Настройка ВПН на Микротике

[Ronhel 4]

Приветствую всех!

Между двумя удаленными офисами на микротах поднят впн SSTP. Офисы находятся в разных подсетях (192.168.2.0  и .5.0). Настроена маршрутизация, ничего сложного - компы одной подсети пингуют компы другой подсети и наоборот. При трасерте показывает две точки маршрутизатции (микрот офис1 192.168.2.1; микрот офис2 адрес sstp 10.200.201.11).

Но в сети .2.0 стоит АТС-сервер Астериск .2.200. Из .5.0 есть юзеры которые регистрируют софт-фон на АТС и вот что происходит.

По правилам маршрутизации айпи отправителя и получателя в пакете не меняются, меняются только маки отправителя и получателя. Т.е. например, на .2.200 должен прийти запрос на регистрацию от .5.10:5060 (порт регистрации в астере). А на самом деле приходит 192.168.2.1:5060! Но если пойдут запросы от других компов подсети .5.0 - они все регистрируются от 192.168.2.1, только под разными портами. В результате телефония не работает.

Та же самая проблема с индивидуальными ВПН-клиентами, все они регистрируются из под .2.1.

Я понял бы что они проходят НАТ, но они работают по туннелю и НАТ проходить не должны. Для тестов поднял ВПН на внутреннем интерфейсе микрота, он тоже зарегистрировался от .2.1.

Итак, вопрос! Как сделать при ВПН так, чтобы пользователи из другой подсети регистрировались под своими айпи?

Кстати, для теста поверх поднял EOIP и объединил удаленный офис во 2ю подсеть,  при трасерте маршрутизаторов нет, а компы из второго офиса начали регистрироваться под своими айпи (теперь уже тоже 2й подсети). Но такой вариант не подходит, ибо пула в дальнейшем не хватит на количество пользователей. Да и два туннеля заметно режут скорость.

Edited 2019-07-22 09:43:37 by Ronhel

[911 120]

смотреть правила фаервола - где-то есть нат

[Ronhel 4]

НАТ стандартный. Chain - srcnat,  экшн - маскарад. 

[foreverok 55]

2 часа назад, Ronhel сказал:

НАТ стандартный. Chain - srcnat,  экшн - маскарад. 

Вот он вам и натит все подряд. Добавьте OutInterface там где надо натить. Или исключите из правила интерфейс с VPN.

Как то так 

[Ronhel 4]

Да, логично. Выставил как у Вас, но все равно регистрируется айпи микрота (протестил на внешнем клиенте типа ППТП). Понял что тут надо копать....

Если еще будут мысли - пишите!

 

[foreverok 55]

Однозначно в сторону NAT искать. Оставьте NAT только на том интерфейсе, где он нужен.

[Ronhel 4]

ок, спс попробую - отпишусь

[gelmas_x 5]

может НАТ прописан на интерфейс-лист? 

[mixtery 59]

[F-in-ik 0]

не забывайте про conntrack (ip-firewall-connections), т.е. после отключения правила в нате не сразу может примениться

если есть возможность - ребутьте микр

[Ronhel 4]

Ребята, никак руки не дойдут до тестов, много более значимой управленческой работы. Может кто-то помочь в решении? Услуги ОПЛАЧУ 👍

Дам 1000 грн. 

 

Edited 2019-08-10 07:39:30 by Ronhel

[Sandorik 15]

ух.. щас желающих налетит...)