PPTP вижу только интерфейсы

[andrey.kramarenko]

Сервер

 

/interface bridge
add name=br_LAN
/interface pppoe-client
add add-default-route=yes disabled=no interface=\
ether1 name=pppoe-out1 user=111111111
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=br_LAN interface=ether2
add bridge=br_LAN interface=ether3
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment=Local_Mng interface=ether5 network=\
192.168.88.0
add address=5.5.5.77/24 comment=LAN_DIT_Address interface=br_LAN network=\
5.5.5.0
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
/ip route
add distance=1 dst-address=10.1.1.0/24 gateway=100.1.1.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=100.1.1.1 name=user1 remote-address=100.1.1.2 service=pptp

Клиент

 

/interface bridge
add fast-forward=no name=br_lan
/interface pptp-client
add allow=mschap1,mschap2 connect-to=11.22.33.44 disabled=no name=pptp-out1 \
user=user1
/interface bridge port
add bridge=br_lan interface=ether2
add bridge=br_lan interface=ether3
/ip address
add address=192.168.8.17/24 interface=ether1 network=192.168.8.0
add address=10.1.1.1/24 interface=br_lan network=10.1.1.0
/ip dns
set allow-remote-requests=yes servers=33.44.55.4,8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
/ip route
add distance=1 gateway=192.168.8.1
add distance=1 dst-address=5.5.5.0/24 gateway=100.1.1.1

С клиента пингую только 5.5.5.77, с сервера пингую только 10.1.1.1
Если на сервере делаю "add action=masquerade chain=srcnat disabled=yes out-interface=br_LAN", то могу ходить дальше интерфейса, но с сервера в локалку клиента таким же костылем не получается ходить.
Не понимаю почему вижу только интерфейсы

[Vlad-2]

Сумбурно у Вас написано.....

НО в целом у Вас как я понял так, когда Вы отключаете правило, то можете дальше ходить.
Значит отключив Маскарайдинг - пакеты бегут дальше. Отсюда следует что Маскарайдинг
прячит их и нарушается маршрутизация (одна сторона не знает что куда отсылать другой и
так и с другой стороны происходит).

А в целом не надо давать роутерам адресацию из РРР подключения. То есть не надо роутеру
задавать постоянно и явно адрес. Надо взять сеть, использовать её в РРР назначениях,
эту сеть описать на роутерах (в маршрутах ТОЛЬКО) (сделать чтобы между другими локальными
сетями она проходила, то есть другие сети должны знать как дойти до этой сети и как
она может дойти до них), то есть - полная маршрутизация, правила НАТ/Маскарайдинга не
должны срабатывать при локальных таких взаимодействиях, но как только сеть РРР
хочет выйти наружу (скажем в Интернет), то именно при выходе наружу,
такой запрос (а точнее пакет сети РРР) надо проМаскарайдить, и уже отправить в сторону провайдера.

Как-то так....

[andrey.kramarenko]

я понял так, когда Вы отключаете правило, то можете дальше ходить.
Значит отключив Маскарайдинг - пакеты бегут дальше. Отсюда следует что Маскарайдинг
прячит их и нарушается маршрутизация (одна сторона не знает что куда отсылать другой и
так и с другой стороны происходит).

Маскарадинг тут костыль, которого быть не должно, убираем маскарадинг, пингую только интерфейс другого микротика

А в целом не надо давать роутерам адресацию из РРР подключения. То есть не надо роутеру
задавать постоянно и явно адрес. Надо взять сеть, использовать её в РРР назначениях,
эту сеть описать на роутерах (в маршрутах ТОЛЬКО) (сделать чтобы между другими локальными
сетями она проходила, то есть другие сети должны знать как дойти до этой сети и как
она может дойти до них), то есть - полная маршрутизация, правила НАТ/Маскарайдинга не
должны срабатывать при локальных таких взаимодействиях, но как только сеть РРР
хочет выйти наружу (скажем в Интернет), то именно при выходе наружу,
такой запрос (а точнее пакет сети РРР) надо проМаскарайдить, и уже отправить в сторону провайдера.

тут я не понял, с чего вы взяли, что я даю роутерам адресацию из ррр подключения?для подключения впн использую 100.1.1.1 и 100.1.1.2, на роутерах лан сети 10.1.1.0 и 5.5.5.0 ( к примеру)
10.1.1.1 и 5.5.5.77 которые под спойлером в 1 сообщении это ип, которые назначаются для интерфейса, который смотрит в локальную сеть. интерфейсы я пингую, дальше не вижу

[Ca6ko]

концы vpn туннеля на клиенте и сервере забыли в бридж воткнуть.

(как догадка)
А сделали binding-L2TP ?

Просто при каждом подключении, сессия(и) - они для роутера новые, и маршруты
на них ранее созданные/прописанные = НЕ применяются.
Надо "прибить" юзера(логин) к интерфейсу (сделать статический) и уже этот статический
созданный (прибитый) интерфейс и использовать в таблице маршрутизации и делать маршрутизацию.

[andrey.kramarenko]

Думаю, что воткнул впн в бридж. но ситуация такая же

 

/ppp profile
add bridge=LAN_Bridge change-tcp-mss=yes name=pptp
/interface bridge port
add bridge=LAN_Bridge interface=ether2
add bridge=LAN_Bridge interface=ether3
add bridge=LAN_Bridge interface=ether4
add bridge=LAN_Bridge interface=wlan1
/ppp secret
add name=user1 profile=pptp service=pptp

на сервере по аналогии сделал, в профиль учетки добавил бридж в котором есть интерфейсы

Грешу на файервол в одной из локальных сетей т.к на другой паре микротиков. в других локалках, при тех же действиях все работает без бриджов. завтра уточню

[Vlad-2]

тут я не понял, с чего вы взяли, что я даю роутерам адресацию из ррр подключения?для подключения впн использую 100.1.1.1 и 100.1.1.2, на роутерах лан сети 10.1.1.0 и 5.5.5.0 ( к примеру)
10.1.1.1 и 5.5.5.77 которые под спойлером в 1 сообщении это ип, которые назначаются для интерфейса, который смотрит в локальную сеть. интерфейсы я пингую, дальше не вижу
mage.jpg[/img]

1) Потому что 100 и 10 сливаются сети. Вот схема это сразу стало хорошо.
2) Трасертами проверьте где затык (трасерты делать лучше с компов/с клиентов, НО не с роутеров)
и уже смотреть как и где и почему.
3) И повторю своё высказывания на счёт НАТ/Маскарайдинг = надо так составлять правила, чтобы
НАТ/Маскарайдинг не срабатывал при локальном взаимодействии. Чаще в этом ошибка.

[andrey.kramarenko]

тут я не понял, с чего вы взяли, что я даю роутерам адресацию из ррр подключения?для подключения впн использую 100.1.1.1 и 100.1.1.2, на роутерах лан сети 10.1.1.0 и 5.5.5.0 ( к примеру)
10.1.1.1 и 5.5.5.77 которые под спойлером в 1 сообщении это ип, которые назначаются для интерфейса, который смотрит в локальную сеть. интерфейсы я пингую, дальше не вижу
mage.jpg[/img]

1) Потому что 100 и 10 сливаются сети. Вот схема это сразу стало хорошо.
2) Трасертами проверьте где затык (трасерты делать лучше с компов/с клиентов, НО не с роутеров)
и уже смотреть как и где и почему.
3) И повторю своё высказывания на счёт НАТ/Маскарайдинг = надо так составлять правила, чтобы
НАТ/Маскарайдинг не срабатывал при локальном взаимодействии. Чаще в этом ошибка.

Спасибо за подсказку, сдлал маскарадинг для отдельной сети, которая выходит в инет.

А проблема была в том что на ДНС сервере сети были не так прописаны маршруты.

[Erik_U]

На картинке точно ошибка.
10.1.1.1 есть у клиента (int) и у сервера (смотрит в сторону клиента). Тут и сети перемешаны, и конфликт адресов.

А фактически как?

[Erik_U]

тут я не понял, с чего вы взяли, что я даю роутерам адресацию из ррр подключения?для подключения впн использую 100.1.1.1 и 100.1.1.2, на роутерах лан сети 10.1.1.0 и 5.5.5.0 ( к примеру)
10.1.1.1 и 5.5.5.77 которые под спойлером в 1 сообщении это ип, которые назначаются для интерфейса, который смотрит в локальную сеть. интерфейсы я пингую, дальше не вижу

Если вы на клиенте пингуете 10.1.1.1, отвечает не сервер, а интерфейс int клиента.
А если будете с клиента пинговать 5.5.5.77, то сервер не отправит ответ по маршруту, указанному в таблице, потому, что вы ему интерфейс сделали в сети 10.1.1.0, он с него будет искать хост отправивший пинг, и не найдет.