Connection terminated. Mar 13 16:41:31 john-laptop pppd[2287]: Exit. Пакеты PPP могут блокироваться у провайдера. как проверить? настраивайте фаервол дальше. есть пример настройки? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.