Проблемы с PPTP на Mikrotik

Доброе время суток. Суть проблемы в следующем: есть туннель PPTP, клиент — микротик, сервером является довольно экзотический Watchguard Firebox. При установлении udp(sip) соединения через туннель происходит нечто странное, в Reply Dst. Address этого соединения прописывается не ip из подсети VPN, а ip присвоенный wan интерфейсу, ну и само собой ответа на пакеты не приходит. Если руками сбросить это UDP соединение в микротике, то на новом соединении адрес подставляется правильный и всё работает до следующего реконнекта. Пробовал обновить прошивку до 5.21(последняя вроде как) до этого была 5.17 всё то же самое.
  • Вопрос задан
  • 22240 просмотров
Пригласить эксперта
Ответы на вопрос 3
@ironsf
Я понимаю что поздновато пишу, но вдруг кому-то пригодится. :)
В микротике нужно в firewall nat перед правилом masquerade создать правило accept:
пример
ip firewall nat add src-address=192.168.88.0/24 dst-address=192.168.0.0/24 action=accept

причем это правило должно быть обязательно перед правилом ната (маскарадинга). Смысл в том, что пакеты идущие из локальной сети 192.168.88.0/24 в сеть впн 192.168.0.0.24 не будут доходить до правил ната, т.к. он будут просто проходить по правилу accept.
Ответ написан
shadowalone
@shadowalone
Ну думаю что дело в микротике. Только что сделал тест, подключился по pptp с микротика, сделал этот маршрут дефолтным и подключился к asterisk, софт-фоном Zoiper.
вот что дает по подключению:
sip: ХХХ@192.168.25.250:5060

и звонки проходят нормально. адрес 192.168.25.Х как раз адрес которых получил микротик по pptp от сервера.
Сервер pptp на CentOS.

Скорее всего у Вас проблема с Вашим «экзотическим Watchguard Firebox».
Ответ написан
@MrRitm
Была описанная в вопросе проблема. Детально описал настройки астера и микротиков в цетральном и удаленных офисах у себя на странице _blog.erofeevonline.ru
Если коротко, то суть такова:
1. Правильно создаем клиентов (local и remote address)
2. Прописываем маршруты на удаленных микротиках
3. На центральном отрубаем Sip helper
4. Смотрим в настройки удаленного роутера IP-->Firewall--NAT нет ли там маскарада в сторону центрального. Если есть, то это и будет проблемным местом. Значит удаленный роутер подменяет адрес клиента своим внешним.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы