Здравствуйте!
Существует PPPTP сервер на Mikrotik с подсетью 192.168.0.0/24 к нему присоединены две подсети:
192.168.8.0/24 (поднятый интерфейс ppptp8, который соединяется через тунель 192.168.5.1 (сервер) и 192.168.5.2 (клиент))
и 192.168.9.0/24 (поднятый интерфейс ppptp9, который соединяется через тунель 192.168.7.1 (сервер) и 192.168.5.7 (клиент)).
Задача компьютеры из подсети 192.168.9.0/24 которые идут в интернет через ppptp сервер перенаправлять в интернет через подсеть 192.168.8.0 (т.е. череp интерфейс ppptp8).
Как это реализовать?
Хотел сделать также как я сделал для определенных машин из подсети 192.168.0.0 ( пометил IP->Firewall->Mangle определенный пул ip адресов, а потом в IP->Routes добавил маршрут где адрес назначения 0.0.0.0/0, указал интефейс тунеля сети 192.168.9.0/24 (pptp9) и указал Routing Mark, который пометил в Mangle). Но тут так не получается...
Направление трафика подсетей PPTP сервера на определенный интерфейс
-
xsyava01
- Сообщения: 4
- Зарегистрирован: 05 июл 2025, 11:09
-
karton
- Сообщения: 81
- Зарегистрирован: 21 мар 2025, 06:34
Что за маршрут до 0.0.0.0/24, может имели ввиду 0.0.0.0/0?
-
xsyava01
- Сообщения: 4
- Зарегистрирован: 05 июл 2025, 11:09
Да. вы правы, я ошибся. Имеется ввиду выход в интернет 0.0.0.0/0. Исправлю в начальном сообщении.
-
karton
- Сообщения: 81
- Зарегистрирован: 21 мар 2025, 06:34
Без конфигурации тяжело понять, может необходимо ещё NAT добавить, а можете ошиблись где-то, скиньте конфиг
-
xsyava01
- Сообщения: 4
- Зарегистрирован: 05 июл 2025, 11:09
Код: Выделить всё
# jul/18/2025 14:21:49 by RouterOS 6.49.18
# software id = Z4HF-WP8I
#
# model = RB750Gr3
# serial number = 8AFF0976C8BE
/interface bridge
add arp=proxy-arp name=bridge1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=*use-peer-dns=yes user=*
/interface pptp-server
add name=pptp-tunel user=Business
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec policy group
add name=IPSecEK_group
/ip ipsec profile
add name=IPSecEK
/ip ipsec peer
add address=0.0.0.0/24 exchange-mode=ike2 name=IPSecEK-peer passive=yes profile=IPSecEK
/ip ipsec proposal
add name=IPSecEK
/ip pool
add name=dhcp ranges=192.168.0.50-192.168.0.100
add name=IPSec ranges=192.168.0.101-192.168.0.120
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 lease-time=8h name=dhcp1
/ip ipsec mode-config
add address-pool=IPSec address-prefix-length=32 name=IPSecEK-cfg split-include=192.168.0.0/24
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=all
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge1 list=LAN
/interface pptp-server server
set enabled=yes max-mru=1480 max-mtu=1480
/ip address
add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server lease
add address=192.168.0.54 client-id=1:70:62:b8:62:6b:c0 mac-address=70:62:B8:62:6B:C0 server=dhcp1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8
/ip firewall filter
add action=drop chain=input comment="drop echo request" disabled=yes icmp-options=8:0 protocol=icmp
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=accept chain=input connection-state=established,related disabled=yes in-interface=bridge1 src-address-list=""
add action=accept chain=input comment=VPN dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="VPN IPSec" dst-port=500,4500 in-interface=pppoe-out1 protocol=udp
add action=accept chain=forward in-interface=pppoe-out1 ipsec-policy=in,ipsec
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment=Syn-Flood limit=1k,32:packet protocol=tcp psd=21,3s,3,1 tcp-flags=syn
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
add action=drop chain=input comment="drop all" in-interface=pppoe-out1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related routing-mark=main
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=accept chain=forward disabled=yes port=445 protocol=tcp
add action=accept chain=forward disabled=yes port=445 protocol=udp
add action=accept chain=forward disabled=yes port=137 protocol=tcp
add action=accept chain=forward disabled=yes port=137 protocol=udp
add action=accept chain=forward disabled=yes port=138 protocol=tcp
add action=accept chain=forward disabled=yes port=138 protocol=udp
add action=accept chain=forward disabled=yes port=139 protocol=tcp
add action=accept chain=forward disabled=yes port=139 protocol=udp
add action=accept chain=forward comment="Limited VPN User" dst-address=192.168.8.103 src-address=192.168.0.243
add action=accept chain=forward dst-address=192.168.8.102 src-address=192.168.0.243
add action=accept chain=forward dst-address=192.168.10.132 src-address=192.168.0.245
add action=accept chain=forward dst-address=192.168.10.141 src-address=192.168.0.245
add action=accept chain=forward dst-address=192.168.10.142 src-address=192.168.0.245
add action=accept chain=forward dst-address=192.168.10.151 src-address=192.168.0.245
add action=accept chain=forward dst-address=192.168.10.133 src-address=192.168.0.245
add action=accept chain=forward dst-address=192.168.13.14 src-address=192.168.0.244
add action=accept chain=forward disabled=yes dst-address=192.168.1.16 src-address=192.168.0.244
add action=accept chain=forward disabled=yes dst-address=192.168.1.17 src-address=192.168.0.244
add action=accept chain=forward disabled=yes dst-address=192.168.1.19 src-address=192.168.0.244
add action=reject chain=forward reject-with=icmp-network-unreachable src-address=192.168.0.244
add action=reject chain=forward reject-with=icmp-network-unreachable src-address=192.168.0.243
add action=reject chain=forward reject-with=icmp-network-unreachable src-address=192.168.0.245
add action=drop chain=forward disabled=yes dst-address=192.168.0.0/24 src-address=192.168.0.241
add action=drop chain=forward disabled=yes dst-address=192.168.8.0/24 src-address=192.168.0.241
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=Razvil passthrough=yes src-address=192.168.0.190-192.168.0.199
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1 src-address=192.168.13.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment="\CA\E0\EC\E5\F0\E0" dst-port=9900 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.0.33 to-ports=9900
add action=dst-nat chain=dstnat dst-address=46.147.242.79 dst-port=9900 protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.33
add action=masquerade chain=srcnat dst-address=192.168.0.33 dst-port=9900 protocol=tcp src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment="DS Disk Station" dst-port=6690 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.0.33 to-ports=6690
add action=dst-nat chain=dstnat dst-address=46.147.242.79 dst-port=6690 protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.33
add action=masquerade chain=srcnat dst-address=192.168.0.33 dst-port=6690 protocol=tcp src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment="Web Server and DSPhoto" dst-port=80,8080 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.0.33 to-ports=80
add action=dst-nat chain=dstnat dst-address=46.147.242.79 dst-port=80,8080 protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.33
add action=masquerade chain=srcnat dst-address=192.168.0.33 dst-port=80,8080 protocol=tcp src-address=192.168.0.0/24
add action=dst-nat chain=dstnat dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.0.33 to-ports=443
add action=dst-nat chain=dstnat dst-address=46.147.242.79 dst-port=443 protocol=tcp src-address=192.168.0.0/24 to-addresses=192.168.0.33
add action=masquerade chain=srcnat dst-address=192.168.0.33 dst-port=443 protocol=tcp src-address=192.168.0.0/24
add action=dst-nat chain=dstnat comment=RemoteDesktop dst-port=3389 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.8.5 to-ports=3389
add action=dst-nat chain=dstnat comment=Segnetics dst-port=5900 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.8.11 to-ports=5900
/ip firewall raw
add action=drop chain=prerouting comment="dropping port scanners" src-address-list="port scanners"
/ip firewall service-port
set ftp disabled=yes
/ip ipsec identity
add auth-method=digital-signature certificate=autohelper.net generate-policy=port-strict mode-config=IPSecEK-cfg peer=IPSecEK-peer policy-template-group=IPSecEK_group
/ip ipsec policy
add dst-address=192.168.0.0/24 group=IPSecEK_group proposal=IPSecEK src-address=0.0.0.0/0 template=yes
/ip route
add distance=1 gateway=pptp-tunel routing-mark=Razvil
add distance=1 dst-address=192.168.8.0/24 gateway=192.168.5.2
add distance=1 dst-address=192.168.9.0/24 gateway=192.168.7.2
add distance=1 dst-address=192.168.10.0/24 gateway=192.168.3.2
add distance=1 dst-address=192.168.11.0/24 gateway=192.168.6.2
add distance=1 dst-address=192.168.13.0/24 gateway=192.168.0.54
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=2472
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/24,192.168.8.0/24
set api-ssl disabled=yes
/ppp secret
add local-address=192.168.5.1 name=*
add local-address=192.168.0.1 name=*
add local-address=192.168.0.1 name=*
add local-address=192.168.6.1 name=*
add local-address=192.168.7.1 name=*
add local-address=192.168.0.1 name=*
add local-address=192.168.3.1 name=*
/system clock
set time-zone-name=Europe/Moscow
/tool sniffer
set filter-interface=pptp-tunel filter-ip-address=192.168.8.203/32 filter-ip-protocol=udp filter-port=sip filter-stream=yes streaming-enabled=yes streaming-server=192.168.0.1-
xsyava01
- Сообщения: 4
- Зарегистрирован: 05 июл 2025, 11:09
Не совсем понимаю правда зачем лог, ведь тут еще не добавлен маршрут который требуется. Я думаю что мой первый пост нужно было сделать без последнего абзаца, чтобы не вносить путаницу.
-
Erik_U
- Сообщения: 2017
- Зарегистрирован: 09 июл 2014, 12:33
На микротике 9.0 нужно для PPTP, соединяющий офисы, сделать отдельный маршрут (чтобы сам PPTP клиент отработал через локальный интернет).
А на самом PPTP интерфейсе поставить галочку про установление дефолтного маршрута.
Тогда все устремиться внутрь PPTP.
На центральном микротике трафик с 9.0 покрасить, и сделать для него другую таблицу маршрутизации, с дефолтом в сторону 8.0
На 8.0 должен быть маршрут в сторону 9.0, и если поднят НАТ, то в нем нужно не забыть сделать разрешение для сети 9.0.
А на самом PPTP интерфейсе поставить галочку про установление дефолтного маршрута.
Тогда все устремиться внутрь PPTP.
На центральном микротике трафик с 9.0 покрасить, и сделать для него другую таблицу маршрутизации, с дефолтом в сторону 8.0
На 8.0 должен быть маршрут в сторону 9.0, и если поднят НАТ, то в нем нужно не забыть сделать разрешение для сети 9.0.