hAP ac lite, vpn, удалённый доступ к локальной сети мобильного сотрудника.

Тема в разделе "Маршрутизация", создана пользователем MikroDick, 8 авг 2017.

  1. MikroDick

    MikroDick Новый участник

    Здравствуйте!
    Не могу полностью победить vpn. ((
    Имеем: MikroTik hAP ac lite с RouterOS v.6.40.1 на борту.

    В здание заходит витая пара от провайдера, и подключается к внешнему интерфейсу Zyxel'я с белым ip, который шарит инет на все офисы здания, раздавая адреса по dhcp 192.168.0.0/24
    От lan порта Zyxel'я идёт провод на 1'й wan-порт нашего hAP ac lite.
    Наш Mikrotik раздаёт адреса 192.168.1.0/24 по dhcp нашей локальной сети.
    Порты с 2'го по 5'й - в одном бридже. Поднят vpn pptp.
    На головном Zyxel'е настоен проброс портов gre и 1723 на наш Mikrotik.

    Удалённые клиенты логинятся по vpn к локальной сети офиса. Все сетевые устройства, удалённые и локальные, пингуют друг друга, и могут шарить ресурсы по ip. Но на удалённых компах не отображаются в сетевом окружении устройства локальной сети офиса есть доступа к ресурсам локальной сети. Компы в локальной сети отображаются в сетевом окружении друг друга без проблем и шарят друг друга.

    В бридже с lan портами включен proxy-arp. На удалённых компах, в настройках vpn, установлен удалённый шлюз, как основной. Но это не помогает, удалённые пользователи не видят локальную сеть офиса...
    Куда копать?

    ===============
    /ip firewall filter
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
    add action=accept chain=input comment=VPN dst-port=1723 in-interface=ether1 protocol=tcp
    add action=accept chain=input comment=VPN protocol=gre
    add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
    add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=\
    ether1
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
    =================

    [admin@MikroTik] > /ip route print
    Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
    B - blackhole, U - unreachable, P - prohibit
    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 A S 0.0.0.0/0 192.168.0.1 1
    1 ADC 192.168.0.0/24 192.168.0.105 ether1 0
    2 ADC 192.168.1.0/24 192.168.1.1 bridge 0
    3 ADC 192.168.1.50/32 192.168.1.1 <user_MikroDick> 0
    =================

    [admin@MikroTik] > /ip address print
    Flags: X - disabled, I - invalid, D - dynamic
    # ADDRESS NETWORK INTERFACE
    0 ;;; defconf
    192.168.1.1/24 192.168.1.0 ether2-master
    1 192.168.0.105/24 192.168.0.0 ether1
    2 D 192.168.1.1/32 192.168.1.50 <user_MikroDick>
     
    Последнее редактирование: 9 авг 2017
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Читать MS в направлении "Обозреватель сети"
    Как вариант в направлении BCP.
    Вы только объясните, зачем видеть компы в сетевом окружении? Это очень древняя и ИМХО ненужная технология.
     
    Денис Друженков, Mama и MikroDick нравится это.
  3. MikroDick

    MikroDick Новый участник

    Спасибо Вам, уважаемый специалист! Я новичок в рулении Mikrotik'ов. Буду курить, что Вы мне советовали.
     
  4. Денис Друженков

    Денис Друженков Администратор

    Разверните в сети WINS, может поможет...