PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Константин Антонов:

/ip firewall filter
add chain=input comment="accept remote winbox" disabled=yes in-interface=ether1-WAN port=8291,80 protocol=tcp
add chain=input in-interface=<pptp-pptp_rov-1> protocol=icmp

Добавил это правило, начали ходить пинги между маршрутизаторами, внутрь сетей пинга нет...
Цепочки для файервола появились из скрипта, который нашел где-то в интернете. Мне пока не хватает знаний для самостоятельной и осмысленной настройки файервола...
Эти правила я отключил. странно то, что я полностью отключал файервол и пинги все равно не ходили..

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Такое чувство что просто не работает маршрутизация...

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Запустил снифер, запустил пинг с МТ С (192.168.0.2) на МТ А (192.168.0.1).
На МТ С
Пакеты ходят туда и обратно (rx и tx) src. port 55871 dst.port 5678
На МТ А
Также туда-обратно правда поля src. port и dst.port пустые.

запустил пинг с МТ С (192.168.0.2) на адрес внутри сети (192.168.0.100)
На МТ С
Пакеты идут в одну сторону (tx) поля, src. port 55871 dst.port 5678.
На МТ А
Пакеты идут в одну сторону (rx) поля, src. port и dst.port пустые.

еще проскакивает такой пакет:
На снифере МТ С
Исходящий (tx) src.adress 192.168.200.3 src.port 55871 dst.adress 255.255.255.255 dst.port 5678 size 140
На снифере МТ A
Входящий (rx) src.adress 192.168.200.3 src.port 55871 dst.adress 255.255.255.255 dst.port 5678 size 140

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

alegzz:
Поставил маскардинг, как вы и говорили. Вот роутинг:
Mikrotik A

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          188.64.***.*              1
 1 ADC  188.64.***.*/24    188.64.***.**   ether1-WAN                0
 2 ADC  192.168.0.0/24     192.168.0.1     dm.local.bridge           0
 3 ADC  192.168.0.171/32   192.168.0.93    <l2tp-krr.offic...        0
 4 ADC  192.168.0.173/32   192.168.0.33    <l2tp-loginova-1>         0
 5 A S  192.168.1.0/24                     192.168.200.2             1
 6 A S  192.168.2.0/24                     192.168.200.3             1
 7   S  192.168.3.0/24                     pptp-in-zdorovie          1
 8 A S  192.168.11.0/24                    pptp-out-kemerovo         1
 9 ADC  192.168.20.30/32   192.168.20.31   pptp-out-kemerovo         0
10 ADC  192.168.200.2/32   192.168.200.1   <pptp-pptp_krr>           0
11 ADC  192.168.200.3/32   192.168.200.1   <pptp-pptp_rov-1>         0

Mikrotik C

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.73.***.**              0
 1 ADC  10.73.***.**/32    46.147.**.***   pppoe-out1                0
 2 A S  192.168.0.0/24                     192.168.200.1             1
 3 ADC  192.168.2.0/24     192.168.2.1     rov.local.bridge          0
 4 ADC  192.168.200.1/32   192.168.200.3   pptp-out-msk              0

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

alegzz: Сделал, пинга в локалку нет. Только роутеры пингуются

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

alegzz: А как же выйти в интернет без правил NAT? Может я чего-то не понимаю...

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

alegzz: alegzz: T.е. в NAT вообще ни одного правила не должно быть?
Джампы отключил

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

alegzz:

1) разрешаем на шлюзах форвардинг (или по-умолчанию разрешено, и/или до первого подходящего запрета должно быть разрешающее правило).

А как это сделать?

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

В пока недоступен, вот С

Mikrotik A

/ip firewall filter
add chain=input comment="accept remote winbox" disabled=yes in-interface=ether1-WAN port=8291,80 protocol=tc
add chain=input in-interface=<pptp-pptp_rov-1>
add chain=input comment="accept PPTP tunels" dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=input comment="accept l2tp tunels" port=1701,500,4500 protocol=udp
add chain=input protocol=ipsec-esp
add action=drop chain=input comment="drop invalid connections" connection-state=invalid
add chain=input comment="allow related connections" connection-state=related
add chain=input comment="allow established connections" connection-state=established
add chain=input in-interface=!ether1-WAN src-address=192.168.0.0/24
add chain=output comment="accept everything to internet" out-interface=ether1-WAN
add chain=output comment="accept everything to non internet" out-interface=!ether1-WAN
add chain=output comment="accept everything"
add action=drop chain=forward comment="drop invalid connections" connection-state=invalid
add chain=forward comment="allow already established connections" connection-state=established
add chain=forward comment="allow related connections" connection-state=related
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=input comment="drop everything else"
/ip firewall nat
add action=masquerade chain=srcnat comment=wan src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=ether1-WAN

Mikrotik C

/ip firewall filter
add chain=input comment="accept remote Winbox" in-interface=pppoe-out1 port=8291 protocol=tcp
add chain=output comment="accept everything to internet" out-interface=ether1-WAN
add chain=output comment="accept everything to non internet" out-interface=!ether1-WAN
add chain=output comment="accept everything"
add action=drop chain=forward comment="drop invalid connections" connection-state=invalid
add chain=forward comment="allow already established connections" connection-state=established
add chain=forward comment="allow related connections" connection-state=related
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
/ip firewall nat
add action=masquerade chain=srcnat comment=wan src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=pppoe-out1

Input правило помогло. Пинг проходит до маршрутизатора, однако в сеть (192.168.0.0) пинг не проходить.

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

alegzz: Что показать?

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Константин Антонов:

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.73.***.**              0
 1 ADC  10.73.***.**/32    46.147.**.***   pppoe-out1                0
 2 A S  192.168.0.0/24                     192.168.200.1             1
 3 ADC  192.168.1.0/24     192.168.1.1     rov.local.bridge          0
 4 ADC  192.168.200.1/32   192.168.200.2   pptp-out-msk              0

Timeout...

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

alegzz:

если с 192.168.200.1 успешный пинг до 192.168.200.2 (соответственно и наоборот), то вы что-то скрываете, тк из вышеприведенной схемы все ок

От Mikrotik A (192.168.200.1) до Mikrotik B (192.168.200.2) пинг есть, а наоборот нет.

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

alegzz: Могу конечно. Мне важно не то что бы вы мне сказали как сделать, но и понять самому как это все работает и как корректно все это настраивать. Для начала, я решил настроить все на МТ А - МТ В. Если вы настаиваете, то вот:

Mikrotik A VPN PPTP Server.
Конфигурация:
LAN: 192.168.0.0/24
PPP>Interface>PPTP Server Binding:
user1 (для примера)
PPP>Secrets:
Name: user1
Local adress: 192.168.200.1
Remote adress: 192.168.200.2

b>PPP>Interface>PPTP Server Binding:
user2 (для примера)
PPP>Secrets:
Name: user2
Local adress: 192.168.200.1
Remote adress: 192.168.200.3

Добавлена маршрутизация:
Для Mikrotik B
IP>Routes:
Dst.Adress: 192.168.1.0/24
Gateway: 192.168.200.2

Для Mikrotik C
IP>Routes:
Dst.Adress: 192.168.2.0/24
Gateway: 192.168.200.3

Mikrotik B VPN PPTP Client.
Конфигурация такая:
LAN: 192.168.1.0/24
PPP>Interface>PPTP Client:
user1
Добавлена маршрутизация:
IP>Routes:
Dst.Adress: 192.168.0.0/24
Gateway: 192.168.200.1

Mikrotik C VPN PPTP Client.
Конфигурация такая:
LAN: 192.168.2.0/24
PPP>Interface>PPTP Client:
user2
Добавлена маршрутизация:
IP>Routes:
Dst.Adress: 192.168.0.0/24
Gateway: 192.168.200.1

Конфигурация Firewall идентична на всех трех устройствах, за исключением Mikrotik A, где разрешены PPTP.

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

alegzz:
Прошу прощения, скопировал и не поправил... это настройки с третьего маршрутизатора (Mikrotik C), у него конечно своя подсеть 192.168.2.0/24. Он так же будет подключаться как клиент к МТ А. Я решил его пока не упоминать что бы попробовать пока на связке МТ А - МТ В.

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Константин Антонов:

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.73.***.***             0
 1 ADC  10.73.***.****/32    46.147.***.***   pppoe-out1              0
 2 A S  192.168.0.0/24                     pptp-out-msk              1
 3 ADC  192.168.1.0/24     192.168.1.1     rov.local.bridge          0
 4 ADC  192.168.200.1/32   192.168.200.2   pptp-out-msk              0

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Теперь нет. Вернее есть, но отключено. Сейчас так:
Mikrotik A:
/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade disabled=yes out-interface=ether1-WAN
add action=masquerade chain=srcnat comment=wan src-address=192.168.0.0/24

Mikrotik B:
/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade disabled=yes \
out-interface=pppoe-out1
add action=masquerade chain=srcnat comment=wan src-address=192.168.2.0/24

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Александр Корюкин: ОК, сделал как вы сказали, по прежнему timeout...

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

proxy-arp выставлен на локальных бриджах. Этого должно быть достаточно, вроде.

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Александр Корюкин:

add action=masquerade chain=srcnat comment=Masquerade out-interface=pppoe-out1

А вот это зачем?

Это нат для выхода в интернет, если я все правильно понял.

Т.е. остальные правила НАТ не нужны?

PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

Александр Корюкин:
Mikrotik B
/ip firewall nat
add action=masquerade chain=srcnat comment=Masquerade out-interface=pppoe-out1
add action=masquerade chain=srcnat src-address=192.168.0.0/24

Теперь так выглядит. Пинга до сети 192.168.0.0 нет..
А если IP адреса внутри туннеля ввести в подсеть 192.168.0.0/24?