Добрый день гуру mikrotik'ов, помогите пожалуйста понять в чём я косячу.
Имеем две точки с доступом к интернету и 2 микротика на этих точках. Между роутерами поднят pptp-тонель и дописаны в роутеры маршруты для доступа к внутренним сетям за ними. Сеть за роутером 1 (сервер pptp) - 192.168.1.0/24, за вторым (клиент pptp) - 192.168.0.0/24. Все машины взаимно пингуются, доступ к web-серверам внутри обеих сетей есть с любого компьютера, сессии radminа на любой компьютер поднимаются успешно. Проблема с RDP сессиями - из сети за роутером 1 все клиенты успешно соединяются с RDP-серверами, стоящими за роутером 2 по локальным адресам, а вот в обратную сторону подключиться не удаётся. При попытке подключения из сети за pptp клиентом к RDP-серверу в сети за pptp-сервером примерно минуту пытается подключиться и выдаёт "Не удаётся подключиться к удалённому компьютеру". В фаерволе все правила отключены. Не понимаю как часть сервисов может проходить а часть нет - по идее если работает radmin на том же коме значит доступ к компьютеру есть. Если отключить pptp и подключаться к RDP через проброс порта - подключение отлично устанавливается.
Не проходит RDP через PPTP в одну сторону.
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
benzol45
- Сообщения: 3
- Зарегистрирован: 01 ноя 2013, 09:03
vqd писал(а):Выкладывайте конфиг, чего годать то?
Без проблем. подскажите только пожалуйста какие конфиги нужны, а то все конфы скринить с обоих роутеров боюсь очень много получится.
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
benzol45
- Сообщения: 3
- Зарегистрирован: 01 ноя 2013, 09:03
ДИКО извиняюсь.
Нашёл ошибку. Моя невнимательность - в сети за клиентом в правиле для проброса порта не стоял входящий инетрфейс и роутер честно ВЕСЬ траффик по RDP заворачивал по этому правилу в том числе и исходящий из местной сети.
Спасибо за поддержку и извиняюсь за беспокойство
Нашёл ошибку. Моя невнимательность - в сети за клиентом в правиле для проброса порта не стоял входящий инетрфейс и роутер честно ВЕСЬ траффик по RDP заворачивал по этому правилу в том числе и исходящий из местной сети.
Спасибо за поддержку и извиняюсь за беспокойство
-
vqd
- Модератор
- Сообщения: 3600
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Честно горя первое на что подумал т.к. пару раз сам по запарке утыкался в подобное 
Есть интересная задача и бюджет? http://mikrotik.site
-
CepeLLlka
- Сообщения: 9
- Зарегистрирован: 09 сен 2013, 14:20
Дабы не плодить новых тем..
Микротик - RB20011UAS
Настроил PPTP-server, подключился с работы..
Пинги идут.. больше ничего не работает.. ни расшаренные папки, ни RDP.. ничего..
Вот конфиг FireWall, я думаю проблема в нём.. потому что когда вырубаю все правила.. всё работает..
0 ;;; Allow ping
chain=input action=accept protocol=icmp
1 chain=forward action=accept protocol=icmp
2 ;;; Allow Remote Access
chain=input action=accept protocol=tcp dst-port=80
3 chain=input action=accept protocol=tcp dst-port=8291
4 chain=input action=accept protocol=tcp dst-port=21
5 chain=input action=accept protocol=tcp dst-port=22
6 ;;; PPTP_VPN
chain=input action=accept protocol=tcp dst-port=1723
7 chain=input action=accept protocol=gre
8 chain=output action=accept protocol=gre
9 ;;; Accept established connections
chain=input action=accept connection-state=established
10 chain=forward action=accept connection-state=established
11 ;;; Accept related connections
chain=input action=accept connection-state=related
12 chain=forward action=accept connection-state=related
13 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid
14 chain=forward action=drop connection-state=invalid
15 ;;; Allow UDP
chain=input action=accept protocol=udp
16 chain=forward action=accept protocol=udp
17 ;;; Acces to internet from local network
chain=forward action=accept src-address=192.168.88.0/24
in-interface=bridge_local
18 ;;; All other drop
chain=input action=drop
19 chain=forward action=drop
Протокол GRE Открыл.. по примеру что нагуглил в интернете.. всё равно не помогает..
С Микротиком знаком второй день.. подскажите пожалуйста..
Микротик - RB20011UAS
Настроил PPTP-server, подключился с работы..
Пинги идут.. больше ничего не работает.. ни расшаренные папки, ни RDP.. ничего..
Вот конфиг FireWall, я думаю проблема в нём.. потому что когда вырубаю все правила.. всё работает..
0 ;;; Allow ping
chain=input action=accept protocol=icmp
1 chain=forward action=accept protocol=icmp
2 ;;; Allow Remote Access
chain=input action=accept protocol=tcp dst-port=80
3 chain=input action=accept protocol=tcp dst-port=8291
4 chain=input action=accept protocol=tcp dst-port=21
5 chain=input action=accept protocol=tcp dst-port=22
6 ;;; PPTP_VPN
chain=input action=accept protocol=tcp dst-port=1723
7 chain=input action=accept protocol=gre
8 chain=output action=accept protocol=gre
9 ;;; Accept established connections
chain=input action=accept connection-state=established
10 chain=forward action=accept connection-state=established
11 ;;; Accept related connections
chain=input action=accept connection-state=related
12 chain=forward action=accept connection-state=related
13 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid
14 chain=forward action=drop connection-state=invalid
15 ;;; Allow UDP
chain=input action=accept protocol=udp
16 chain=forward action=accept protocol=udp
17 ;;; Acces to internet from local network
chain=forward action=accept src-address=192.168.88.0/24
in-interface=bridge_local
18 ;;; All other drop
chain=input action=drop
19 chain=forward action=drop
Протокол GRE Открыл.. по примеру что нагуглил в интернете.. всё равно не помогает..
С Микротиком знаком второй день.. подскажите пожалуйста..
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Я могу ошибаться, но в 6,7 и 8 правиле вы разрешили input, output - это разрешено роутеру общаться с клиентом, а для локальной сети за ним правил я не вижу, оно всё дропается.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
CepeLLlka
- Сообщения: 9
- Зарегистрирован: 09 сен 2013, 14:20
Ммм... я этого не сделал, по причине того, что как мне кажется, мы находимся в одной подсети..
Клиент получает IP из пула 192.168.88.100-192.168.88.150, А IP машины за роутером - 192.168.88.254
Если они в одной подсети.. то что я должен написать?
И кстати, разве то, что не указано источника(src-address) и (dst-address) не значит что пакеты будут ходить по этому протоколу (47) from any to any??
Или нужно поставить ещё правило для GRE - С цепочкой - Forward?
Заранее извиняюсь... Возможно я ошибаюсь и чего-то не знаю.. поясните пожалуйста, для всеобщего развития..
Клиент получает IP из пула 192.168.88.100-192.168.88.150, А IP машины за роутером - 192.168.88.254
Если они в одной подсети.. то что я должен написать?
И кстати, разве то, что не указано источника(src-address) и (dst-address) не значит что пакеты будут ходить по этому протоколу (47) from any to any??
Или нужно поставить ещё правило для GRE - С цепочкой - Forward?
Заранее извиняюсь... Возможно я ошибаюсь и чего-то не знаю.. поясните пожалуйста, для всеобщего развития..
-
podarok66
- Модератор
- Сообщения: 4402
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Ну мне же не видно, что у Вас и в какой сети. Каков вопрос, таков ответ...
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...