LINUX.ORG.RU
ФорумAdmin

Конфликт vpn server и vpn клиента на mikrotik

 


1

1

Здравствуйте, часто отваливается интернет. Интернет идет через провайдера по pptp client. Когда запущен на микротике server vpn не важно используют клиенты из вне его или нет (достаточно чтоб служба была запущена) отваливается интернет время от времени. Провайдер сказал нужно настраивать Magic. Так как в туннеле туннель это неправильно и будет конфликт.

Содержимое logs

https://pp.vk.me/c636317/v636317019/36a5e/oj7ppxma1Hc.jpg

И не важно используется server pptp или l2tp/IPsec везде идут обрывы.

# nov/21/2016 23:36:01 by RouterOS 6.37.1
# software id = IRA4-8Y2Q
#
/interface ethernet
set [ find default-name=ether1 ] name=ISP_1
set [ find default-name=ether2 ] arp=proxy-arp name=SERVER
set [ find default-name=ether3 ] master-port=SERVER
set [ find default-name=ether4 ] master-port=SERVER
set [ find default-name=ether5 ] master-port=SERVER
/interface pptp-client
add add-default-route=yes allow=mschap1,mschap2 connect-to=***ИП_ПРОВАЙДЕРА*** \
    disabled=no keepalive-timeout=disabled name=isp_pptp password=***ПАРОЛЬ*** \
    user=***ЛОГИН***
/ip neighbor discovery
set ISP_1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=l2tp ranges=192.168.90.100-192.168.90.200
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=SERVER name=defconf
/ppp profile
set *0 local-address=l2tp remote-address=l2tp
add change-tcp-mss=yes local-address=l2tp name=ssl remote-address=l2tp \
    use-encryption=yes use-upnp=no
set *FFFFFFFE local-address=l2tp remote-address=l2tp use-upnp=no
/system logging action
set 0 memory-lines=5000
set 1 disk-lines-per-file=100
/user group
set read policy="read,winbox,!local,!telnet,!ssh,!ftp,!reboot,!write,!policy,!\
    test,!password,!web,!sniff,!sensitive,!api,!romon,!dude"
set write policy="reboot,read,write,winbox,web,!local,!telnet,!ssh,!ftp,!polic\
    y,!test,!password,!sniff,!sensitive,!api,!romon,!dude"
/interface pptp-server server
set authentication=mschap2 default-profile=ssl enabled=yes max-mru=1460 \
    max-mtu=1460
/ip address
add address=192.168.88.1/24 comment=defconf interface=SERVER network=\
    192.168.88.0
add address=192.168.44.216/24 disabled=yes interface=ISP_1 network=\
    192.168.44.0
add address=***ВНЕШНИЙ_ИП*** disabled=yes interface=isp_pptp network=\
    192.168.100.1
add address=192.168.44.200/24 disabled=yes interface=ISP_1 network=\
    192.168.44.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    ISP_1
/ip dhcp-server lease

***ТУТ_ДЛИННЫЙ_СПИСОК_СТАТИЧЕСКИХ_АДРЕСОВ***

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static

***ТУТ_ДЛИННЫЙ_СПИСОК_САЙТОВ***

/ip firewall address-list

***ТУТ_ДЛИННЫЙ_СПИСОК_БЛОКИРОВОК***

/ip firewall filter
add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=\
    tcp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related
add action=accept chain=input comment=pptp in-interface=isp_pptp protocol=gre
add action=accept chain=input dst-port=1723 in-interface=isp_pptp protocol=\
    tcp
add action=drop chain=input comment="defconf: drop all from WAN" \
    in-interface=ISP_1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed-end-default-rulle" \
    connection-nat-state=!dstnat connection-state=new in-interface=ISP_1
add action=accept chain=input comment=l2tp disabled=yes in-interface=isp_pptp \
    port=1701,500,4500 protocol=udp
add action=accept chain=input disabled=yes in-interface=isp_pptp protocol=\
    ipsec-esp

	***ТУТ_ПРАВИЛА_ДЛЯ_СПИСКА_БЛОКИРОВОК***
	
add action=drop chain=input comment=no_proxy_inet dst-port=8080 in-interface=\
    isp_pptp protocol=tcp
add action=drop chain=input dst-port=53 in-interface=isp_pptp protocol=udp
add action=drop chain=input dst-port=53 in-interface=isp_pptp protocol=tcp

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=ISP_1
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=isp_pptp
add action=dst-nat chain=dstnat comment=web dst-port=80 in-interface=isp_pptp \
    protocol=tcp to-addresses=192.168.88.2 to-ports=80
add action=dst-nat chain=dstnat comment=ejudge dst-port=9999 in-interface=\
    isp_pptp protocol=tcp to-addresses=192.168.88.111 to-ports=80
add action=dst-nat chain=dstnat comment=web_ssl dst-port=443 in-interface=\
    isp_pptp protocol=tcp to-addresses=192.168.88.2 to-ports=443
add action=dst-nat chain=dstnat comment=contester dst-address=***ВНЕШНИЙ_ИП*** \
    dst-port=8888 protocol=tcp to-addresses=192.168.88.2 to-ports=8888
add action=redirect chain=dstnat comment=dns+proxy80-kab13 dst-port=80 \
    protocol=tcp src-address-list=kab13 to-ports=8080
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=\
    kab13 to-addresses=192.168.88.1 to-ports=53
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
    kab13 to-addresses=192.168.88.1 to-ports=53
add action=redirect chain=dstnat comment=dns+proxy80-kab15 dst-port=80 \
    protocol=tcp src-address-list=kab15 to-ports=8080
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp src-address-list=\
    kab15 to-addresses=192.168.88.1 to-ports=53
add action=dst-nat chain=dstnat dst-port=53 protocol=udp src-address-list=\
    kab15 to-addresses=192.168.88.1 to-ports=53
/ip firewall service-port
set ftp disabled=yes
/ip proxy
set cache-path=web-proxy1 enabled=yes max-fresh-time=10m parent-proxy=0.0.0.0 \
    src-address=192.168.88.1
/ip proxy access

***СПИСОК_БЛОКИРОВОК***

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.88.0/24 port=81
set ssh disabled=yes
/ppp secret
add name=LOGIN1 password=********** profile=ssl service=pptp
add name=LOGIN2 password=********** profile=ssl service=pptp
add name=LOGIN3 password=********** profile=ssl service=pptp
add name=LOGIN4 password=********** profile=ssl service=pptp
add disabled=yes name=LOGIN5 password=********** profile=ssl service=pptp
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=Mikrotik
/system logging
add disabled=yes topics=pptp
/tool bandwidth-server
set enabled=no
/tool e-mail
set address=173.194.77.108 from=*****************@gmail.com password=\
    ***************** port=587 start-tls=yes user=****************
/tool graphing interface
add
/tool graphing queue
add
/tool graphing resource
add
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=SERVER
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=SERVER


Как ты такую партянку распечатал?

anonymous ()

Долго разбираться в твоем фаерволе pptp требует gre Протокола и тогда Тунель в тунеле обычное дело. Отключи на время фаервол И начни добавлять правила постепенно. Но первым делом обрати внимание на свободное прохождение gre пакетов к првайдеру !

sova ★★ ()
Ответ на: комментарий от sova

В фаерволе есть два правила:

...
add action=accept chain=input comment=pptp in-interface=isp_pptp protocol=gre
add action=accept chain=input dst-port=1723 in-interface=isp_pptp protocol=\
    tcp

Поднял в самый верх, упал инет от провайдера(отвалился isp_pptp).

kpik ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.