Как настроить интернет через pptp в Mikrotik?

Question

[Roc27]

Здравствуйте.
Структура сети такая:
192.168.88.1 - mikrotik. На нем PPPoE подключение в интернет "1". На микротике поднят DHCP сервер, согласно которому основной шлюз второй роутер.
192.168.88.2 - второй роутер. У него на wan подключен интернет "2".
Все устройства сети выходят в интернет через "2", а на "1" попадают только тогда, когда устройства обращаются на определенный ip-адрес.
Это все работает четко, проблем нет.
Потребовалось мне, что бы через "1" ко мне подключались по pptp и пользовались интернетом "2", а в идеале имели доступ к расшаренным папкам в моей сети (192.168.88.0/24).
2 дня мучений и я не смог победить этот микротик.
Пользователи подключаются успешно, но доступа в интернет у них нет, пинга до 8.8.8.8 так же нет (превышен интервал ожидания для запроса). При этом в WinBox в Interfaces видно, что в Tx и Rx пакеты бегают при каких-либо запросах.
Возможно, что Mikrotik отправляет всех в интернет "1", когда нужно на "2", либо какие то правила не дают пакетам добраться конечного устройства.
Как можно решить эту проблему?

firewall filter print

[admin@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept src-address-list=(внешний IP "1") in-interface=tap1-wa>
log=no log-prefix=""

1 chain=output action=accept dst-address-list=(внешний IP "1")
out-interface=tap1-wan log=no log-prefix=""

2 chain=forward action=accept protocol=tcp src-port=3389 log=no log-prefix=">

3 chain=forward action=accept protocol=tcp dst-port=3389 log=no log-prefix=">

4 chain=input action=accept protocol=gre log=no log-prefix=""

5 chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=""

6 chain=input action=accept protocol=tcp in-interface=tap1-wan dst-port=1723
log=no log-prefix=""

7 chain=input action=accept protocol=icmp log=no log-prefix=""

8 chain=output action=accept protocol=icmp log=no log-prefix=""

9 chain=forward action=accept protocol=icmp log=no log-prefix=""

10 chain=input action=drop protocol=tcp dst-port=80 log=no log-prefix=""

11 chain=input action=accept log=no log-prefix=""

12 chain=forward action=accept log=no log-prefix=""

13 chain=input action=accept protocol=udp log=no log-prefix=""

14 chain=forward action=accept protocol=udp log=no log-prefix=""

15 chain=input action=accept protocol=udp port=1701,500,4500 log=no
log-prefix=""

Comments

[Dmitry]

Приложите, пожалуйста, схему. Если честно, не очень понятно, и в чём причина использование двух микротиков? В качестве шлюза с multi wan и pptp-сервера вполне справится один. Оно и в настройке проще.

[Roc27]

Dmitry, интернет "1" это местная сеть помегабайтным трафиком (2,5руб 1мб), но с доступом к бесплатному местному файлообменнику. Интернет "2" идет через оператора сотовой связи, с безлимитным тарифом.
Второй роутер не микротик, а Xiaomi с 1Тб жестким диском. Используется для домашнего файлового хранилища, к нему же через wan подключен интернет "2".
Микротик установлен в коридоре в шкафу, оборудованном специально для сетевого оборудования, но там плохо ловится мобильная связь. Так как второй роутер был установлен не далеко от окна, то было принято решение интернет "2" завести в него.
Напрямую в микротик завести интернет "2" реально, но геморно. Если это поможет решить данный вопрос, то конечно я это сделаю. Стоит ли?

[Dmitry]

Roc27, безусловно, предпочтильнее сделать один шлюз на базе микротика, а Xiaomi превратить в точку доступа с файлохранилищем, отключив на ней dhcp сервер, назначить статический адрес из внутренней подсети микротика на lan порту и, соответственно этим портом подключить к вашей сети (к микротику), таким образом вы получаете единый L2 сегмент. Mtik будет выполнять роль DHCP-сервера и единого шлюза, на котором достаточно легко будет настроить маршрутизацию. Он сможет, в зависимости от адреса назначения, направлять трафик в нужного провайдера. То есть трафик с файлообменником будет через 1 провайдера, а весь остальное через 2. При желании, можно настроить резервирование, если упадёт 2 провайдер, то всё будет работать через 1

[Dmitry]

Roc27,
>Потребовалось мне, что бы через "1" ко мне подключались по pptp и пользовались интернетом "2", а в идеале имели доступ к расшаренным папкам в моей сети (192.168.88.0/24)

Вы уверены, что вы хотите так сделать с учетом помегобайтной тарификации на "1"? Вполне возможно, что провайдер учитывает весь трафик, не только входящий. Если вас это устраивает, то в предложенной схеме это сделать довольно просто.

[Roc27]

Dmitry, спасибо, попробую сделать так. Надеюсь получится :)

[Roc27]

Dmitry, провайдер интернета 1 даёт возможность лазить внутри своей сети бесплатно. Тот кто будет подключаться ко мне пользуется тем же провайдером что и я.

Answer 1

[Евгений Подольский]

Здравствуйте! Не решили еще проблему? Пост давненько уже был. Маршруты проверяли у клиентов PPTP? Какие адреса им назначаете и какие ограничения в цепочке forward на микротике "1"?