Сеть дом и офис

Question

[Vitali Borovik]

Всем привет, помогите разобраться.
Есть:
Работа: Сервер 2003+Керио с внешним IP, сеть 10.10.200.0
Дом: Роутер Mikrotik 751u сеть 192.168.88.0
Нужно иметь доступ в обе стороны, что бы с дома можно было зайти на любой компьютер сети и наоборот.
На данный момент я подключился через VPN клиент роутера к серверу через стандартное подключение, у меня доступ в рабочую сеть есть, а обратно нет.
Как все правильно сделать? Спасибо!

Answer 1

[vip-zaec]

На Kerio создается vpn-тоннель - тип подключения "Активное", с авторизацией по предопределенному ключу.
локальный id- произвольное имя kerio
отдаленный id - внешний ip на mikrotik



удаленные сети - 192.168.88.0/24 (домашняя за mikrotik)



локальные сети - сеть, за kerio, та что в офисе



На mikrotik'е необходимо открыть порты, выполнив следующие команды:

/ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp
/ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
/ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
/ip firewall filter add chain=input comment="Allow UDP" protocol=udp

На вкладке ip->Firewall появятся 4 новых правила:


Настраиваем Proposals (ip->ipsec-Proposals)

/ip ipsec proposal set [ find default=yes ] enc-algorithms=3des,aes-128 pfs-group=none



Настраиваем peer (adress - внешний ip kerio, password - предопределенный ключ авторизации, как в настройках vpn на kerio):

/ip ipsec peer add address=195.138.xxx.xxx/32 dh-group=modp1536 exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 passive=yes secret=password



После этого должен подняться тоннель.
Для прохождения трафика между офисной и домашней сетью, необходимо добавить правило

/ip firewall nat add chain=srcnat dst-address=10.10.10.0/24 src-address=192.168.88.0/24

(Сеть 10.10.10.0/24 в примере - офисная сеть, за kerio
192.168.88.0/24 - домашняя сеть, за mikrotik)

Answer 2

[1x1]

Добавить на сервере маршрут на домашнюю сеть через PPTP интерфейс.

Comments

[Vitali Borovik]

А как, VPN дает же еще промежуточные IP клиента и сервера, в моем случае это 10.10.201.1 сервер (рабочий) и 10.10.201.2 клиент (роутер) с сервера я пингую 10.10.201.2, а с сети уже нет. Так же нет пинга к 198.168.88.0, чуть позже выложу скриншоты.

[1x1]

Если правильно помню, то route add 192.168.88.0 mask 255.255.255.0 0.0.0.0 if <входящий pptp интерфейс>

Answer 3

[Vitali Borovik]

Спасибо! Но не вышло, перепробовал множество вариантов, но доступа к 192.168.88.0 так и не получил, даже с сервера (возможно нужно что-то еще настраивать в роутере). Но удалось получить доступ к IP vpn клиента с сети предприятия (роутеру дома), что уже радует.


192.168.88.1 Роутер
192.168.88.252 Компьютер

Answer 4

[Илья Ельников]

у меня exchange-mode=main-l2tp отсутствует
есть только main, aggressive,base
как-то добавить надо? или у меня версия ОС не та?