Jump to content
Local
Sign in to follow this  
Ronhel

Настройка ВПН на Микротике

Recommended Posts

Приветствую всех!

Между двумя удаленными офисами на микротах поднят впн SSTP. Офисы находятся в разных подсетях (192.168.2.0  и .5.0). Настроена маршрутизация, ничего сложного - компы одной подсети пингуют компы другой подсети и наоборот. При трасерте показывает две точки маршрутизатции (микрот офис1 192.168.2.1; микрот офис2 адрес sstp 10.200.201.11).

Но в сети .2.0 стоит АТС-сервер Астериск .2.200. Из .5.0 есть юзеры которые регистрируют софт-фон на АТС и вот что происходит.

По правилам маршрутизации айпи отправителя и получателя в пакете не меняются, меняются только маки отправителя и получателя. Т.е. например, на .2.200 должен прийти запрос на регистрацию от .5.10:5060 (порт регистрации в астере). А на самом деле приходит 192.168.2.1:5060! Но если пойдут запросы от других компов подсети .5.0 - они все регистрируются от 192.168.2.1, только под разными портами. В результате телефония не работает.

Та же самая проблема с индивидуальными ВПН-клиентами, все они регистрируются из под .2.1.

Я понял бы что они проходят НАТ, но они работают по туннелю и НАТ проходить не должны. Для тестов поднял ВПН на внутреннем интерфейсе микрота, он тоже зарегистрировался от .2.1.

Итак, вопрос! Как сделать при ВПН так, чтобы пользователи из другой подсети регистрировались под своими айпи?

Кстати, для теста поверх поднял EOIP и объединил удаленный офис во 2ю подсеть,  при трасерте маршрутизаторов нет, а компы из второго офиса начали регистрироваться под своими айпи (теперь уже тоже 2й подсети). Но такой вариант не подходит, ибо пула в дальнейшем не хватит на количество пользователей. Да и два туннеля заметно режут скорость.

Edited by Ronhel

Share this post


Link to post
Share on other sites

смотреть правила фаервола - где-то есть нат

Share this post


Link to post
Share on other sites

НАТ стандартный. Chain - srcnat,  экшн - маскарад. 

Share this post


Link to post
Share on other sites
2 часа назад, Ronhel сказал:

НАТ стандартный. Chain - srcnat,  экшн - маскарад. 

Вот он вам и натит все подряд. Добавьте OutInterface там где надо натить. Или исключите из правила интерфейс с VPN.

Как то так image.png.ab2b7a6c864d580e849f6eb24ef17f0a.png

Share this post


Link to post
Share on other sites

Да, логично. Выставил как у Вас, но все равно регистрируется айпи микрота (протестил на внешнем клиенте типа ППТП). Понял что тут надо копать....

Если еще будут мысли - пишите!

 

Share this post


Link to post
Share on other sites

Однозначно в сторону NAT искать. Оставьте NAT только на том интерфейсе, где он нужен.

image.png.7b3e0aa683ff4a48b7ef585c1d24f0c5.png

Share this post


Link to post
Share on other sites

может НАТ прописан на интерфейс-лист? 

Share this post


Link to post
Share on other sites

не забывайте про conntrack (ip-firewall-connections), т.е. после отключения правила в нате не сразу может примениться

если есть возможность - ребутьте микр

Share this post


Link to post
Share on other sites

Ребята, никак руки не дойдут до тестов, много более значимой управленческой работы. Может кто-то помочь в решении? Услуги ОПЛАЧУ 👍

Дам 1000 грн. :)

 

