Mikrotik: VPN до объекта, не отрабатывает форвардинг на PPTP-интерфейс, кто виноват?

Question

Яков @ksenobayt

Mikrotik: VPN до объекта, не отрабатывает форвардинг на PPTP-интерфейс, кто виноват?

В наличии 750-й Mikrotik. Находится одним хвостом в частично изолированной локалке (192.168.150.0/24), вторым -- в сеть, где доступен инет (10.10.5.0/24). Задача -- завернуть трафик таким образом, чтобы из локалки прозрачно были доступны все хосты из /24 сервера; доступа в обратную сторону по инициативе клиентов из удалённой сети не предполагается.

Микротиков в глаза не видел (вот так вот вышло -- знаем, позор), но порядок действий в webfig был следующий:

0) PPP->Interface->Add->PPTP Client. Настраиваем, соединяемся, running -- всё хорошо.
1) Идём в IP->Firewall->NAT, добавляем маскарадинг в количестве двух штук (Chain - srcnat, Src. address -- один 192.168.150.0/24, второй 10.10.5.0/24, Out interface для обоих - наш PPTP). Отдельные правила для маскарадинга между подсетями 10.10.5.0 и 192.168.150.0, а также маршрут -- также существуют.
2) IP->Routes->Add, добавляем маршрут с Dst. address целевой сети (допустим, 10.21.0.0/24), нашим PPTP в качестве шлюза, и типом в Unicast

Трафик к любому хосту в удалённой 10.21.0.0 по-прежнему пытается идти через инет, при попытке запинговать или сделать что-нибудь ещё. Учитывая мои дичайшие лакуны в делах сетевых -- что я умудрился упустить? По логике вещей, должно работать.

Вопрос задан более трёх лет назад
477 просмотров

5 комментариев

Подписаться 1 Оценить 5 комментариев

Александр Романов @moneron89

Лучше нарисуйте схему. Не очень понятно, кому и куда нужно ходить.

Написано более трёх лет назад
Яков @ksenobayt Автор вопроса

В 192.168.150.0/24 находятся условные сотрудники офиса, в неё же одним из интерфейсов заведён Mikrotik. Вторым интерфейсом он воткнут в 10.10.5.0/24, откуда и подключается к инету. На удалённом объекте есть сеть 10.21.0.0/24, в которой и находится PPTP-сервер, к которому должен подключаться клиент на микроте.

Основная идея -- клиенты из 192.168.150.0/24 свободно ходят на любой хост в 10.21.0.0/24. Доступ к хостам в 10.10.5.0/24 у них уже есть -- маскарадинг и маршруты настроены. Но вот на сеть объекта трафик по какой-то странной причине не маршрутится.

Написано более трёх лет назад
Александр Романов @moneron89

Яков: Покажите
/ip firewall mangle print
/ip address print
/ip route print
/ppp export hide-sensitive
После этого будем смотреть дальше

Написано более трёх лет назад
Яков @ksenobayt Автор вопроса

[root@MikroTik] > ip address print

# ADDRESS NETWORK INTERFACE
0 I ;;; default configuration
1 10.10.5.253/24 10.10.5.0 ether1-gateway
2 192.168.150.0/24 192.168.150.0 ether1-gateway
...
4 D 10.21.0.212/32 10.21.0.254 pptp-out1-obj2
[root@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.10.5.254 1
...
16 A S 10.21.0.0/24 pptp-out1-obj2 1
18 ADC 10.21.0.212/32 10.21.0.254 pptp-out1-obj2 0
19 ADC 192.168.150.0/24 192.168.150.0 ether1-gateway 0
20 S 192.168.150.0/24 ether1-gateway 1

[root@MikroTik] > ppp export hide-sensitive
# may/15/2016 17:32:28 by RouterOS 5.26
# software id = ETAA-P25U
#
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=default \
use-encryption=default use-mpls=default use-vj-compression=default
add change-tcp-mss=yes dns-server=192.168.88.1 local-address=192.168.88.100 \
name=pptp-in only-one=default remote-address=pptp-pool use-compression=no \
use-encryption=no use-mpls=no use-vj-compression=no
add change-tcp-mss=default dns-server=8.8.8.8 local-address=192.168.50.100 name=\
rmiac18-encryption only-one=default remote-address=192.168.50.101 \
use-compression=default use-encryption=default use-mpls=default \
use-vj-compression=default
add change-tcp-mss=yes name=smolensk-pptp-profile only-one=default \
use-compression=yes use-encryption=yes use-mpls=yes use-vj-compression=\
default
set 4 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=default use-mpls=default \
use-vj-compression=default
/ppp aaa
set accounting=yes interim-update=0s use-radius=no

Написано более трёх лет назад
satoo @satoo

вот это сумбур.

как "В 192.168.150.0/24 находятся условные сотрудники офиса, в неё же одним из интерфейсов заведён Mikrotik. Вторым интерфейсом он воткнут в 10.10.5.0/24"
совпадает с этим, ошибка?:
1 10.10.5.253/24 10.10.5.0 ether1-gateway
2 192.168.150.0/24 192.168.150.0 ether1-gateway

схема нарисованная от руки и сфотографированная на 0.3mpix камеру облегчит оказание ВАМ помощи

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Windows Server

+3 ещё

Средний
Почему нет доступа к сети OpenVPN на сервере?
- 1 подписчик
- 9 часов назад
- 103 просмотра
0

ответов
VPN

+1 ещё

Простой
Как рассчитать мощность VPS для VPN (VLESS+Reality) на 10 пользователей?
- 1 подписчик
- 10 часов назад
- 133 просмотра
3

ответа
Android

+2 ещё

Средний
Как скрыть наличие вкл. Впн от Билайн?
- 2 подписчика
- 14 часов назад
- 1721 просмотр
1

ответ
macOS

+2 ещё

Простой
Использовать старый MacBook на MacOS 10.13 в качестве VPN роутера?
- 1 подписчик
- вчера
- 118 просмотров
2

ответа
Windows

+1 ещё

Средний
Как настроить kill switch Windows 10?
- 1 подписчик
- вчера
- 342 просмотра
2

ответа
Сетевое оборудование

+1 ещё

Средний
Имея два роутера Keenetic в разных странах, можно ли реализовать проброс трафика на некоторые сайты?
- 1 подписчик
- вчера
- 240 просмотров
3

ответа
Windows

+2 ещё

Средний
Есть подключение но нет интернета wireguard?
- 1 подписчик
- вчера
- 175 просмотров
3

ответа
VPN

+2 ещё

Средний
Как поднять пинг в сервисе облачного гейминга?
- 1 подписчик
- 23 нояб.
- 149 просмотров
3

ответа
Компьютерные сети

+4 ещё

Средний
Как настроить маршрутизацию трафика с использованием двух сетевых карт для выхода на перечень адресов (сайтов) ТОЛЬКО через одну сетевую карту?
- 1 подписчик
- 22 нояб.
- 3038 просмотров
3

ответа
Mikrotik

+1 ещё

Средний
Как настроить macros в zabbix-е?
- 1 подписчик
- 22 нояб.
- 70 просмотров
2

ответа
Показать ещё Загружается…

Ведущий системный администратор

ФИНФОРТ • Краснодар

от 200 000 ₽

Системный администратор AD

Мечел-ИнфоТех • Москва

от 140 000 ₽

Удаленный системный администратор

Ситрус • Москва

от 100 000 до 120 000 ₽

Выложить 75 курсов на геткурс и настроить базовые функции

26 нояб. 2024, в 02:18

15000 руб./за проект

Редизайн и доработка интернет магазина на wordPress

25 нояб. 2024, в 23:42

50000 руб./за проект

Разработка мобильного приложения с дополненной реальностью (AR)

25 нояб. 2024, в 23:32

200000 руб./за проект

Лучше нарисуйте схему. Не очень понятно, кому и куда нужно ходить.
В 192.168.150.0/24 находятся условные сотрудники офиса, в неё же одним из интерфейсов заведён Mikrotik. Вторым интерфейсом он воткнут в 10.10.5.0/24, откуда и подключается к инету. На удалённом объекте есть сеть 10.21.0.0/24, в которой и находится PPTP-сервер, к которому должен подключаться клиент на микроте.

Основная идея -- клиенты из 192.168.150.0/24 свободно ходят на любой хост в 10.21.0.0/24. Доступ к хостам в 10.10.5.0/24 у них уже есть -- маскарадинг и маршруты настроены. Но вот на сеть объекта трафик по какой-то странной причине не маршрутится.
Яков: Покажите
/ip firewall mangle print
/ip address print
/ip route print
/ppp export hide-sensitive
После этого будем смотреть дальше
[root@MikroTik] > ip address print

# ADDRESS NETWORK INTERFACE
0 I ;;; default configuration
1 10.10.5.253/24 10.10.5.0 ether1-gateway
2 192.168.150.0/24 192.168.150.0 ether1-gateway
...
4 D 10.21.0.212/32 10.21.0.254 pptp-out1-obj2
[root@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.10.5.254 1
...
16 A S 10.21.0.0/24 pptp-out1-obj2 1
18 ADC 10.21.0.212/32 10.21.0.254 pptp-out1-obj2 0
19 ADC 192.168.150.0/24 192.168.150.0 ether1-gateway 0
20 S 192.168.150.0/24 ether1-gateway 1

[root@MikroTik] > ppp export hide-sensitive
# may/15/2016 17:32:28 by RouterOS 5.26
# software id = ETAA-P25U
#
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=default \
use-encryption=default use-mpls=default use-vj-compression=default
add change-tcp-mss=yes dns-server=192.168.88.1 local-address=192.168.88.100 \
name=pptp-in only-one=default remote-address=pptp-pool use-compression=no \
use-encryption=no use-mpls=no use-vj-compression=no
add change-tcp-mss=default dns-server=8.8.8.8 local-address=192.168.50.100 name=\
rmiac18-encryption only-one=default remote-address=192.168.50.101 \
use-compression=default use-encryption=default use-mpls=default \
use-vj-compression=default
add change-tcp-mss=yes name=smolensk-pptp-profile only-one=default \
use-compression=yes use-encryption=yes use-mpls=yes use-vj-compression=\
default
set 4 change-tcp-mss=yes name=default-encryption only-one=default \
use-compression=default use-encryption=default use-mpls=default \
use-vj-compression=default
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
вот это сумбур.

как "В 192.168.150.0/24 находятся условные сотрудники офиса, в неё же одним из интерфейсов заведён Mikrotik. Вторым интерфейсом он воткнут в 10.10.5.0/24"
совпадает с этим, ошибка?:
1 10.10.5.253/24 10.10.5.0 ether1-gateway
2 192.168.150.0/24 192.168.150.0 ether1-gateway

схема нарисованная от руки и сфотографированная на 0.3mpix камеру облегчит оказание ВАМ помощи

Mikrotik: VPN до объекта, не отрабатывает форвардинг на PPTP-интерфейс, кто виноват?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт