Mikrotik: VPN до объекта, не отрабатывает форвардинг на PPTP-интерфейс, кто виноват?

Question

Яков @ksenobayt

Mikrotik: VPN до объекта, не отрабатывает форвардинг на PPTP-интерфейс, кто виноват?

В наличии 750-й Mikrotik. Находится одним хвостом в частично изолированной локалке (192.168.150.0/24), вторым -- в сеть, где доступен инет (10.10.5.0/24). Задача -- завернуть трафик таким образом, чтобы из локалки прозрачно были доступны все хосты из /24 сервера; доступа в обратную сторону по инициативе клиентов из удалённой сети не предполагается.

Микротиков в глаза не видел (вот так вот вышло -- знаем, позор), но порядок действий в webfig был следующий:

0) PPP->Interface->Add->PPTP Client. Настраиваем, соединяемся, running -- всё хорошо.
1) Идём в IP->Firewall->NAT, добавляем маскарадинг в количестве двух штук (Chain - srcnat, Src. address -- один 192.168.150.0/24, второй 10.10.5.0/24, Out interface для обоих - наш PPTP). Отдельные правила для маскарадинга между подсетями 10.10.5.0 и 192.168.150.0, а также маршрут -- также существуют.
2) IP->Routes->Add, добавляем маршрут с Dst. address целевой сети (допустим, 10.21.0.0/24), нашим PPTP в качестве шлюза, и типом в Unicast

Трафик к любому хосту в удалённой 10.21.0.0 по-прежнему пытается идти через инет, при попытке запинговать или сделать что-нибудь ещё. Учитывая мои дичайшие лакуны в делах сетевых -- что я умудрился упустить? По логике вещей, должно работать.

Вопрос задан более трёх лет назад
466 просмотров

5 комментариев

Подписаться 1 Оценить 5 комментариев

Александр Романов @moneron89

Лучше нарисуйте схему. Не очень понятно, кому и куда нужно ходить.

Написано более трёх лет назад
Яков @ksenobayt Автор вопроса

В 192.168.150.0/24 находятся условные сотрудники офиса, в неё же одним из интерфейсов заведён Mikrotik. Вторым интерфейсом он воткнут в 10.10.5.0/24, откуда и подключается к инету. На удалённом объекте есть сеть 10.21.0.0/24, в которой и находится PPTP-сервер, к которому должен подключаться клиент на микроте.

Основная идея -- клиенты из 192.168.150.0/24 свободно ходят на любой хост в 10.21.0.0/24. Доступ к хостам в 10.10.5.0/24 у них уже есть -- маскарадинг и маршруты настроены. Но вот на сеть объекта трафик по какой-то странной причине не маршрутится.

Написано более трёх лет назад
Александр Романов @moneron89

Яков: Покажите
/ip firewall mangle print
/ip address print
/ip route print
/ppp export hide-sensitive
После этого будем смотреть дальше

Написано более трёх лет назад
Яков @ksenobayt Автор вопроса

[root@MikroTik] > ip address print

# ADDRESS NETWORK INTERFACE
0 I ;;; default configuration
1 10.10.5.253/24 10.10.5.0 ether1-gateway
2 192.168.150.0/24 192.168.150.0 ether1-gateway
...
4 D 10.21.0.212/32 10.21.0.254 pptp-out1-obj2
[root@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.10.5.254 1
...
16 A S 10.21.0.0/24 pptp-out1-obj2 1
18 ADC 10.21.0.212/32 10.21.0.254 pptp-out1-obj2 0
19 ADC 192.168.150.0/24 192.168.150.0 ether1-gateway 0
20 S 192.168.150.0/24 ether1-gateway 1

[root@MikroTik] > ppp export hide-sensitive
# may/15/2016 17:32:28 by RouterOS 5.26
# software id = ETAA-P25U
#
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=default \
use-encryption=default use-mpls=default use-vj-compression=default
add change-tcp-mss=yes dns-server=192.168.88.1 local-address=192.168.88.100 \
name=pptp-in only-one=default remote-address=pptp-pool use-compression=no \
use-encryption=no use-mpls=no use-vj-compression=no
add change-tcp-mss=default dns-server=8.8.8.8 local-address=192.168.50.100 name=\
rmiac18-encryption only-one=default remote-address=192.168.50.101 \
use-compression=default use-encryption=default use-mpls=default \
use-vj-compression=default
add change-tcp-mss=yes name=smolensk-pptp-profile only-one=default \
use-compression=yes use-encryption=yes use-mpls=yes use-vj-compression=\
default
set 4 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=default use-mpls=default \
use-vj-compression=default
/ppp aaa
set accounting=yes interim-update=0s use-radius=no

Написано более трёх лет назад
satoo @satoo

вот это сумбур.

