Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

шлюз на mikrotik и vpn клиенты в локалке.

https://forummikrotik.ru/viewtopic.php?t=5817

Страница 1 из 1

шлюз на mikrotik и vpn клиенты в локалке.

Добавлено: 18 сен 2014, 23:33
nable
Доброго времени суток.

Имеется 951G-2HnD в качестве шлюза для локальной сети. Интернет через LTE 4G модем.
Внутри сети пытаюсь настроить VPN клиентов.

Один из них - стандартный клиент на Win2003. Все работает как ожидается. Пакеты "бегают".
При попытке настроить клиента с теми же точно учетными данными на базе pptp в RHEL получаю интересную ситуацию, что пакеты GRE уходят, но ответ не получен:
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x2379862b> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x2379862b> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x2379862b> <pcomp> <accomp>]
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0x2379862b> <pcomp> <accomp>]

при снифе трафика на микротике получаю очень интересную картину: при использовании pptp клиента с внешнего сетевого lte интерфейса нет исходящих tx пакетов до VPN-шлюза, но при этом есть входящие от VPN-шлюза.
Подозреваю, что в какой-то момент у микротика наступает амнезия и он не фиксирует исходящие пакеты, поэтому обратные рассматривает не как ответы, а как незваных гостей и поэтому отбрасывает.

Содержимое пакетов не анализировал, но проблема скорее всего в самих пакетах, точнее их обработкой микротиком.

два скриншота для сравнения:
win https://drive.google.com/file/d/0BxiuAS ... sp=sharing - VPN работает.
pptp https://drive.google.com/file/d/0BxiuAS ... sp=sharing - ответные пакеты не приходят.

на обоих скриншотах показано начало VPN сессии.

 конфиг микротика
# jan/02/1970 10:52:46 by RouterOS 5.26
# software id = 6S1V-USAJ
#
/interface bridge
add l2mtu=1598 name=bridge1
/interface wireless
set 0 adaptive-noise-immunity=ap-and-client-mode band=2ghz-b/g/n basic-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=\
1Mbps,2Mbps,5.5Mbps,11Mbps country=russia disabled=no disconnect-timeout=15s frequency=2452 ht-rxchains=0,1 ht-txchains=0,1 hw-protection-mode=rts-cts \
l2mtu=2290 mode=ap-bridge periodic-calibration=enabled preamble-mode=long rate-selection=legacy ssid="C3G Mikrotik" tx-power=18 tx-power-mode=\
all-rates-fixed wireless-protocol=802.11
add disabled=no l2mtu=2290 mac-address=4C:5E:0C:4D:C8:C5 master-interface=wlan1 name=wlan2 ssid=xxx wds-cost-range=0 wds-default-bridge=bridge1 \
wds-default-cost=0
/interface ethernet
set 1 mtu=1400
/interface lte
set 0 apn="" mac-address=0C:00:0E:00:C0:0D modem-init="" mtu=1400 name=lte1 network-mode=auto password="" pin="" user=""
/interface pptp-client
add add-default-route=yes connect-to=195.146.xxx.xxx max-mru=1400 max-mtu=1400 name=pptp-out1 password=xxxxx user=xxx
/interface wireless nstreme
set wlan1 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods=passthrough group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=\
tkip,aes-ccm wpa-pre-shared-key=xxxxxxx wpa2-pre-shared-key=xxxxx
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ppp profile
set 1 use-compression=no use-vj-compression=no
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/interface wireless access-list
add ap-tx-limit=64 client-tx-limit=64 mac-address=D8:50:E6:92:20:79 time=0s-1d,
/ip accounting
set account-local-traffic=yes
/ip address
add address=10.10.77.245/24 interface=bridge1
/ip dhcp-client
add default-route-distance=0 host-name=mikrotik interface=bridge1
add default-route-distance=0 disabled=no interface=lte1
add interface=ether1
/ip firewall filter
add action=drop chain=input dst-address=10.10.77.255 dst-port=17500 protocol=udp src-port=""
add action=drop chain=input dst-address=255.255.255.255 dst-port=17500 protocol=udp
add action=drop chain=forward dst-address=10.10.77.255
add chain=forward protocol=gre
add chain=input protocol=gre
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=VPN-Through src-address=10.10.77.245
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=vpn src-address=10.10.77.201
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=relline-gate src-address=10.10.77.201
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=relline-gate src-address=10.10.77.204
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
add action=masquerade chain=srcnat disabled=yes out-interface=pptp-out1 to-addresses=195.146.xxx.xxx
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip neighbor discovery
set wlan1 disabled=yes
set wlan2 disabled=yes
set lte1 disabled=yes
/ip route
add disabled=yes distance=1 gateway=pptp-out1 routing-mark=relline-gate
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
/ip upnp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/tool sniffer
set filter-direction=any filter-ip-address=0.0.0.0/0 filter-ip-protocol=gre streaming-enabled=yes

Re: шлюз на mikrotik и vpn клиенты в локалке.

Добавлено: 19 сен 2014, 00:40
nable
После ручного обновления до RouterOS 6.20rc10 проблема ушла. pptp сразу же соединился.
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB