Problema com o tunel da VPN a partir de um local remoto através do ISP (PPTP)

7

Eu tenho uma situação de rede como esta:

Problema com o tunel da VPN a partir de um local remoto através do ISP (PPTP)

  • ISP Router (modem) - dispositivo fornecido pelo nosso ISP - modem e roteador em um, mas está definido no modo transparente - o ISP diz que sim; D, temos que descobrir que é verdade :)
  • MikroTik Router (MTR) - nosso roteador de borda com firewall
  • Servidor NAS e servidor VPN (NAS) - caixa Synology com nosso armazenamento de dados e também com servidor VPN com serviços PPTP, OpenVPN, L2TP / IPSec em execução - aos quais os funcionários da nossa empresa local e do local remoto conectam para obter dados
  • Estação local (LS) - trabalhadores em nosso site de rede - eles estão usando o Windows 8, o que significa que eles usam PPTP
  • Estação remota (RS) - trabalhadores em local remoto atrás de diferentes ISPs

Abaixo apresento nossa configuração Mikrotik:

Tabela de roteamento:

Dst. address   | Gateway      | Distance | Pref. source   |
0.0.0.0/0      | 1.1.1.9      | 2        | -              |
1.1.1.8/30     | ether1       | -        | 1.1.1.8/30     |
192.168.1.0/24 | bridge local | -        | 192.168.1.0/24 |

Firewall:

Action | Chain | Dst. Address  | Protocol | Dst. Port |
accept | input | 192.168.1.230 | 6 (TCP)  | 1723      |
accept | input | 192.168.1.230 | 47 (GRE) | -         |
accept | input | 192.168.1.230 | 6 (TCP)  | 5006      |

NAT:

Action     | Chain  | Source Addr    | Dst Address   | Proto    | Dst Port | Out Intf   |
masquerade | srcnat | -              | -             | -        | -        | ether1     |
dstnat     | dstnat | -              | 1.1.1.9       | 6 (TCP)  | 1723     | -          |
dstnat     | dstnat | -              | 1.1.1.9       | 47 (GRE) | -        | -          |
dstnat     | dstnat | -              | 1.1.1.9       | 6 (TCP)  | 5006     | -          |
masquerade | srcnat | 192.168.1.0/24 | 192.168.1.230 | -        | -        | -          |

A última regra é usada para evitar a ocorrência de gancho de cabelo

As regras no Mikrotik são feitas por enquanto apenas para o protocolo PPTP !!!


Nosso LS não tem nenhum problema para conectar-se ao NAS no tunel VPN PPTP. O problema começa quando nossos funcionários de RS de diferentes locais tentam obter o túnel VPN para o nosso NAS. Eles recebem um código de erro de VPN do Windows 619.


Eu fiz alguns testes.

Eu me conectei diretamente do site do ISP e eliminei o modem e o host do ISP que usei para o teste (ele tinha endereço de IP 1.1.1.9 e gateway 1.1.1.10) e funcionou bem - mas nas regras NAT no MTR foram definidas 1.1. 1.10 endereços de destinos não 1.1.1.9 como agora.

Eu mudei porque, quando uso o what.is.my.ip, recebi nosso endereço público em 1.1.1.9 - também uso esses endereços no dynDNS. Por isso eu mudei.

Portanto, quando há 1.1.1.10, não há problema em obter o tunel da VPN (apenas os controles remotos os tinham - então poderia estar bloqueando a porta no site do ISP, eu acho), mas quando eu uso o 1.1.1.9 nas regras NAT, também o meu host age como um ISP modem obter código de erro 619.

Hoje eles recebem 800 códigos de erro de VPN em vez de 619: /

Qual poderia ser a causa do meu problema?

Por que funciona do nosso lado quando uso 1.1.1.10 e recebo erro usando 1.1.1.9 na tabela NAT?

user3799089
fonte

Respostas:

4

Por que funciona do nosso lado quando uso 1.1.1.10 e recebo um erro usando 1.1.1.9 na tabela NAT?

Você tem um problema com a configuração 1.1.1.9 como um IP NAT externo no Mikrotik. A interface externa do Mikrotik é a / 30; você está usando 1.1.1.9/30 como gateway padrão e um IP NAT externo no Mikrotik. Se você for usar 1.1.1.9/30 no Mikrotik, precisará do 1.1.1.10 como gateway padrão.

No momento, você está usando o 1.1.1.9 como gateway padrão e IP NAT externo.

Tabela de roteamento atual:

Dst. address   | Gateway      | Distance | Pref. source   |
0.0.0.0/0      | 1.1.1.9      | 2        | -              |

Tabela NAT atual:

Action     | Chain  | Source Addr    | Dst Address   | Proto    | Dst Port | Out Intf   |
masquerade | srcnat | -              | -             | -        | -        | ether1     |
dstnat     | dstnat | -              | 1.1.1.9       | 6 (TCP)  | 1723     | -          |
dstnat     | dstnat | -              | 1.1.1.9       | 47 (GRE) | -        | -          |
dstnat     | dstnat | -              | 1.1.1.9       | 6 (TCP)  | 5006     | -          |
masquerade | srcnat | 192.168.1.0/24 | 192.168.1.230 | -        | -        | -          |

O que é um pouco confuso é o diagrama, que diz que o roteador do ISP-A está em um "estado modem" transparente. Certifique-se de que o esquema de endereçamento IP que você está usando no Mikrotik seja consistente com as expectativas do ISP-A. Se o roteador for transparente, não tenho certeza se você deve ter um endereço IP.

Mike Pennington
fonte
Sim, tenho certeza porque o pool de rede é fornecido pelo nosso ISP.
user3799089
11
Bem, a Mikrotik está mal configurado, desde que você use 1.1.1.9 tanto como default-gateway e IP NAT externo no Mikrotik
Mike Pennington
Quando mudei o gateway padrão de 1.1.1.9 para 1.1.1.10, perdi a conectividade com a Internet do meu MTR e de toda a LAN. SO Se eu quiser usar endereços IP 1.1.1.9, tenho que deixar 1.1.1.9 na tabela NAT e alterar o gateway padrão da tabela de roteamento para 1.1.1.10? Estou correto?
User3799089
Junte-se a mim no chat
Mike Pennington
Como você recomendou, voltei às configurações antigas e agora podemos estabelecer o tunel da VPN :) Obrigado!
user3799089