Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевое оборудование (http://forum.oszone.net/forumdisplay.php?f=55)
-   -   Одна сеть не видит другую (PPTP между двумя офисами) (http://forum.oszone.net/showthread.php?t=327593)

Feramount 14-06-2017 13:32 2744477
Одна сеть не видит другую (PPTP между двумя офисами)
 
Добрый день. Поднял pptp сервер на микротике RB2011UiAS-2HnD-IN.
Создал пользователя который получает IP 10.5.5.2 а микротику присваивается 10.5.5.1
Настроил маршруты

С другой стороны стоит dlink dfl-260e. Он нормально подключается, видит все компьютеры в сети микротика, но со стороны микротика я не могу достучаться до длинка и его компов.
На Длинке все настроено вот так

mikrotik_krasn_network - 10.122.122.0/24
lannet - 10.122.121.0/24
mikrotik_krasn_endpoint - внешний IP адрес микротика



В чем проблема и куда надо копать?

freese 14-06-2017 14:24 2744522
Feramount, логику dlink dfl-260e не знаю, но думаю что дело в NAT

cameron 14-06-2017 15:01 2744539
нужно сделать Site-to-site VPN

Feramount 14-06-2017 15:04 2744542
Цитата:
Цитата cameron
нужно сделать Site-to-site VPN »
а разве PPTP не может решить задачу объединения двух офисов?

Feramount 14-06-2017 15:29 2744549
В продолжение к теме.
Решил проблему с доставкой пакетов до DLINK. В Микротике в Route было прописано 10.122.121.0/32 а надо было 10.122.121.0/24
На логах dlink теперь получаю ответы

Feramount 14-06-2017 16:40 2744575
Вообщем что я имею к вечеру. Все запрещенные пакеты

Правила настроил так:

Может кто будет мимо проходить и тыкнет меня в чем проблема?

James Marsh 14-06-2017 22:26 2744643
Цитата:
Цитата Feramount
Может кто будет мимо проходить и тыкнет меня в чем проблема? »
Паходу местный знаток ДФЛей здеся я.

Ув. cameron, правильно сказала:
Цитата:
Цитата cameron
нужно сделать Site-to-site VPN »
а это либо OpenVPN либо IPSec. Так как ДФЛька первого не умеет, то остается второй. Главное условие - наличие белых IP на концах туннеля.

+ Чей-та у Вас прошивка древняя как для 260е. Наверное 2,40 еще. Я бы рекомендовал обновиться до FW_v10.22.01.04-upgrade.img (если конечно Вам не важна аббревиатура ФСТЭК).

По теме:

Из подсети в подсеть должна быть пара правил. Кста: Правила на ДФЛьке читаются сверху вниз!!!
По идее пары правил должно хватить:
name / action / src if / src netw / dst if / dst nwtw / service

from_pptp / allow / pptp_if / pptp_net / lan / lan_net / all_services - разрешает хождение трафика ТУДЫ
to_pptp / allow / lan / lan_net / pptp_if / pptp_net / all_services - разрешает хождение трафика СЮДЫ

Но скажу честно, для Ваших нужд лучше и правильнее IPSec

cameron 14-06-2017 22:39 2744647
Цитата:
Цитата James Marsh
Правила на ДФЛьке читаются сверху вниз!!! »
это логика работы любого нормального файервола. потому что последнее - deny - all traffic - any - any.
и это тоже правило любого нормального файервола

Feramount 15-06-2017 09:40 2744723
Цитата:
Цитата James Marsh
Паходу местный знаток ДФЛей здеся я. »

Я получается на микротике сделал перенаправление с 10.122.121.0 на виртуальную сеть 10.5.5.2
На Длинке настроил прием пакетов что бы они не отсеивались


Сейчас все работает, Ура мне, сетки видят друг друга. Но заметил одну странность.
У нас есть АТС которая стоит за Длинком.
За Микротиком будет стоять 3 IP телефона. Сейчас я подключил 1 телефон и в АТС он зарегался с IP 10.5.5.1. И мне интересно, не будут ли она конфликтовать. Вечером попробую.

p.s. Да я упорно делаю pptp не надо меня ругать за это)

cameron 15-06-2017 10:01 2744727
Цитата:
Цитата Feramount
p.s. Да я упорно делаю pptp не надо меня ругать за это) »
ругать вас не за что - вы путаете тёплое с мягким.
PPTP - протокол
STS - тип туннеля

James Marsh 15-06-2017 20:06 2744934
Цитата:
Цитата Feramount
p.s. Да я упорно делаю pptp не надо меня ругать за это) »
Вас никто и не ругает. Вам просто рекомендуют, как избежать набитого лба граблями из-за "колхоза".


Время: 14:33.

Время: 14:33.
© OSzone.net 2001-