Как получить доступ к локальной сети через VPN и Mikrotik?

Question

[gonchar0ff]

Всем доброго дня!
Необходим удаленный доступ к микротикам в количестве трех штук (1100ahx2), сначала попробовал установить IP->Cloud, но так как в сети есть еще 2 видео регистратора, то при входе на этот адрес перебрасывает на веб морду одного из регистраторов. Решил проблему так: настроил проброс портов на Nanostation (получаем с него интернет), с 777 порта на 192.168.5.2 (IP первого mikrotik), получилось, все работает, заходит, сделал то же самое для двух других микротиков, пробросил 888 порт на 192.168.5.3, и 999 порт на 192.168.5.4, на них не пускает. Вчера так и не смог победить их. Решил поднять VPN (PPTP, да, знаю, не безопасно, после нормальной настройки попробую поднять L2TP/IPsec, или OpenVPN), все отлично, захожу с домашнего ПК на 192.168.5.2, пускает на вебморду, все отлично работает. В сети стоит сервер 1С/файлопомойка, если ввести адрес \\192.168.5.254, то на него пускает без проблем, вижу все расшареные ресурсы, все ок, но в сети так же есть еще и другие ПК (около 10 штук, и парк постоянно увеличивается), так вот, собственно вопрос:

Как можно сделать доступ таким образом, что бы было как будто ты заходишь из локальной сети? То есть нажимаешь из домашнего ПК - Мой Компьютер - Сеть, и видеть там имена всех ПК которые на текущий момент есть в сети?

Заранее прошу прощения за может быть для кого-то глупые вопросы и сумбурное изложение, но в этих делах я совсем еще новичек :(

Comments

[АртемЪ]

Вместо первого абзаца с непонятным словесным потоком неплохо бы привести карту сети.
После чего четко описать что вам надо.

Answer 1

[LESHIY_ODESSA]

Без конфига очень сложно вам помочь. Сделайте в терминале — export compact и выложите на pastebin.com/. Предварительно удалите логины и пароли если они есть.
Это очень странно почему один порт пробросился, а остальные нет. Видимо вы где то запутались.

Как можно сделать доступ таким образом, что бы было как будто ты заходишь из локальной сети? То есть нажимаешь из домашнего ПК - Мой Компьютер - Сеть, и видеть там имена всех ПК которые на текущий момент есть в сети?

Собственно VPN именно это и делает. Вы подключаетесь к сети и работает уже в ней. Если вы не видите имена компьютеров в сети, то на это может быть другие причины, отличные от настроек роутера.

Я очень хорошо знаю Mikrotik, если вы потрудитесь задавать четкие вопросы и давать четкие ответы, то я могу помочь с любой проблемой или указать пути ее решения.

Comments

[gonchar0ff]

Необходим экспорт всех 3 микротиков?

[gonchar0ff]

Mikrotik #1 - pastebin.com/2YkjbZLM
Mikrotik #2 - pastebin.com/RmM8wQ7J
Mikrotik #3 - pastebin.com/Ch3v6cYx

Answer 2

[gonchar0ff]

Прилагаю схему сети, как это сделано сейчас:

Что хотим:
1) Удаленный доступ ко всем микротикам (сейчас есть только к 192.168.5.2 #1) через VPN
2) Удаленный доступ к локальной сети филиала (сейчас через VPN и первый микротик есть доступ к локальным компьютерам по IP, хочется что бы при соединении с VPN компьютеры в локальной сети было видно в Сетевом окружении, так как к тем компьютерам которые сейчас есть, добавиться еще 16-18 штук в этом месяце)

Mikrotiki соединены так:
В первый порт приходит инет от Nanostation, из второго порта в первый порт микротика №2, из 3 порта в микротик №3. Настройка на первом микротике такая:
Все порты объединены в бридж (название бриджа LAN), поднят DHCP сервер, который раздает пул адресов 192.168.5.100-192.168.5.200, в меню IP-DNS стоит галочка "Allow Remote Requests", в Firewall - Nat одно правило: Chain=srcnat, Out.Interface=LAN, Action=masquerade. В Filter Rules два правила, которые разрешают доступ на 1723 порт и 80, соответственно доступ по VPN и по Cloud на вебморду без подключения VPN.
На микртотике №2 и №3 все порты объединены в бридж (то же название LAN), не поднят DHCP сервер ни на одном из них, так как поднят на первом.
Так...сейчас пока по настройкам лазил, исправил вопрос с удаленным доступом по локалке, но не знаю, правильно ли это или нет:
Было до этого:
В IP-Adresses был указан IP адрес микротика №2 - 192.168.5.3, №3 - 192.168.5.4
Удалил эту запись, зашел в IP-DHCP Client, микротики получили айпишники, но из пула 192.168.5.100-192.168.5.200, сделал их статическими для них и исправил на 192.168.5.3 и 192.168.5.4 соответственно. На микротике №2 и №3 сделал Renew для айпишников, получили те, что надо, на них сразу поднялся инет, и начали пинговаться как в локалке при подключенном VPN, так что если такая настройка является правильной, вопрос №1 снят.
Надеюсь сейчас объяснил более понятно, спасибо :)

