@MoscowStyle

Mikrotik- проблема с правилами фаирвола и установкой vpn соединения?

Парни, привет!
помогите понять где у меня проблема(плавающая), есть два микрота, один с "белым" ip, другой с "серым", на том, который с "белым" поднят vpn сервер(l2tp/ipsec), микрот с "серым" ip устанавливает соединение и всё норм. Но, часто соединение рвется без видимых причин и не может установится, скрин лога со стороны клиента прилагаю
5f3439046ee53185811818.jpeg

если в этот момент взять и выключить все правила в файрволе, то сессия установится, потом включаем назад правила, убиваем сессию и она сама устанавливается с уже включенными правилами файрвола, хотя еще минуту назад не могла....где мой косяк? Причём, если начать выключать запрещающие правила это не даёт результата, ниже правила файрвола

буду признателен за помощь.

фаер МТ1

0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 ;;; NO Ping Wan
chain=input action=drop protocol=icmp in-interface=WAN-ether1
icmp-options=8:0 log=no log-prefix=""

2 ;;; Dostup Mikrotik Winbox
chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix=""

3 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
log=no log-prefix=""

4 ;;; VPN
chain=output action=accept protocol=udp dst-port=50,500,4500,1701 log=yes
log-prefix=""

5 ;;; VPN PPTP for Client Connected
chain=input action=accept protocol=tcp dst-port=1723,1194 log=no
log-prefix=""

6 ;;; VPN
chain=input action=accept protocol=ipsec-esp log=no log-prefix=""

7 ;;; VPN
chain=input action=accept protocol=ipsec-ah log=no log-prefix=""

8 ;;; VPN
chain=input action=accept protocol=l2tp log=yes log-prefix=""

9 ;;; VPN
chain=input action=accept protocol=gre log=yes log-prefix=""

10 chain=input action=accept protocol=igmp in-interface=WAN-ether1 log=no
log-prefix=""

11 ;;; Torrent
chain=input action=accept connection-state=new protocol=tcp
dst-port=51413 log=no log-prefix=""

12 ;;; allow sstp
chain=input action=accept protocol=tcp dst-port=443 log=no log-prefix=""

13 ;;; defconf: accept in ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec

14 ;;; defconf: accept out ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec

15 ;;; defconf: fasttrack, Esli vkluchit, ne rabotaet QoS
chain=forward action=fasttrack-connection
connection-state=established,related log=no log-prefix=""

16 ;;; defconf: accept established,related, untracked
chain=forward action=accept
connection-state=established,related,untracked log=no log-prefix=""

17 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""

18 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""

19 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=no log-prefix=""

20 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix=""
  • Вопрос задан
  • 221 просмотр
Пригласить эксперта
Ответы на вопрос 1
@korsar182
Добавьте правило
/ip firewall filter add chain=input action=accept protocol=udp dst-port=4500,1701 log=yes place-before=1
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы