Добрый день. Когда-то давно настраивал PPTP на микротике и всё получилось легко и быстро. Но было это давно, а на этот раз не получается.
Цель - простая. На RB750UP поднимается PPTP-сервер. К нему подключаются клиенты с винды или андроида. Клиенты должны ходить в интернет через подключение этого микротика, а также видеть локальную сеть. Интернет в микротик приходит через ethernet-кабель. Подключение через pppoe настроено и поднято. У данного подключения есть статический полноценный айпи. Провайдер не устанавливает никаких ограничений.
Делаю всё по инструкциям, которые в первых ссылках в яндексе по запросу "настройка PPTP на микротик". В файрволле добавлен порт 1723 и GRE протокол, подняты выше всех запрещающих правил. In. Interface выставлен ether1 для обоих пунктов. Клиенты ни в какую не могут подключиться к сети. При этом, аналогичным образом проброшенный порт для VNC viewer (только forward вместо input, разумеется) прекрасно работает и я могу зайти на комп в локалке через VNC.
Стоит отключить правило файрволла 'drop all not coming from LAN', как клиенты сразу же могут подключиться, значит настройки PPTP правильные. Ни в одной инструкции ничего не сказано по поводу этого правила. Остальные запрещающие правила не влияют на возможность подключиться. Честно гуглил и рылся, не нашёл какого-либо внятного примера для аналогичной ситуации.
В логах попытки коннекта при включенном правиле никак не отображаются вообще. При выключенном - всё видно, подключение, отключение. Версия ПО firmware type ar7240, 2.38.
Собственно вопрос: как "протянуть" клиентов PPTP в обход этого правила? Если оставить его отключенным, то в логе сразу появляются левые попытки подключиться к роутеру. Как правильно настроить файрволл для моего случая?
PPTP не проходит файрволл RB750UP
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
shaihkritzer
- Сообщения: 9
- Зарегистрирован: 15 май 2019, 20:56
- Контактная информация:
-
Erik_U
- Сообщения: 1995
- Зарегистрирован: 09 июл 2014, 12:33
В разрешающем PPTP правиле должно быть:
Chain - Input
Dst. Address - IP адрес вашего Ether1 (который ему оператор дает, который видно в IP/Adddress)
Protocol - 6 (TCP)
Dst. Port - 1723
In. Interface - Ether1
Action - Accept
Если интернет действительно приходит просто по Ether1 (без наложенных на него клиентов).
Правило про GRE лишнее.
Chain - Input
Dst. Address - IP адрес вашего Ether1 (который ему оператор дает, который видно в IP/Adddress)
Protocol - 6 (TCP)
Dst. Port - 1723
In. Interface - Ether1
Action - Accept
Если интернет действительно приходит просто по Ether1 (без наложенных на него клиентов).
Правило про GRE лишнее.
-
Erik_U
- Сообщения: 1995
- Зарегистрирован: 09 июл 2014, 12:33
А, вот ваша проблема.
Поэтому
В разрешающем PPTP правиле должно быть:
Chain - Input
Dst. Address - IP адрес вашего pppoe (который ему оператор дает, который видно в IP/Adddress)
Protocol - 6 (TCP)
Dst. Port - 1723
In. Interface - pppoe (как у вам этот интерфейс называется)
Action - Accept
В разрешающем правиле нужно указывать не Ether1, а pppoe. Это другой интерфейс.shaihkritzer писал(а): ↑15 май 2019, 21:24 Интернет в микротик приходит через ethernet-кабель. Подключение через pppoe настроено и поднято. У данного подключения есть статический полноценный айпи. Провайдер не устанавливает никаких ограничений.
Поэтому
В разрешающем PPTP правиле должно быть:
Chain - Input
Dst. Address - IP адрес вашего pppoe (который ему оператор дает, который видно в IP/Adddress)
Protocol - 6 (TCP)
Dst. Port - 1723
In. Interface - pppoe (как у вам этот интерфейс называется)
Action - Accept
-
shaihkritzer
- Сообщения: 9
- Зарегистрирован: 15 май 2019, 20:56
- Контактная информация:
Dst. Address не был указан, но его добавление ничего не даёт, равно как и отключение правила для GRE, равно как и изменение интерфейса. покуда включено правило "drop all not coming from LAN" - подключение не проходит. стоит его отключить - можно подключиться независимо от наличия Dst. Address, независимо от активности правила GRE, независимо от выбранного интерфейса в правиле 1723 порта (работает и с ether1, и с pppoe-out1, и с all ppp, и даже с bridge-local).
-
aleksandr.Fg
- Сообщения: 1
- Зарегистрирован: 03 мар 2021, 20:15
Мне помогло снять галку с new в правилах firewall для 1723 порта и gre, вкладка general, пункт Connection state. После этого при включенном правиле input !LAN=drop PPTP клиенты смогли подключаться.