Edited by Ronhel

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By MiaV
      КУПЛЮ

      MikroTik LHG 5 (RBLHG-5nD)
    • By ER@SER
      Доброго времени суток!
      Возникла следующая проблема при работе с MikroTik RB3011UiAS-RM, а точнее следующее:
      есть провайдер предоставляющий интернет по технологии GPON, заведено 4 линии от шкафа провайдера (POS), на каждой из них установлен ONU Huawei, затем подключены MikroTik RB3011UiAS-RM каждый со своими настройками. И вот тут и возникает проблема в том что один MikroTik RB3011UiAS-RM забивает работу другого MikroTik RB3011UiAS-RM - это выливается в нестабильной работе интернета (режет скорость, разрывает связь). От провайдера настройки получаем по DHCP (один IP на все четыре линии).
    • By mvv
      Продам б.у. MIKROTIK CCR1036-12G-4S - цена 600$
    • By ESever
      MikroTik Certified Traffic Control Engineer (MTCRE) – инженерный курс, в котором Вы научитесь разделять полосу пропускания между различными типами трафика, т.е. создавать системы с QoS. Подробно разбираются вопросы движения пакетов через маршрутизатор (Packet Flow Diagram) при использовании бриджей, маршрутизации, подключении к маршрутизатору.
       
      Детально рассматриваются работа файрвола, параметры во вкладках Advanced и Extra, все действия во вкладке Action. Вы научитесь определять факт сканирования портов, DoS-атак и защищать маршрутизатор и пользователей от атак.
       
      Для прохождения курса обязательно иметь сертификат MTCNA.
       
      Курс состоит из шести модулей; обязательный перечень тем, рассматриваемых в курсе, можно посмотреть на сайте MikroTik. Исходя из опыта проведения курсов и уровня подготовки группы, материал подается более широко, с упором на практическое применение, поэтому данный курс не ограничивается обязательными темами.
       
      Материалы по каждой теме закрепляются лабораторными работами.

      Стоимость тренинга: эквивалент 299 у.е. 
       
      Тренер: Андрей Сычёв, сертифицированный тренер MikroTik (сертификат TR0096) с февраля 2010 года.
       
      В стоимость тренинга входит маршрутизатор MikroTik hAP mini или hAP lite – предоставляется на время обучения, после остается у обучаемого. Компания MikroTik дарит каждому участнику лицензию L4/P1.
       
      Длительность тренинга: три полных дня c 10:00 до 18:00. Обед каждый день, кофе-брейки в течение дня.
       
      Программа курса
       
      Packet Flow Diagram
      Mikrotik Packet Flow Diagram – ключ к пониманию работы файрвола и системы QoS Разбор движения пакетов в простых конфигурациях маршрутизатора (бридж, маршрутизатор, входящие соединения) Более сложные случаи  
      Firewall Filter/NAT/Mangle
      Chain – стандартные/определенные пользователем Вкладки Advanced и Extra Действия Action в Filter/NAT/Mangle Прохождение сложных протоколов (FTP, PPTP, SIP, H.323) через NAT; NAT helpers Детектирование факта сканирования портов и DoS-атак uPNP  
      QoS
      HTB – общая информация HTB – использование дерева очередей (Queue Tree) HTB – структура HTB – принцип двойного ограничения HTB – приоритет Burst Типы очередей – FIFO, SFQ, RED, PCQ Размер очереди Простые очереди (Simple Queues)  
      DNS Client/Server
      Базовые настройки Статические записи Split DNS  
      DHCP Client/Server/Relay
      Процесс обмена пакетами между DHCP-клиентом и сервером в процессе получения IP-адреса.  DHCP Client – идентификация/настройка Настройки DHCP Server: Networks/Options/IP Pool Расширенные настройки DHCP Relay  
      Web Proxy
      Базовые настройки Настройки Access List/Direct Access List/Cache List Регулярные выражения  
      Для прохождения тренинга студент должен иметь ноутбук с портом Ethernet и два патч-корда длиной не менее 1,8 метра.
       
      Операционная система – Windows или Linux. Если у Вас MacOS, то убедитесь, что Вы можете нормально работать с Winbox. Желательно установить и попрактиковаться в работе с программой WireShark.
       
      Для регистрации на курсы заполните форму внизу страницы.
    • By ECOLAN
      Продам новые Mikrotik RB911-LITE2 (RB911-2HN)
      Такие же материнки стоят в SXT Lite 2
      Всего осталось 3 шт
      Цена за 1 шт 28$
×