Comments

[LESHIY_ODESSA]

Мда, ну выдаете. Mikrotik №2 и №3 стоит за №1, каим образом по вашему действует проброс портов? Он читает ваши мысли? То есть Nanostation понял, что порт 888 нужно отправить на 192.168.5.3. А где он? Ага правильно за NAT №1. То есть вам нужно на №1 пробросит порт 888 дальше на №2. На самом деле конечно НЕ НУЖНО. Потому что на №1 поднят NAT, а зачем? ВЫ хотите ДВЕ раздельные сетки?
Поэтому убираете NAT и делаете из всех микротиков тупые свичи. Никакого WAN порта. То есть всё порты в бридж и ВСЁ. НА самом деле я бы DHCP поднял бы на Nanostation.

Блин, а на №2 у вас тоже поднят NAT. Видимо вы не до конца понимаете что это. Еще раз повторюсь. У вас микртики вытупают в роли тупых КОМУТАТОРОВ (СВИЧЕЙ), никаких WAN портов, никаких NAT, обычный бридж.

В дальнейшем, если можно, простой короткий вопрос, без длинных простыней. Мне сложно разобраться сразу во всем тексте и держать его в голове.

[LESHIY_ODESSA]

Немного поспешил. Nanostation M5 это Ubiquiti? Тогда вам наверно лучше микротик №1 сделать роутером с NAT, DHCP, DNS и так далее.
Меня ввело в заблуждение то что у вас на схеме DLINK как бы впереди микротика, а всё должно быть за ним.

[LESHIY_ODESSA]

Вы пишите что настроили в Nanostation проброс портов, это значит что он в режиме Router. Там кажется можно сделать прямую трансляцию, типа Network mode - bride и все идет потоком на Mikrotik, которые это все траслирует через NAT дальше.

[gonchar0ff]

По поводу Nanostation я посмотрю и попробую настроить. Если перевести на всех микротиках все порты просто в бридж, инет будет так же на всех на них работать? IP получаем от провайдера по DHCP, без всяких настроек? Потом можно будет создавать правила и ограничения для пользователей? Доступ ко всем коммутаторам через VPN так же останется? Спасибо огромное за ответы!

[gonchar0ff]

Так же в дальнейшем еще будет 1 провайдер, он на сколько я помню работает по PPPoE, в случае если объединить все порты в бридж, как потом настраивать это дело?

[LESHIY_ODESSA]

gonchar0ff: Нажимайте на кнопку ответить иначе мы не увидим сообщение, что есть ответ. Я ошибся так же и совершенно случайно заглянул в эту ветку снова.

Хм, мне сложно объяснять как настроить если вы не знаете основ.

Если Nanostation в mode — Router, то значит у него уже есть NAT, значит он раздает интернет дальше. Значит больше NAT-ов вам не нужны. DHCP сервер кстати может быть где угодно, но в количестве одной штуки. Потом Nanostation вы втыкаете в любой свич или в любой микротик, которые должны быть настроены без NAT, а просто ВСЕ ПОРТЫ в бридж.

Если Nanostation в bridge, то он кау бы прозрачно транслирует все дальше. А дальше должен стоять какой то микротик с WAN портом и NAT, DHCP, DNS, Firewall. А в остальные порты этого микротика делаете бридж и втыкаете все остальное что есть. В том числе два остальных микротика, настроенных как коммутаторы, бридж все порты, без NAT и так далее.

Я к чему веду. Роутер в сети должен быть ОДИН. Всё остальное это свичи коммутаторы.

Объединение двух провайдеров это отдельная тема.
Вот тут я накидал ссылок — Какое существует апаратное решение с поддержкой двух Wan?

[gonchar0ff]

LESHIY_ODESSA: Я Вас понял, я так и попробую сделать, настроить Nanostation в Bridge, а дальше уже все поднять на микротике, благодарю за помощь и ссылки!

Answer 3

[vovannovig]

Извините, но вот лично мне совсем не понятно зачем Вам эти 3 микротика?
Ладно 1, но зачем в брижде весят 2а тупиковых устройства?
На первом микротике бриджуете и порт сервера 1С...?