VPN MIKROTIK пингуется только сам роутер и больше ничего?

Question

[Михаил]

Добрый день коллеги.

Вопрос такой, был поднят простой VPN PPTP тоннель на базе двух микротиков, все работает как надо но только в одну сторону, со стороны сервера PPTP все клиенты пингуеются в другой подсети ( подсеть 1.1) без проблем , но от клиента пинг сети 88.1 пингуется только сам мироктик (сервер PPTP) а вот все что к нему подключено не пингуется, ответ один "Превышен интервал запроса" но я прекрасно могу зайти с клиента с подсетью 1.1 на микротик 88.1 по winbox. Тачки которые на подести 88.1 самые просты под windows 10 друг друга в этой сети видят прекрасно , все фаерволы выключены и к друг другу заходят без проблем. Что это может быть?

Answer 1

[Никадим Цацкин]

На сколько я понял вам необходимо два офиса взять между собой, поднимите лучше L2TP + IPSec, во вторых вам выше правильно ответил в качестве gw установите сам интерфейс pptp

Answer 2

[Иван]

Маршрут нужно добавить в нужную подсеть с gateway адресом PPTP сервера.

Comments

[kprohorow]

И не забыть о firewall. Как на RouterOS так и на Windows.
По умолчанию десяточка блокирует входящие icmp.

Answer 3

[Михаил]

Все маршруты прописаны , роутер то же он как то видит.

Comments

[Иван]

А что за первое правило в Firewall c Forward'ом?

[Михаил]

Понятия не имею , он был по default.

Answer 4

[GraimeS]

1. Не используйте PPTP
2. Попробуйте установите в качестве gw на нужных маршрутах интерфейс pptp. Возможно, что-то некорректно указали. И включите check gateway, будет хотя бы понимание, что маршрут активен.
3. Нарисуйте нормальную схему или приложите экспорт с обоих роутеров без чувствительных данных. Иначе гадать можно долго.
4. Сделайте сами трассировки и посмотрите, где обрываются пакеты.

Comments

[Михаил]

Может покажусь невеждой, но все же спрошу.

Что такое "включить check gateway" ?

Схему прилагаю



Маршруты прописанные выше.

[GraimeS]

Параметр routes в ppp secret, во-первых, работает только в том случае, если подключаются два микротика между собой, во-вторых - его еще нужно правильно указать. У вас указан маршрут не до сети 192.168.88.0/24, а до конкретного адреса, то есть, по факту - до 192.168.88.1/32.
Таким способом вы дали маршрут в одну сторону, если он пришел вообще. Честно говоря, никогда не пользовался этим параметром из-за его ограниченных возможностей.
Check-gateway - параметр ip routes, проверка доступности шлюза.
Картинка в комментарии никак не схема. А экспорт делается через терминал - export file=backup.rsc
В данном случае лучший вариант - из параметра Routes в Secrets стереть все, и прописать вручную маршруты
На 192.168.5.2 /ip routes add dst-address=192.168.88.0/24 gateway=vpn23@main check-gateway=ping
На 192.168.5.1 /ip routes add dst-address=192.168.1.0/24 gateway=vpn23@main check-gateway=ping
И это в том случае, если у вас название клиентского интерфейса жестко задано на сервере как vpn23, и если я правильно понял топологию, за что поручиться не могу - маршруты одного из роутеров не видны.
А вообще - https://www.youtube.com/watch?v=VP2q82tXZh4
https://mikrotik.wiki/wiki/VPN:L2TP_site-to-site_(...

[Михаил]

Интерфейс выставил как getaway , при трассировке от клиента pptp из под сети 192.168.1.1 до 192.168.88.1 пинг идет иия вижу через VPN микротик с сервером pptp.
Но если трассировку делать на любую из машин картинка такая,
Пакеты доходят до 192.168.5.1 и дальше превышен интервал для запроса.

Если я правильно понял , микротик на котором стоит pptp сервер , дальше себя просто не пускает, вопрос почему ? GRE и 1723 я пробросил

[Михаил]

Добрый день.

L2TP даже без Ipsec решило проблему, еще проблема была в том , что компы в принципе не были видны в сети и не давали ответа на запросы. Всем спасибо. =))

Answer 5

[Антон Кузовов]

Добавлю как я у себя эту же проблему решил.
Interface - (bridge1) - General - ARP установить значение proxy-arp