как "В 192.168.150.0/24 находятся условные сотрудники офиса, в неё же одним из интерфейсов заведён Mikrotik. Вторым интерфейсом он воткнут в 10.10.5.0/24"
совпадает с этим, ошибка?:
1 10.10.5.253/24 10.10.5.0 ether1-gateway
2 192.168.150.0/24 192.168.150.0 ether1-gateway

схема нарисованная от руки и сфотографированная на 0.3mpix камеру облегчит оказание ВАМ помощи

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Сложный
Как заставить работать связку: оптический терминал + клиентские устройства вместе с репитером + клиентское устройство уже к нему?
- 1 подписчик
- 17 минут назад
- 4 просмотра
0

ответов
Компьютерные сети

+4 ещё

Средний
Как маршрутизировать цепочку локальная подсеть -> IPSec Tunnel -> L2TP Tunnel-> удаленная подсеть на ZyXel ZyWall USG 300?
- 1 подписчик
- 5 часов назад
- 21 просмотр
0

ответов
Компьютерные сети

+1 ещё

Простой
Есть ли программа, которая при отправке запроса проверяет через какие маршрутизаторы и роутеры проходит запрос?
- 2 подписчика
- 8 часов назад
- 171 просмотр
5

ответов
Компьютерные сети

+2 ещё

Простой
3X-UI конфиг — изменение адреса прослушивания панели, в чём ошибка?
- 1 подписчик
- 12 часов назад
- 49 просмотров
2

ответа
VPN

Средний
Возможна ли маскировка подключения к VPN сервису у провайдера?
- 1 подписчик
- вчера
- 103 просмотра
2

ответа
Mikrotik

Простой
Почему не работает проброс порта на mikrotik?
- 1 подписчик
- 04 мая
- 138 просмотров
2

ответа
Сетевое оборудование

+1 ещё

Средний
Как с компьютера в LAN сети микротика попасть в сеть ZeroTier, участником которой является сам микротик?
- 1 подписчик
- 03 мая
- 130 просмотров
2

ответа
Компьютерные сети

+2 ещё

Простой
Как настроить маршрутизацию, чтобы файлы шли по определённому интерфейсу?
- 7 подписчиков
- 03 мая
- 9050 просмотров
9

ответов
Mikrotik

Простой
Как объединить две сети с коммутатором и роутетором?
- 1 подписчик
- 02 мая
- 128 просмотров
1

ответ
Сетевое администрирование

+1 ещё

Простой
Как из одной локальной сети сделать запрос в другую локальную сеть через SSH?
- 1 подписчик
- 02 мая
- 230 просмотров
2

ответа
Показать ещё Загружается…

Системный инженер

САТЕЛ • Нижний Новгород

от 160 000 ₽

Специалист технической поддержки (работа из офиса г.Казань)

Данафлекс • Казань

от 60 000 ₽

Системный администратор

FS Travel • Москва

от 170 000 ₽

Скопировать дизайн со скриншотов с небольшими правками в figma

06 мая 2024, в 21:43

1500 руб./за проект

Трафик для крипто канала

06 мая 2024, в 20:44

30000 руб./за проект

Нужно создать простое приложение для управления инфо-ресурсами предп

06 мая 2024, в 20:35

5000 руб./за проект

Лучше нарисуйте схему. Не очень понятно, кому и куда нужно ходить.
В 192.168.150.0/24 находятся условные сотрудники офиса, в неё же одним из интерфейсов заведён Mikrotik. Вторым интерфейсом он воткнут в 10.10.5.0/24, откуда и подключается к инету. На удалённом объекте есть сеть 10.21.0.0/24, в которой и находится PPTP-сервер, к которому должен подключаться клиент на микроте.

Основная идея -- клиенты из 192.168.150.0/24 свободно ходят на любой хост в 10.21.0.0/24. Доступ к хостам в 10.10.5.0/24 у них уже есть -- маскарадинг и маршруты настроены. Но вот на сеть объекта трафик по какой-то странной причине не маршрутится.
Яков: Покажите
/ip firewall mangle print
/ip address print
/ip route print
/ppp export hide-sensitive
После этого будем смотреть дальше
[root@MikroTik] > ip address print

# ADDRESS NETWORK INTERFACE
0 I ;;; default configuration
1 10.10.5.253/24 10.10.5.0 ether1-gateway
2 192.168.150.0/24 192.168.150.0 ether1-gateway
...
4 D 10.21.0.212/32 10.21.0.254 pptp-out1-obj2
[root@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.10.5.254 1
...
16 A S 10.21.0.0/24 pptp-out1-obj2 1
18 ADC 10.21.0.212/32 10.21.0.254 pptp-out1-obj2 0
19 ADC 192.168.150.0/24 192.168.150.0 ether1-gateway 0
20 S 192.168.150.0/24 ether1-gateway 1

[root@MikroTik] > ppp export hide-sensitive
# may/15/2016 17:32:28 by RouterOS 5.26
# software id = ETAA-P25U
#
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=default \
use-encryption=default use-mpls=default use-vj-compression=default
add change-tcp-mss=yes dns-server=192.168.88.1 local-address=192.168.88.100 \
name=pptp-in only-one=default remote-address=pptp-pool use-compression=no \
use-encryption=no use-mpls=no use-vj-compression=no
add change-tcp-mss=default dns-server=8.8.8.8 local-address=192.168.50.100 name=\
rmiac18-encryption only-one=default remote-address=192.168.50.101 \
use-compression=default use-encryption=default use-mpls=default \
use-vj-compression=default
add change-tcp-mss=yes name=smolensk-pptp-profile only-one=default \
use-compression=yes use-encryption=yes use-mpls=yes use-vj-compression=\
default
set 4 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=default use-mpls=default \
use-vj-compression=default
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
вот это сумбур.

как "В 192.168.150.0/24 находятся условные сотрудники офиса, в неё же одним из интерфейсов заведён Mikrotik. Вторым интерфейсом он воткнут в 10.10.5.0/24"
совпадает с этим, ошибка?:
1 10.10.5.253/24 10.10.5.0 ether1-gateway
2 192.168.150.0/24 192.168.150.0 ether1-gateway

схема нарисованная от руки и сфотографированная на 0.3mpix камеру облегчит оказание ВАМ помощи

Mikrotik: VPN до объекта, не отрабатывает форвардинг на PPTP-интерфейс, кто виноват?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт