Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

PPTP через mikrotik

https://forummikrotik.ru/viewtopic.php?t=7135

Страница 1 из 1

PPTP через mikrotik

Добавлено: 15 ноя 2016, 21:00
zaz-user
Добрый день.
При включенных правилах firewall не поднимается PPTP на компе, подключенном к микротику. Выключаю правила - поднимается. При этом если при работающем PPTP снова включить правила - соединение не пропадает.

Код: Выделить всё

[admin@MikroTik] /ip firewall filter> export
# nov/15/2016 20:59:26 by RouterOS 6.37.1
# software id = C21G-5WSB
#
/ip firewall filter
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=br1-lan out-interface=RTK src-address=10.0.0.0/8
add action=accept chain=forward connection-state=established,related in-interface=RTK out-interface=br1-lan
add action=drop chain=output
add action=drop chain=forward
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80,8291,22,23 in-interface=br1-lan protocol=tcp src-address=\
    10.0.0.0/8
add action=drop chain=input in-interface=eth2-wan
add action=accept chain=input connection-mark=allow_in connection-state=new dst-port=80 in-interface=RTK protocol=tcp
add action=accept chain=input connection-state=new dst-port=53,123 protocol=udp src-address=10.0.0.0/8
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=br1-lan out-interface=RTK src-address=10.0.0.0/8
add action=accept chain=forward connection-state=established,related in-interface=RTK out-interface=br1-lan
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward

[admin@MikroTik] /ip firewall filter>

Re: PPTP через mikrotik

Добавлено: 15 ноя 2016, 21:02
zaz-user
Не могу понять, где копать(

Re: PPTP через mikrotik

Добавлено: 15 ноя 2016, 22:07
podarok66
Фаервол - он прежде всего понимания требует. А у вас какой-то копипаст-портянка из правил. Поверьте, следуя чужим правилам, вы ничего не закроете, кроме чего-либо вам же необходимого. Запасайтесь терпением и читайте, каким образом и в каком порядке отрабатывают правила в фильтрах. То, что у вас сейчас - ну полный маразм. Там даже советовать нечего кроме одного - удалите вы эту муру....

Re: PPTP через mikrotik

Добавлено: 16 ноя 2016, 10:35
EdkiyGluk
Не будет человек разбираться в правилах фаервола, ему нужно настроить один раз и забыть, правильно я понял?
Поступайте паросто - включайте правила фаервола по одному... И смотрите какое правило вырубает PPTP... на вскидку скажу, что порта 1723 я не вижу в разрешённых, но вижу "дропать всё на вход". А при установленном подключении и включении фаервола не рвётся потому, что у Вас есть правило
add action=accept chain=input connection-state=established,related
оно и не даёт порваться соединению... А т.к. есть строчка add action=drop chain=input то........................ В общем разбирайтесь

Re: PPTP через mikrotik

Добавлено: 16 ноя 2016, 12:57
Vlad-2
Печально всё то, что:
1) человек делает логику в корне не верно (ну зачем,имея роутер и весь его потенциал, поднимать сессию РРТР на компьютере)
2) опять же, зачем делать какие то файрволлы на роутере, если РРТР будет терминироваться на компе ? (считаю что сессия РРТР подаёт глобал)
3) ну и согласен с podarok66 - надо понимать что делать и знать...хотя бы начальную теорию..

Re: PPTP через mikrotik

Добавлено: 16 ноя 2016, 19:23
podarok66
Да вы присмотритесь, какая тут логика? Где?

Код: Выделить всё

/ip firewall filter
add action=accept ........................
...........................
add action=drop chain=output
add action=drop chain=forward
........................................
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=br1-lan out-interface=RTK src-address=10.0.0.0/8
add action=accept chain=forward connection-state=established,related in-interface=RTK out-interface=br1-lan
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward

Запретил, потом опять какие-то разрешения, потом опять запретил, что-то задвоено зачем-то... То есть абсолютно бездумный копипаст. А в этом случае не надо ничего в фильтрах кроме дропа 53 порта. Всё равно это чужие правила для чужого варианта настроек.
Я просто уверен на все 100%, что лучше вообще без правил, чем вот так. Поэтому предлагаю ТС - работайте с отключенными правилами и параллельно почитайте о работе фаервола в RouterOs. Там не настолько сложно в базовом варианте. Думаю, разберетесь.

Re: PPTP через mikrotik

Добавлено: 19 ноя 2016, 18:56
zaz-user
Всем спасибо за ответы. Виноват, поддался панике. С фаерволлом разобрался.

Re: PPTP через mikrotik

Добавлено: 19 ноя 2016, 19:18
podarok66
Ну и ладушки, рад за вас. Желаю вам дальнейшего продвижения по пути освоения RouterOs
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB