Доброго времени суток.
Помогите разобраться с проблемой. Не могу поднять сервер vpn на Микротик. Пробовал и L2TP и PPTP сервера - безрезультатно. Клиент VPN отвечает: "Сервер не доступен". Пинги к микроту приходят. Настройки адреса сервера на клиентах правильные проверено не раз. Не могу понять получает микротик запросы от клиентов или не отвечает на них. Пробовал подключаться без правил в фаерволе результат тот же. Профиль, пользователь созданы. Сервер включен.
Модель устройства 951Ui-2nD версия ROS 6.40.3
Вот настройки фаервола:
Не удается поднять VPN сервер
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну просто нет слов...хочется сругануться...
Вы показали 7 правил файрвола, а вопрос касается ВПН,
значит я наивно ждал увидеть под сполером хотя бы
какие то настройки ВПН, а где они?
Нужно:
1) правила файрвола отключить и попробовать.
2) показать конфиг (как - читаем 5й пункт выше красным)
3) описать свою ситуацию, куда воткнут провайдер, тип подключения, адресация и так далее...
Вы показали 7 правил файрвола, а вопрос касается ВПН,
значит я наивно ждал увидеть под сполером хотя бы
какие то настройки ВПН, а где они?
Нужно:
1) правила файрвола отключить и попробовать.
2) показать конфиг (как - читаем 5й пункт выше красным)
3) описать свою ситуацию, куда воткнут провайдер, тип подключения, адресация и так далее...
-
pervomi
- Сообщения: 0
- Зарегистрирован: 10 дек 2017, 13:33
1) Да отключал. Об этом я еще в первом посте писал.
2) Вот конфиг:
3) Я извеняюсь, но я же в первом посте писал о проблеме. То ли микротик не отвечает на запросы, то ли запросы к нему не приходят. Я склонен думать, что первый вариант.
Кабель провайдера подключается к первому порту (ether1). Провайдер билайн, технология подключения IPoE. Адресация примитивная. dhcp клиент - получает адрес от провайдера. Локальная сеть с своим DHCP сервером. Между ними настроен NAT. Сети типа - 192.168.10.* использую как тестовые.
С данным девайсом недавно стал заниматься, поэтому конфигурация минимальная. Дефолтные настройки не применял. Настраивал с нуля.
2) Вот конфиг:
3) Я извеняюсь, но я же в первом посте писал о проблеме. То ли микротик не отвечает на запросы, то ли запросы к нему не приходят. Я склонен думать, что первый вариант.
Кабель провайдера подключается к первому порту (ether1). Провайдер билайн, технология подключения IPoE. Адресация примитивная. dhcp клиент - получает адрес от провайдера. Локальная сеть с своим DHCP сервером. Между ними настроен NAT. Сети типа - 192.168.10.* использую как тестовые.
С данным девайсом недавно стал заниматься, поэтому конфигурация минимальная. Дефолтные настройки не применял. Настраивал с нуля.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) я не увидел адреса локального микротика, который необходимо задать бриджу?
2) Вы не до конца (не полностью) настроили DHCP сервер (так же не указано какую сеть анонсировать,
шлюз, маску, домен и так далее).
3) При создании ВПН подключения - лучше использовать отдельную сеть (адресацию) относительно
локальной адресации. Грубо говоря у Вас должна быть локальная сеть и ВПН-овская сеть.
4) настройка ВПН профиля = зачем Вы включили MPLS ? А шифрование я бы поставил по запросу лишь
5) Не совсем понятно что за конфигурации с USB портами сделаны?
6) маленький совет: на счёт вифи - ну зачем Вы все band'ы юзаете, оставьте N-only, надо будет
измените...не надо старые протоколы которые отбирают скорость = их использовать.
7) НАТа я не увидел, но с натом часто делают его всё для всех, сложно сейчас что-то
посоветовать явное и однозначное, я всё же часто рекомендую оформлять свои локальные сети
в виде адрес-листа, и только этому адрес-листу явно через явно указанный внешний интерфейс и выходить.
Это ещё и обезопасит в целом.
НУ и главный совет:
попробуйте даже будучи в локальной сети, с компа подключиться на роутер по ВПН-протоколам и посмотреть
Если с локальной сети заработает, то уже часть задачи понятно будет, что проблема либо со стороны провайдера,
либо файрвол, либо ещё что-то связанно с внешкой.
Опять же, я просил уточнить тип подключения, я по конфигу понял что статика, но другой вопрос: адрес реальный или
нет????
2) Вы не до конца (не полностью) настроили DHCP сервер (так же не указано какую сеть анонсировать,
шлюз, маску, домен и так далее).
3) При создании ВПН подключения - лучше использовать отдельную сеть (адресацию) относительно
локальной адресации. Грубо говоря у Вас должна быть локальная сеть и ВПН-овская сеть.
4) настройка ВПН профиля = зачем Вы включили MPLS ? А шифрование я бы поставил по запросу лишь
5) Не совсем понятно что за конфигурации с USB портами сделаны?
6) маленький совет: на счёт вифи - ну зачем Вы все band'ы юзаете, оставьте N-only, надо будет
измените...не надо старые протоколы которые отбирают скорость = их использовать.
7) НАТа я не увидел, но с натом часто делают его всё для всех, сложно сейчас что-то
посоветовать явное и однозначное, я всё же часто рекомендую оформлять свои локальные сети
в виде адрес-листа, и только этому адрес-листу явно через явно указанный внешний интерфейс и выходить.
Это ещё и обезопасит в целом.
НУ и главный совет:
попробуйте даже будучи в локальной сети, с компа подключиться на роутер по ВПН-протоколам и посмотреть
Если с локальной сети заработает, то уже часть задачи понятно будет, что проблема либо со стороны провайдера,
либо файрвол, либо ещё что-то связанно с внешкой.
Опять же, я просил уточнить тип подключения, я по конфигу понял что статика, но другой вопрос: адрес реальный или
нет????
-
pervomi
- Сообщения: 0
- Зарегистрирован: 10 дек 2017, 13:33
Доброго времени суторк.
1 и 2) Все эти параметры настроены настроены. Похоже в export не вошли. По работе DHCP в локальной сети нареканий нет, все работает четко. Вот параметры адресации:
3) Это я уже пробовал. И в своей сети адреса назначал, и в тестовой даже пул адресов настраивал. По идеи клиент при подключении сообщил бы о ошибке получения адреса, а тут жалуется что сервер не доступен.
4) Поправил как рекомендовали. Настройку смотрел с разных сайтов, тестировал.
5)usb-модемы подключал. Не обращайте внимание.
6)Использую старый ноутбук, он только по b может работать.
7)В данный момент скорее всего стоит все для всех. С микротиком пока на Вы))). Поэтому точно не скажу. Вот единственное правило NAT:
Буду благодарен за любые статьи по настройке NAT.
Выполнил Ваши рекомендации вот результат:
1) Из локалки VPN подымается.
2)Из внешки подымается при следующих условиях:
-если отключено правило NAT,
-если отключено последнее правило Firewall.
1 и 2) Все эти параметры настроены настроены. Похоже в export не вошли. По работе DHCP в локальной сети нареканий нет, все работает четко. Вот параметры адресации:
3) Это я уже пробовал. И в своей сети адреса назначал, и в тестовой даже пул адресов настраивал. По идеи клиент при подключении сообщил бы о ошибке получения адреса, а тут жалуется что сервер не доступен.
4) Поправил как рекомендовали. Настройку смотрел с разных сайтов, тестировал.
5)usb-модемы подключал. Не обращайте внимание.
6)Использую старый ноутбук, он только по b может работать.
7)В данный момент скорее всего стоит все для всех. С микротиком пока на Вы))). Поэтому точно не скажу. Вот единственное правило NAT:
Буду благодарен за любые статьи по настройке NAT.
Выполнил Ваши рекомендации вот результат:
1) Из локалки VPN подымается.
2)Из внешки подымается при следующих условиях:
-если отключено правило NAT,
-если отключено последнее правило Firewall.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
pervomi писал(а):Доброго времени суторк.
1 и 2) Все эти параметры настроены настроены. Похоже в export не вошли. По работе DHCP в локальной сети нареканий нет, все работает четко. Вот параметры адресации:
Я имел ввиду другие данные, а именно примерно такова вида:
Код: Выделить всё
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24 ntp-server=192.168.1.1
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1 netmask=24 ntp-server=192.168.2.1
На будущее, лучше описать свои сети в виде адрес-листа(переменной) и уже
этой переменной только и разрешать работать в НАТ
Пример (тут НАТ разрешён адрес-листу LocalNet):
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=LocalNet
pervomi писал(а):Выполнил Ваши рекомендации вот результат:
1) Из локалки VPN подымается.
2)Из внешки подымается при следующих условиях:
-если отключено правило NAT,
А это в целом странно, НАТ поднятию ВПНа не должен мешать.
pervomi писал(а):-если отключено последнее правило Firewall.
Берём Ваше правило последнее:
Код: Выделить всё
7 ;;;
chain=input action=drop in-interface=ether1 log=no log-prefix=""
И что тут мы видим:
убивать всё что пришло на роутер, ну и как Вы думаете, будет что-то работать?
Сначала "открывают" двери для хороших, то есть открываем для L2TP или для PPTP
протоколов и открываем лучше не по сервису, а по номерам портов,
(то есть разрешаем порты 1701,1723, ну и ещё ряд).
Поэтому правило №7 очень жестокое, и оно более-менее может быть внизу,
лишь предварительно описав явные разрешения.
И опять же, подтверждается мой тезис с прошлого сообщения:
если с локалки работает ВПН, то проблема, и я там
перечислял, в том числе и файрвол...вот и нашли проблему.