VPN не дает IP

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
gmx
Модератор
Сообщения: 3416
Зарегистрирован: 01 окт 2012, 14:48

Компьютер, с которого вы подключаетесь должен быть физически в другой подсети, отличной от сети VPN.

Нельзя подключаться, если IP у компа 192.168.1.5, например, и адрес в VPN сети будет, например, 192.168.1.15. И уж тем более ничего не получиться, если шлюз в локальной сети в сети VPN совпадают адресами. Точнее подключится можно, но корректно работать это не будет.

Вы картинки мои упорно игнорируете. Разве на них сеть 192.168.1.0/24? Ведь я намеренно привел пример где подсеть другая.
У меня дома подсеть 192.168.220.0/24, а VPN все 192.168.70.0/24 и дальше. У меня их не так и много, семь штук, которые я постоянно контролирую.


Вернуться к началу
Deni555
Сообщения: 11
Зарегистрирован: 31 май 2014, 00:34

gmx писал(а):Компьютер, с которого вы подключаетесь должен быть физически в другой подсети, отличной от сети VPN.


Сделал по Вашему совету разные подсети, сначала не заработало. Потом путем плясок с бубном понял одну фичу: в IE и mozila адрес внутри локалки за ВПН http://192.168.1.* не работает, //192.168.1.* работает и само переходит на http://. НО это все работает, только если разные подсети. Спасибо за подсказку, форум действительно помогает искать косяки.


Вернуться к началу
Аватара пользователя
JoeRee
Сообщения: 27
Зарегистрирован: 22 мар 2014, 05:28
Откуда: СПБ

У меня непонятки по этой же теме:
- На работе роутер RB 951-2n;
Две локалки:
Изображение
Админ локалки LAN сообщил, что маска в LAN должна быть 21 (т.е. 255.255.248.0), а в WAN не должно быть гейта совсем. Как это сделать на Mikrotik'е, не знаю - он требует, чтобы гейт был, поэтому стоит по умолчанию 10.36.59.254.
Задача: заходить в LAN из WAN через VPN. Создал PPTP, могу заходит на роутер, а дальше никак.
Один роут создан автоматом: 10.219.8.0/21 -> bridge-local.
После того, как я дописал: 10.219.0.0/16 -> bridge-local, из самого роутера стали пинговаться ресурсы LAN.
Из WAN через PPTP так ничего и не добился - пинга ресурсов 10.219.Х.Х нет:
 "Пример пинга..."
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Ответ от 10.36.59.254: Заданный узел недоступен.
Ответ от 10.36.59.254: Заданный узел недоступен.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

 "Собственно, настройки..."
# sep/01/2014 15:39:03 by RouterOS 6.19
# software id = ZSY5-CBFL
#
/interface bridge
add admin-mac=4C:5E:0C:25:A8:EF arp=proxy-arp auto-mac=no l2mtu=1598 name=\
bridge-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-above \
distance=indoors l2mtu=2290 mode=ap-bridge ssid=MikroTik-25A8F3
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] arp=proxy-arp name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=\
ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=\
ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=\
ether5-slave-local
/ip neighbor discovery
set ether1-gateway discover=no
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface pptp-server server
set enabled=yes
/ip address
add address=10.219.11.103/21 interface=bridge-local network=10.219.8.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
interface=ether1-gateway
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" disabled=yes \
in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway
/ip route
add distance=1 dst-address=10.219.0.0/16 gateway=bridge-local
/ip upnp
set allow-disable-external-interface=no
/ppp secret
add local-address=192.168.100.1 name=Joe password=Rhfyns1968 remote-address=\
192.168.100.2 service=pptp
add disabled=yes local-address=192.168.100.1 name=Lis password=Magadan2011 \
remote-address=192.168.100.3 service=pptp
/system clock
set time-zone-name=Asia/Magadan
/system leds
set 0 interface=wlan1
/system ntp client
set enabled=yes
/system routerboard settings
set cpu-frequency=400MHz
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local


Memento mori...
Вернуться к началу
gmx
Модератор
Сообщения: 3416
Зарегистрирован: 01 окт 2012, 14:48

Deni555 писал(а):Спасибо за подсказку, форум действительно помогает искать косяки.


Рад был помочь.

JoeRee писал(а):У меня непонятки по этой же теме:
- На работе роутер RB 951-2n;
......



Если честно, ничего не понял про шлюз. Почему его нет???
И на схеме: это все микротик? Или есть другие устройства???

Вы как-то по-подробнее распишите. На компах, на которые вы не можете зайти шлюз кто???
И начните с того, что избавьте от master-slave на портах. Для понимания процесса бриджи проще. И еще proxy-arp включается на том интерфейсе, за которым находится требуемая подсеть, в которую нужно попасть.


Вернуться к началу
Аватара пользователя
JoeRee
Сообщения: 27
Зарегистрирован: 22 мар 2014, 05:28
Откуда: СПБ

gmx писал(а):Если честно, ничего не понял про шлюз. Почему его нет???
И на схеме: это все микротик? Или есть другие устройства???

Вы как-то по-подробнее распишите. На компах, на которые вы не можете зайти шлюз кто???
И начните с того, что избавьте от master-slave на портах. Для понимания процесса бриджи проще. И еще proxy-arp включается на том интерфейсе, за которым находится требуемая подсеть, в которую нужно попасть.


- Про шлюз, я тоже в непонятках, вообще неясно при чем он тут... Думаю, не в нем дело.
- Так точно, на иллюстрации полностью RB 951-2n с двумя выводами портов (ether1 и ether2). И других устройств больше нет.
- Поясню по поводу сетей: lan находится в ведомственной сети предприятия, wan находится в общегородской сети.
Нужен доступ через vpn из города на сервера предприятия (файловый, voip). Основная фишка - voip...
- Бридж был создан по умолчанию, сейчас я порты ether3-ether5 совсем отключил (они пока без надобности); слейвы, на всякий случай с них снял.
- proxy-arp с бриджа снял, а на ether2 оставил.

Схема осталась прежняя: нужно из города зайти через ether1-gateway по pptp и вылезть в ведомственную сеть через ether2-master-local (названия интерфейсов я не менял).
 "Конфиг"
# sep/02/2014 09:12:54 by RouterOS 6.19
# software id = ZSY5-CBFL
#
/interface bridge
add admin-mac=4C:5E:0C:25:A8:EF auto-mac=no name=bridge-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-above \
distance=indoors l2mtu=2290 mode=ap-bridge ssid=MikroTik-25A8F3
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] arp=proxy-arp name=ether2-master-local
set [ find default-name=ether3 ] disabled=yes name=ether3-slave-local
set [ find default-name=ether4 ] disabled=yes name=ether4-slave-local
set [ find default-name=ether5 ] disabled=yes name=ether5-slave-local
/ip neighbor discovery
set ether1-gateway discover=no
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface pptp-server server
set enabled=yes
/ip address
add address=10.219.11.103/21 interface=bridge-local network=10.219.8.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no \
interface=ether1-gateway
/ip dns
set allow-remote-requests=yes servers=10.219.11.118
/ip dns static
add address=192.168.88.1 disabled=yes name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" disabled=yes \
in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=\
invalid disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway
/ip route
add distance=1 dst-address=10.219.0.0/16 gateway=bridge-local
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
/ip upnp
set allow-disable-external-interface=no
/ppp secret
add local-address=192.168.100.1 name=Joe password=Rhfyns1968 remote-address=\
192.168.100.2 service=pptp
add disabled=yes local-address=192.168.100.1 name=Lis password=Magadan2011 \
remote-address=192.168.100.3 service=pptp
/system clock
set time-zone-name=Asia/Magadan
/system leds
set 0 interface=wlan1
/system ntp client
set enabled=yes
/system routerboard settings
set cpu-frequency=400MHz
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-loca


Memento mori...
Вернуться к началу
gmx
Модератор
Сообщения: 3416
Зарегистрирован: 01 окт 2012, 14:48

ОК! Вот теперь все стало более или менее понятно.

И ничего нового, пару страниц назад я приводил скриншоты с настройками, которые точно работают.

Сделайте все по ним и будет работать.


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»