Интернет из PPTP для определенных IP

Тема в разделе "Вопросы начинающих", создана пользователем Akmalov, 13 июн 2017.

  1. Akmalov

    Akmalov Новый участник

    Добрый день.
    Прошу подсказать в какую сторону копать

    RB951Ui-2ND

    eth1-wan - Статический IP адрес
    192.168.74.174
    255.255.255.128
    192.168.74.130
    С выходом в интернет

    vpn - PPTP Client
    Сам сервер 81.30.221.150
    Получаю IP - 172.16.2.97

    Сети
    Первая - 192.168.10.1/24 - получает доступ в интернет и натится через eth1-wan
    Вторая - 192.168.11.2/24 - Необходимо чтоб получала выход в интернет через VPN


    То что пробовал
    Статической Route - 0.0.0.0/0 to 192.168.74.130
    Когда PPTP Client ставлю Add default route и дистанцию меньше чем
    Статический то все ходят через VPN
    А когда сам статический Route - 192.168.11.2/24 to vpn не работает
    Даже не вижу как трассировка идет и куда пытается уйти
    Пробовал так же статические маршруты
    192.168.11.2/24 to 81.30.221.150
    192.168.11.2/24 to 172.16.2.97

    Firewall пустой все разрешено
     
  2. Akmalov

    Akmalov Новый участник

    /ip firewall nat add action=masquerade chain=srcnat out-interface=vpn
    /ip route add dst-address=0.0.0.0/0 gateway="vpn" routing-mark=mark_vpn
    /ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=mark_vpn new-routing-mark=mark_vpn passthrough=no
    /ip firewall address-list add address=192.168.11.2/24 list=mark_vpn

    Такая же ситуация - не получается
     
  3. Akmalov

    Akmalov Новый участник

    IP Firewall на вкладке Mangle.
    Создал новое правило:
    Chain: prerouting
    Src. Address: 192.168.11.2/24
    На вкладке Action:
    Action: mark routing
    New Routing Mark: vpn_mark

    в IP Routes и добавил новый маршрут.
    В качестве шлюза (Gateway) указал vpn интерфейс
    Routing Mark: Выбирал vpn_mark, которое создавал в /ip firewall mangle.

    Все проходит и работает
     
  4. Akmalov

    Akmalov Новый участник

    Теперь другая проблема на другом устройстве RB750 вроде
    Постоянно передеподключается к PPTP серверу

    Хотя на данном RB951Ui-2ND все работает без проблем

    В firewall пробовал все отключать

    В какую сторону копать?
     

    Вложения:

    • log.png
      log.png
      Размер файла:
      29,6 КБ
      Просмотров:
      3
  5. Денис Друженков

    Денис Друженков Администратор

    Дайте настройки PPPclient. Keepalive timeout какое значение используете ?
     
  6. Akmalov

    Akmalov Новый участник

    Flags: X - disabled, R - running
    0 X name="vpn" max-mtu=1450 max-mru=1450 mrru=1600 connect-to=81.30.221.150
    user="revizor" password="revizor" profile=default keepalive-timeout=60
    add-default-route=no dial-on-demand=no allow=mschap1,mschap2

    Те же самые настройки RB951Ui-2ND без проблем
     
  7. Денис Друженков

    Денис Друженков Администратор

    Дайте расширенный лог, что там у вас в нем при разрывах происходит ?
     
  8. Akmalov

    Akmalov Новый участник

    Как вывести расширенный лог?
     
  9. Денис Друженков

    Денис Друженков Администратор

    system --> logging --> добавьте топик l2tp, ppp. Тогда получите расширенный лог по данным топикам в лог.
     
  10. Akmalov

    Akmalov Новый участник

    добавил топик pptp, ppp.

    Сохранил лог (через 1 мин прервался)
    Повтор того же самого log2
     

    Вложения:

    • log.txt
      Размер файла:
      21,8 КБ
      Просмотров:
      2
    • log2.txt
      Размер файла:
      20,3 КБ
      Просмотров:
      3
  11. Денис Друженков

    Денис Друженков Администратор

    Что-то у вас по IPV6 проскакивает, выключите пока поддержку что бы не мешало...
     
  12. Akmalov

    Akmalov Новый участник

    В System - Package List он уже был выключен
     
  13. Илья Князев

    Илья Князев Администратор Команда форума

    /ip route
    add gateway=PPTP_CLIENT_INTERFACE routing-mark=pptp-route
    /ip firewall nat
    add chain=srcnat out-interface=PPTP_CLIENT_INTERFACE action=masquerade
    /ip firewall mangle
    add chain=prerouting src-address=192.168.11.2/24 action=mark-routing new-routing-mark=pptp-route
     
  14. Akmalov

    Akmalov Новый участник

    Спасибо, с этим вопрос решился.

    Хотел спросить есть какие причины или подозрения по поводу того что VPN сессия постоянно отваливается.
    Проверял на других микротиках все прекрасно работает. Именно на этом устройстве RB750 постоянно сброс идет. (т.е. переподключается)
     
  15. Денис Друженков

    Денис Друженков Администратор

    Если именно с этим микро тиком проблема, попробуйте NetInstall пере прошейте на 6.37.5.
     
  16. Akmalov

    Akmalov Новый участник

    Проблема решена перепрошивкой RB750

    Была версия на 6.29.1
    Обновилось до 6.39.2

    Спасибо всем.
     
  17. Veresk

    Veresk Новый участник

    Akmanov, доброго Вам дня

    Подскажите пожалуйста Ваш окончательный вариант настроек (командами в терминале), если не сложно.
    А то мне, как новичку трудно понять, какие настройки позволили Вам пустить весь трафик сети 192.168.11.2/24 через VPN тоннель.
    Эти
    или эти
    плюс эти?
     
  18. Akmalov

    Akmalov Новый участник

    Последнее
    + Выше Илья Князев писал в принципе то же самое

    Получается что то вроде
    1) Мы маркируем весь трафик с сети 192.168.х.х как VPN_TRAFF
    2) В IP Route создаем правило где для VPN_TRAFF основной шлюз будет VPN соединение

    Ну и нат необходимо прописать
    /ip firewall nat
    add chain=srcnat out-interface=VPN соединение action=masquerade
     
    Последнее редактирование: 4 июл 2017
  19. Veresk

    Veresk Новый участник

    Благодарю Вас за ответ)
     
  20. Veresk

    Veresk Новый участник

    Друзья,
    с пробросом трафика по VPN понял. Благодарю Вас еще раз.
    Теперь, передо мной стоит вопрос динамического создания правил для цепочки forward в firewall при подключении нового клиента, чтобы иметь возможность его трафик так же пустить через vpn тунель. Что-то типа:
    :foreach k in=[/interface l2tp-server find] do={/ip firewall filter add action=accept chain=forward disabled=no in-interface=<l2tp-user1> out-interface=vpn-tunnel place-before=[/ip firewall filter find action=accept chain=forward disabled=no in-interface=bridge-local out-interface=vpn-tunnel] ;}
    Загвоздка этого правила в том, что что его необходимо запускать видимо через какой то интервал времени. Здесь не проблема и можно воспользоваться постановкой задания например с интервалом в 5 сек. Однако, возможно кто то сможет подсказать - может я совсем не в ту сторону копаю и есть более элегантный способ решения моей задачи?