Как получить доступ к удаленному ftp серверу через vpn на mikrotik?

Question

[Семен Свиридов]

Добрый день уважаемые. Возникла потребность в удаленном подключении к FTP серверу посредством VPN. Доступ к интернету получаю через микротик. Динамический с белым IP. При создании тоннеля на компе все работает. Подключаюсь к фтп без проблем. Создал соединение PPTP на микротике. Запустил. Не работает. Добавил затем статический маршрут. Пинги на фтп пошли. Но с компьютера не получается зайти. Ping тоже не проходит с компьютера. Подскажите пожалуйста какие еще нужно добавить правила либо маршруты. Firewall пустой. Скрины прилагаются. Заранее спасибо.
P.S. Я так понял, мне просто теперь нужно натить 2 сети (мою внутреннюю в удаленную).

Answer 1

[Семен Свиридов]

У меня кроме правила маскарадинга и двух проброшенных вручную портов ничего нет. Остальное автоматом UPnP.
Это трассировка с компа при подключенном ВПН.

Это трейс до публ адреса сервера на котором впн. И Трейс до сервера Oktell, который тоже мне нужен для работы как и ftp на 10.3.5.67

Comments

[Maksim]

ну так еще одно правило маскарадинга только Out Interface ваш впн канал.
И мне кажется у вас каша в правилах.

[Семен Свиридов]

Я пробовал как вы предлагаете. А в правилах у меня НЕТ НИ ОДНОГО ПРАВИЛА. Я же написал еще в начале, что фаервол у меня пустой.

[Maksim]

Семен Свиридов: Так у вас тут в разделе NAT разве какахи написаны?
те же самые правила....уберите все кроме двух маскарадов.

[Семен Свиридов]

[admin@MikroTik] > ip firewall nat print

Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""
1 chain=srcnat action=masquerade out-interface=pptp-out1 log=no log-prefix=""

[Maksim]

Семен Свиридов: сделайте с компа трейс до нужного сервера.

[Maksim]

Maksim: Ну как я понял трейс идет куда надо, только как то странно почему он миновал ваш микротик

[Maksim]

вы делали пинг из сети 192.168.88.0/24?

[Maksim]

Вы что впн на компе включили?

[Семен Свиридов]

ща 5 сек.

[Maksim]

Семен Свиридов: Семен теперь надо разбираться маршрутизацией.

[Семен Свиридов]

Maksim: Спасибо за то что тратите на меня время.... Извините заранее, если подтупливаю

[Maksim]

Семен Свиридов: Так разбираться Вам:)
и не включайте у себя на компе впн, вам надо же пользоваться через микротик - вот и забудьте про впн на компе пока не добьетесь результата

[Семен Свиридов]

Да мне просто работать нужно... Я одновременно пытаюсь и то и другое. Короче осталось чтоб заработал октел. Подскажите, что с маршрутизацей нужно делать? Ну направление намекните пожалуйста.

[Maksim]

Семен Свиридов: Если я вижу и то что я вижу осталось так как есть основной маршрут поднимите метрику (дистанцию с 0 до 10) а маршрут второй (на картинке так) сделайте к примеру 5 и поглядите.

[Семен Свиридов]

Получилось. Добавил еще один маршрут для октела. Трейс прошел, Октел сеоденился и потом выдал сообщение (см. скрин). Можно ли микротик заставить отправить Имя вместо адреса на сервер Октел? или сделать так, чтоб имя отправлял только комп?

[Maksim]

Семен Свиридов: Семен Вы просто без ножа режите, какое имя, вместо какого адреса...я даже не понимаю что происходит..

[Семен Свиридов]

Простите. Октел-ip звонилка. У меня клиентская часть на компе. Соединяюсь с сервером через тот же впн. Авторизация на сервере происходит по логину и паролю. А также в авторизации участвует имя компьютера. То есть в связке с логином и паролем, прописанным на серваке я могу авторизоваться только с компьютера с именем Lenovo (в данном конкретном случае). При попытке авторизации на сервере октел через тоннель, запущенный на микротике (а не на компьютере) выскакивает ошибка авторизации как на скриншоте. Как-то так.

[Maksim]

Семен Свиридов: блин разговор вроде как про FTP шел:) (к FTP доступ получили?)
второе очень важное замечание, указано имя компа Lenovo но IP локальный 192****** хотя NAT думаю сработал. Обращайтесь в службу поддержки почему так.

[Семен Свиридов]

Все заработало. Нужно было конфиг самой проги править. И плюс настроить MTU для PPTP соединения. Спасибо большое за помощь. Все работает.

Answer 2

[Maksim]

Хорошо знать принципы....

В кратце:

1.Прописывать нужные маршруты (пингуется с микротика, но не пингуется с компа - потому что железка которую вы пингуете знать не знает как добраться до вашей сети (а именно 192.168.88.0/24) т.е. на удаленной стороне надо сказать где находится подсеть ваша домашняя.

2.Натить на вашей стороне (SRCNAT) и тогда заморачивать не нужно будет c маршрутами потому что удаленная сторона и так знает где у нее находится 10.2.5.229

Вывод имете доступ к маршрутизации на удаленной стороне, прописывайте маршруты.
Не имеите доступ, начинайте натить :)

Comments

[Семен Свиридов]

Не имею доступа к удаленному серверу. и вот как раз с натом я и пришел сюда. IP у меня белый.

[Maksim]

Семен Свиридов: не важно какой у вас IP, покажите скриншот правил firewall в разделе NAT

Answer 3

[Grims]

Здравствуйте Семен!
Мне кажется, что Вы совершили слишком много лишних действий, удалите все созданные статические Routes (правильные прописываются самостоятельно, маркируются как "DAC"), ничего натить не нужно, все что нужно обработается автоматом через Mangle таблицу Firewall Микротика (после установления VPN соединения).
Я не до конца разобрался в структуре вашей сети, но возможное решение для Вас может быть в следующем:Включить proxy-arp на Mikrotik-e на том интерфейсе откуда/через что идет соединение на ваш удаленный FTP сервер.

Proxy-ARP на порту принимающего интерфейса позволяет объединить две не связанные на канальном уровне сети в одну. Без этого хосты, находящиеся в этих сетях (даже если они находятся в одних подсетях), могут не видеть друг друга, так как это разные физические среды.
И еще:
1. Будьте аккуратны с arp-proxy, можно случайно перехватить на себя все пакеты сети, ну и вы понимаете что может случится.
2. И IP адреса LAN и PPTP сети не должны быть из одной подсети, в идеале они должны координально различаться, например LAN - 192.168.0.1/24; PPTP - 10.0.0.1/24
3. Прочтите официальный мануал, возможно это поможет привести желания и мысли к знаменателю: PPTP

Comments

[Семен Свиридов]

Да, так и есть. Они отличаются кардинально. Именно как у вас в примере. А прокси нужно включить, я так понял, на приемном порту от провайдера. Потому как на тоннеле впн это не сделать. Спасибо за совет.