Перейти к содержимому

Настройка ВПН на Микротике


Рекомендованные сообщения

Приветствую всех!

Между двумя удаленными офисами на микротах поднят впн SSTP. Офисы находятся в разных подсетях (192.168.2.0  и .5.0). Настроена маршрутизация, ничего сложного - компы одной подсети пингуют компы другой подсети и наоборот. При трасерте показывает две точки маршрутизатции (микрот офис1 192.168.2.1; микрот офис2 адрес sstp 10.200.201.11).

Но в сети .2.0 стоит АТС-сервер Астериск .2.200. Из .5.0 есть юзеры которые регистрируют софт-фон на АТС и вот что происходит.

По правилам маршрутизации айпи отправителя и получателя в пакете не меняются, меняются только маки отправителя и получателя. Т.е. например, на .2.200 должен прийти запрос на регистрацию от .5.10:5060 (порт регистрации в астере). А на самом деле приходит 192.168.2.1:5060! Но если пойдут запросы от других компов подсети .5.0 - они все регистрируются от 192.168.2.1, только под разными портами. В результате телефония не работает.

Та же самая проблема с индивидуальными ВПН-клиентами, все они регистрируются из под .2.1.

Я понял бы что они проходят НАТ, но они работают по туннелю и НАТ проходить не должны. Для тестов поднял ВПН на внутреннем интерфейсе микрота, он тоже зарегистрировался от .2.1.

Итак, вопрос! Как сделать при ВПН так, чтобы пользователи из другой подсети регистрировались под своими айпи?

Кстати, для теста поверх поднял EOIP и объединил удаленный офис во 2ю подсеть,  при трасерте маршрутизаторов нет, а компы из второго офиса начали регистрироваться под своими айпи (теперь уже тоже 2й подсети). Но такой вариант не подходит, ибо пула в дальнейшем не хватит на количество пользователей. Да и два туннеля заметно режут скорость.

Изменено пользователем Ronhel
Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Ronhel сказал:

НАТ стандартный. Chain - srcnat,  экшн - маскарад. 

Вот он вам и натит все подряд. Добавьте OutInterface там где надо натить. Или исключите из правила интерфейс с VPN.

Как то так image.png.ab2b7a6c864d580e849f6eb24ef17f0a.png

Ссылка на сообщение
Поделиться на других сайтах

Да, логично. Выставил как у Вас, но все равно регистрируется айпи микрота (протестил на внешнем клиенте типа ППТП). Понял что тут надо копать....

Если еще будут мысли - пишите!

 

Ссылка на сообщение
Поделиться на других сайтах

не забывайте про conntrack (ip-firewall-connections), т.е. после отключения правила в нате не сразу может примениться

если есть возможность - ребутьте микр

Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...

Ребята, никак руки не дойдут до тестов, много более значимой управленческой работы. Может кто-то помочь в решении? Услуги ОПЛАЧУ ?

Дам 1000 грн. :)

 

Изменено пользователем Ronhel
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: SBogdan
      Вітаю.
       
      Запрошуємо скористатися нашими віртуальними серверами в Нідерландах. Розміщені в Нідерландах, в місті Меппель в Дата Центрі Serverius та працюємо виключно на базі власного обладнання. Будемо раді допомогти вам з розміщенням ваших сайтій та біллінгів, для забезпечення їх безпебійної роботи. Всі тарифи включають базовий захист від DDOS атак та можливе розширення пакету захисту по запиту.
       
      Тарифні плани на віртуальні сервери в Netherlands, Meppel
      NLSV-1 | 1x CPU / 1GB RAM / 50 GB SSD NVMe / До 1 Гбіт/c / 1 IPv4 / Linux only = 5.2$/мес. [Замовити]
      NLSV-2 | 2x CPU / 2GB RAM / 80 GB SSD NVMe / До 1 Гбіт/c / 1 IPv4 / Linux only = 5.7$/мес. [Замовити]
      NLSV-3 | 2x CPU  / 4GB RAM / 120 GB SSD NVMe / До 1 Гбіт/c / 1 IPv4 / Linux&Windows = 9.1$/мес. [Замовити]
      NLSV-4 | 4x CPU / 6GB RAM / 140 GB SSD NVMe / До 1 Гбіт/c / 1 IPv4 / Linux&Windows = 13.5$/мес. [Замовити]
      NLSV-5 | 4x CPU / 8GB RAM / 180 GB SSD NVMe / До 1 Гбіт/c / 1 IPv4 / Linux&Windows = 15.7$/мес. [Замовити]
      NLSV-6 | 6x CPU / 10GB RAM / 200 GB SSD NVMe / До 1 Гбіт/c / 1 IPv4 / Linux&Windows = 24.5$/мес. [Замовити]
       
      + Встановлення серверу через 2-15 хв. після оплати;
      + Можливість заключити договор (за потреби);
      + Працюємо виключно з власним обладнанням;
      + Сервери працюють виключно на наших мережах;
      + Досвід роботи з 2012 року;
      + Широкий спектр можливих варіантів оплати;
       
      Наш сайт https://uaunit.com/virtual_servers.html
      Наші контакти:  sales@uaunit.com ||| TG https://telegram.me/salesconsultanthere
       
      Промо код для форумчан (-25%) : local25%october
       
       
    • Автор: Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Автор: independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Автор: independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Автор: Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.
×
×
  • Создать...