Доступ (Radmin) к удаленной сети по РРТР-тунелю,реализованном между АСУС и Mikrotik

Здравствуйте, помогите, пожалуйста, новичку...
Дома на ASUS RT-AC66U поднят PPtP-сервер (Начальный адрес пула: 192.168.10.2-192.168.10.3)
с белым домашним адресом XX.XXX.XX.XX
Для рабочего компа выделен в туннеле ip: 192.168.10.2,

На работе Mikrotik RB951Ui-2nd + 4g модем E8372. Подключение к серверу PPtP есть. Клиенты с компьютеров локальной сети имеют выход в интернет.
Но нет подключения к компьютерам локальной сети со стороны туннеля. Если на вкладке <Interface(PPtP-Out->Dial Out>включить галочку "Add Default Route", то появляется возможность
подключиться к локальному компьютеру из-вне, но тогда весь трафик выхода в интернет пользователей сети идет через PPtP-туннель (домашний роутер)...Если поменять "distance" на 2 (или более), трафик идет правильно, т.е. через 4g модем, но тогда нет подключения по PPtP-каналу и доступ к Radmin серверу невозможен.

Уважаемые Гуру, подскажите, пожалуйста, как решить эту проблему? Что я не учитываю или делаю неправильно?

Заранее спасибо.

 

Могу предположить что, по скольку вы соединяете два устройства в туннель, а за этими устройствами есть пк со своими подсетями, наверное не хватает маршрутов для того чтобы домашний ПК понимал что добраться до удаленного компьютера ему можно через данный туннель. В случае соединения двух микротиков это прописывается в ip-routes, а вот как это реализовано в ASUS RT-AC66U можно только догадываться.

 

Уважаемый Tycoon, спасибо, что вы первый откликнулись! Дело в том, что ASUS в этом случае отрабатывает поставленную перед ним задачу и пропускает меня в туннель и Mikrotik пересылает пакеты Radmin-a в ответ. Вопрос в том: как отвадить пользовательские пакеты от туннеля, т.е. идти на 4g модем?

 

Ну т.е. у вас пользователи, что за микротиком, идут в интернет через ASUS по туннелю ? Надо настройки микротика смотреть, сделайте в терминале export, замените внешние ip, пароли на левые и выложите сюда.

 

Сделал экспорт настроек... Два варианта...

Спойлер: С включенным флажком "Add Default Route"

# aug/11/2020 16:24:59 by RouterOS 6.47
# software id = BT04-WVIV
#
# model = 951Ui-2nD
# serial number = 71A30647D8C8
/interface lte
set [ find ] name=lte1
/interface bridge
add admin-mac=6C:3B:6B:AE:3C:53 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=MikroTik-AE3C57 wireless-protocol=802.11
/interface pptp-client
add add-default-route=yes allow=mschap1,mschap2 connect-to=94.178.44.9 \
disabled=no name=pptp-out1 password=xxxxxxx user=xxxxx
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=123456789 \
wpa2-pre-shared-key=123456789
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.3.10-192.168.3.49
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=\
3d10m name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=lte1 list=WAN
add interface=ether1 list=WAN
/interface ovpn-server server
set cipher=blowfish128,aes128,aes256 enabled=yes require-client-certificate=\
yes
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.3.2/24 interface=ether2 network=192.168.3.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.3.0/24 comment=defconf gateway=192.168.3.2 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.4.4
/ip dns static
add address=192.168.3.2 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop HstSmLn" disabled=yes \
dst-address=192.168.1.0/24
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=lte1
add action=netmap chain=dstnat comment="RA-1 192.168.3.13" dst-port=9991 \
in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.13 to-ports=\
4899
add action=netmap chain=dstnat comment="RA-2 192.168.3.22" dst-port=\
9988 in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.22 \
to-ports=4899
add action=netmap chain=dstnat comment="RA-3 192.168.3.10" dst-port=9999 \
in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.10 to-ports=\
4899
add action=netmap chain=dstnat comment="RA-4 192.168.3.11" dst-port=\
9992 in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.11 \
to-ports=4899
add action=netmap chain=dstnat comment="RA-5 192.168.3.12" dst-port=\
9993 in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.12 \
to-ports=4899
add action=netmap chain=dstnat comment="RA-6 192.168.3.14" dst-port=\
9995 in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.14 \
to-ports=4899
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=pptp-out1
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Спойлер: И с выключенным:

# aug/11/2020 16:07:53 by RouterOS 6.47
# software id = BT04-WVIV
#
# model = 951Ui-2nD
# serial number = 71A30647D8C8
/interface lte
set [ find ] name=lte1
/interface bridge
add admin-mac=6C:3B:6B:AE:3C:53 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge ssid=MikroTik-AE3C57 wireless-protocol=802.11
/interface pptp-client
add allow=mschap1,mschap2 connect-to=94.178.44.9 disabled=no name=pptp-out1 \
password=xxxxxxx user=xxxxx/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=123456789 \
wpa2-pre-shared-key=123456789
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.3.10-192.168.3.49
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=\
3d10m name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=lte1 list=WAN
add interface=ether1 list=WAN
/interface ovpn-server server
set cipher=blowfish128,aes128,aes256 enabled=yes require-client-certificate=\
yes
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.3.2/24 interface=ether2 network=192.168.3.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.3.0/24 comment=defconf gateway=192.168.3.2 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.4.4
/ip dns static
add address=192.168.3.2 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop HstSmLn" disabled=yes \
dst-address=192.168.1.0/24
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=lte1
add action=netmap chain=dstnat comment="RA-1 192.168.3.13" dst-port=9991 \
in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.13 to-ports=\
4899
add action=netmap chain=dstnat comment="RA-2 192.168.3.22" dst-port=\
9988 in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.22 \
to-ports=4899
add action=netmap chain=dstnat comment="RA-3 192.168.3.10" dst-port=9999 \
in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.10 to-ports=\
4899
add action=netmap chain=dstnat comment="RA-4 192.168.3.11" dst-port=\
9992 in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.11 \
to-ports=4899
add action=netmap chain=dstnat comment="RA-5 192.168.3.12" dst-port=\
9993 in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.12 \
to-ports=4899
add action=netmap chain=dstnat comment="RA-6 192.168.3.14" dst-port=\
9995 in-interface=pptp-out1 protocol=tcp to-addresses=192.168.3.14 \
to-ports=4899
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=pptp-out1
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Может и нет разницы (во всяком случае, я не нахожу), но выкладываю на всякий случай обе...

 

Вчера пытался добавить еще один шлюз. В результате экспериментов отключил Bridge... и router "потерялся"...
Помогите, а то будет то, что было в Одессе

 

В Winbox во вкладке Neighbors что нибудь находит? Если нет то фиг знает. Резервную копию не делал чтоли?

 

Все нормально, нашелся Mikrotic. Резервную копию делал. Вопрос опять стоИт - что делать? И как победить проблему с перенаправлением трафика на 4g модем?

 

Нет желающих помочь?

 

А если организовать RDP доступ, трафик тоже пойдет по каналу через мой домашний роутер?