Как настроить доступ к сети филиала через центральный офис?

Question

[mrfry]

Всем привет!
Возникла небольшая загвоздка, был бы признателен за ваши советы.
Вводные:
Есть центральный офис с маршрутизатором Mikrotik, поднят PPTP-сервер.
Есть склад, на котором стоит принтер, маршрутизатор Zyxel + свисток Yota в кач-ве средства доступа в интернет. Zyxel подключается к Mikrotik как PPTP-клиент.
Из офиса печать на склад работает без проблем (на Mikrotik прописан статический маршрут)
Появилась необходимость печати на склад из дома.
Ноутбук(192.168.55.3) подключается к PPTP-серверу(192.168.55.1), подсеть центрального офиса доступна(после прописки маршрута на ноуте), а вот складская нет.
В файрволе запрещающих правил нет, разрешающие прописывал - не помогает.
Схема -

Answer 1

[AntHTML]

Из ноута 55.3 пингануть 55.2
если ответит, то написать в ноуте
route add 192.168.1.0 mask 255.255.255.0 192.168.55.2
У вас шлюзом из подсети 55.0 в подсеть 1.0 является 55.2, а не 55.1
ну и на 55.2 обратный маскарад не забыть

Comments

[mrfry]

так вот 55.2 с 55.3 не пингуется, в том то и косяк.
я пробовал маршрут писать и через 55.2 и через 55.1

"ну и на 55.2 обратный маскарад не забыть"
имеете ввиду на складском роутере прописать? или на центральном микротике?

[AntHTML]

mrfry, Значит у Вас скорее всего в ВПНе запрещено видеть коллег в своей сети.
Попробуйте тогда на микроте прописать "заворот" для трафика из сети 55.0
route add 192.168.1.0 mask 255.255.255.0 192.168.55.2
а на ноуте
route add 192.168.1.0 mask 255.255.255.0 192.168.55.1
и трассировкой посмотреть до куда прыгает

[mrfry]

AntHTML, маршрут в 192.168.1.0 через 192.168.55.2 уже есть
на ноуте прописывал маршрут в 1.0 и через 55.1 и через 55.2 - не работает.

"Значит у Вас скорее всего в ВПНе запрещено видеть коллег в своей сети."
не нашел где видимость в микроте настраивается, гугл молчит.
еще из догадок - при подключение к vpn комп получает 255 маску, т.е. на 1 клиента.
как это изменить - то же не могу найти, да и влияет ли.

[Интернет]

Вам необходимо пользоваться OSPF+l2tp и у вас всё получится.

[mrfry]

Vsevolod, для OSPF мне прийдется все оборудование заменить на микроты, разве нет?

[Интернет]

mrfry, верно.

Answer 2

[Сергей c0re]

если с микрота доступен принтер, то попробуйте PPP профиль включить в бридж


так же... попробуйте добавить маршрут в PPP secret ноутбучного vpn'a


Так же возможно необходимо разрешить forward между pptp интерфейсами

на крайний случай, настройте на микроте dstnat 139 порта на 192.168.1.100 (только ограничьте его по src addr), по идее должен работать, ведь микрот видит его. И на ноутбуке соответственно настройте сетевой принтер на IP адрес микротика.

как-то так...

Comments

[mrfry]

Сергей включил brigde и прописал routes - трассировка так и останавливается на 55.1
по поводу dstnat тоже не сработало

[Сергей c0re]

mrfry, С роутами в PPP секретс не все понятно, есть подозрения что это надо на 55.2 впн сделать. мол на него этот маршрут. возможно надо настроить forward в файрволле.

[Сергей c0re]

может на ноуте попробовать добавить
route add 192.168.55.0 mask 255.255.255.0 192.168.55.1

[mrfry]

Сергей, такой маршрут сразу прописывается, как только я подключаюсь к микроту

[Сергей c0re]

mrfry, ну тогда попробовать разрешить форвард между интерфейсами pptp

[mrfry]

Сергей, прописывал и между интерфейсами и между айпишниками 55.2 и 55.3 в обе стороны.

[Сергей c0re]

mrfry, а с 192.168.55.0/24 -> 192.168.1.0/24 ?

[mrfry]

Сергей, прописал. попробовал и через dstnat на ip 192.168.55.1 обращаться и без него на 192.168.1.100 - не видит принтер.

[Сергей c0re]

i don't have any ideas ((

попробовал и через dstnat на ip 192.168.55.1

а телнетом на порт микрота пробовали цепляться, он вообще открывается, т.е. проходит ли само соединение? или сканером портов каких? (я обычно телнетом смотрю, если нет соединения он отваливается)

м... попробуйте тогда прокинуть дстнатом все порты NETBIOS, см. Список портов TCP и UDP

на микротике для сетей с src 192.168.55.0/24 по протоколам tcp И udp для портов 137, 138, 139, 445 сделать dstnat на 192.168.1.100
на ноутбуке в качестве адреса принтера указать микрот - 192.168.55.1

[Сергей c0re]

mrfry, кстати, что за принтер, может он по другим сетевым портам работает?

[Сергей c0re]

mrfry,
м... может на зюхеле в файрволле разрешить прохождение трафика из 192.168.55.0/24 в LAN ?

Answer 3

[20ivs]

Очевидно, надо на ноуте прописать маршрут в сеть склада

route add 192.168.1.0 mask 255.255.255.0 192.168.55.1

Comments

[mrfry]

Да, так прописано, но не работает.
трассировка
1 шаг 192.168.55.1
далее не идет

[20ivs]

mrfry, а маршрутизатор ваш ноут пингует?

[mrfry]

20ivs, Mikrotik(192.168.55.1) пингует ноут(192.168.55.3) и склад (192.1685.55.2) , при этом ноут склад не может пингануть, только Mikrotik

[20ivs]

mrfry, покажите как прописан маршрут в микроте

[mrfry]

20ivs, в микроте прописан руками
1й в складскую подсеть
dst.adress 192.168.1.0/24
gateway 192.168.55.2
distance 1

2й прописал для подсети ноутбука
dst.adress 192.168.88.0/24
gateway 192.168.55.3
distance 1

но кстати что заметил
если с центрального микрота пинговать принтер(192.168.1.100) на складе то он отвечает
а вот если ноут(192.168.88.200) нет ( файервол отключен)
но вроде после прописки маршрута надо микротик перезагружать?

[20ivs]

mrfry, перезагружать микрот не надо после добавления маршрута. а вот товарищ AntHTML дело говорит.

[mrfry]

20ivs, понял.
Так все прописано, как он и сказал - не хочет работать

[Сергей c0re]

mrfry,

если с центрального микрота пинговать принтер(192.168.1.100) на складе то он отвечает
а вот если ноут(192.168.88.200) нет ( файервол отключен)
но вроде после прописки маршрута надо микротик перезагружать?

ноут для микрота 55.3 и этого имхо достаточно, а то что не идет на 192.168.88.200, это имхо проблема в маршрутизации на самом ноуте.
но это и не нужно.

[Сергей c0re]

mrfry, а склад 55.2 пингует ноут 55.3 ?

[mrfry]

Сергей, не проверял но я думаю что не будет