Объединение офисов через PPTP (MIKROTIK)

Использование данной схемы приоритетно, когда одна из сторон тунеля имеет динамический IP или находится за NAT провайдера. Отличный вариант, если вы используете в дополнительном офисе 3G или LTE канал.

UPD! Крайне рекомендую ознакомиться со статьей по производительности VPN каналов Mikrotik.

Центральный офис

Параметры узла со статическим IP

Удаленный офис



UPDУ некоторых возникает задача пропуска broadcast (широковещательного) трафика через PPTP тунель. Для этого можно воспользоваться настройкой профиля подключения /ppp profile:

После чего интерфейс подключения удаленного офиса (PPTP Server Binding) будет добавлен в бридж главного офиса.

115 мыслей о “Объединение офисов PPTP”

    1. Конечно. Для этого все и делается. Удаленная сеть (пример) 192.168.2.Х сможет пинговать 192.168.17.X и в обратном направлении. Будет вообще, в плане коммуникаций, полноценная “локальная” сеть, за исключением широковещательных запросов (что очень хорошо).

      1. Подключил таким образом к vps CHR 4 удаленных офиса.
        CHR назовем точкой А
        А удаленные офисы B C D E
        Как получить доступ из офиса например D к офису B?

        все офисы увидеть с одного компа только если подключаюсь к CHR по l2tp ipsec. А хотелось бы сразу из любого офиса с любого компа иметь доступ к любому другому удаленному офису… куда рыть?

      2. в B, C, D, E в ip – route – rules скопировать правило до сети A (которое создается скриптом) и заменить сеть (dst-address) на сеть соседних сетей. Например, в B прописать путь до C, D, E. Когда пути в обоих направлениях будут прописаны – все получится.

    1. Конечно нужно. Скрипт обновил, теперь при указании резервного IP, будет формироваться правило Firewall.
      Спасибо за замечание.

      1. Спасибо. И ещё прошу уточнить: если PPTP-туннелей между удалёнными офисами и центральным делаем несколько, то на стороне центрального офиса на каждый туннель должен быть отдельный IP, или достаточно одного на PPTP-сервер?

      2. Внутри туннеля у каждого офиса свой. Маршруты наглядно будут такие:
        Удаленный -> Центральный
        192.168.2.X -> 192.168.0.100 -> 192.168.0.X
        192.168.3.X -> 192.168.0.101 -> 192.168.0.X

        Центральный-> Удаленный
        192.168.0.X -> 192.168.0.1 -> 192.168.0.100 -> 192.168.2.X
        ….
        Среднее звено и есть параметр “IP удаленного офиса в сети центрального офиса”.
        Если имелось ввиду внешний IP PPTP сервера (от провайдера), то один.

  1. На прошивках 6.29 и выше требуется доработка напильником.
    1. Нулевую позицию в /ip firewall filter тепеь занимает встроенное правило для показа счётчиков fasttrack. Подвинуть его нельзя, поэтому правила “PPTP Access” и “to_X.X.X.X” надо двигать не на нулевую, а на первую позицию.
    2. В /ppp secret add теперь надо явно указывать профиль default-encryprion.

    1. Я использую 6.32.3 и никаких зафиксированных правил нет. Сгенерированный скрипт отрабатывает без ошибок. Второе тоже не подтвердилось (для учетки PPTP вообще нет такого параметра). Возможно у вас включен какой-либо функционал, который не включен по умолчанию?

      1. В конфигурации “из коробки” есть зафиксированное не удаляемое правило (я с ним, кстати? долго мучался – не работал шейпер из-за него)
        А Ваш проект очень интересный, спасибо!

      2. Поправил скрипт. Теперь правила доступа /ip firewall filter будут размещаться в позицию 1, вместо 0, которая может вызвать конфликт с встроенным fasttrack правилом.

  2. Добрый день!
    А подскажите, как реализовать подключение по IPsec 3 и более офисов, при этом, чтобы если идет обращение от 3 ко 2, не получилось так, что физически маршрут идет от 2 до 1 (главный) и потом через него уже физически идет к 3.

    1. Тут 2 схемы:
      1. Звезда, когда вы в каждом офисе настраиваете канал до остальных. Плюс: не зависимость от 1 узла (хоть и главного), разгрузка канала главного офиса.
      2. Через центр. В этом случае нужно прописать маршрут в каждом офисе, что другие офисы доступны через шлюз центрального офиса.
      По первому вопросов нет, все и так заработает.
      Во втором варианте:
      1. К примеру, IP центрального офиса 192.168.0.1, а сети офисов 192.168.2.0/24, 192.168.3.0/24, 192.168.4.0/24;
      2. Для офиса 2.0/24 прописываем маршруты: /ip route add distance=1 dst-address=192.168.3.0/24 gateway=192.168.0.1 и /ip route add distance=1 dst-address=192.168.4.0/24 gateway=192.168.0.1
      3. Для офиса 3.0/24 прописываем маршруты: /ip route add distance=1 dst-address=192.168.2.0/24 gateway=192.168.0.1 и /ip route add distance=1 dst-address=192.168.4.0/24 gateway=192.168.0.1
      4. Для офиса 4.0/24 прописываем маршруты: /ip route add distance=1 dst-address=192.168.2.0/24 gateway=192.168.0.1 и /ip route add distance=1 dst-address=192.168.3.0/24 gateway=192.168.0.1
      Думаю все заработает.

  3. Здравствуйте! Спасибо огромное за скрипт!
    Но возникает такая проблема: после запуска скрипта интерфейсы поднимаются, но пинга нет. Маршрут не активен. После того, как в ручную нажать Enable на Routes в центральном офисе пинг филиала появляется, но затем через несколько секунд, маршрут падает и пинг снова пропадает. Из филиала даже это не помогает. Фаервол полностью отключал – не помогает. Пингую через сами микротики.

    1. Семь бед один reset. Попробуйте сбросить и настроить все заново. Скорее всего, не точно введены параметры для скрипта. Если хотите найти причину: 1. Отключите ping-контроль маршрутов (check-gateway). 2. Проверьте корректность маршрутов – в главном офисе должно быть четко сказано где искать сеть филиала, а в филиале где искать офис. Проверьте какой IP выделяет микротик головного офиса для PPTP сессии удаленного офиса (допустим это 192.168.0.54). Проверьте направлены ли маршруты для филиала (192.168.4.0/24) через шлюз 192.168.0.54 (не путайте с шлюзом головного офиса). Все это можно проверить используя /tool traceroute, аналогично ping, но видя узлы через которые проходит пакет.

      1. В центральном офисе (172.16.0.0/24) убрал ping-контроль, сменил профиль на default. Итог: центральный пингует весь филиал, а филиал (172.16.1.0/24) пингует лишь шлюз центрального.
        Маршрутизация на филиальном
        dst-address=0.0.0.0/0 gateway=pptp_81.211.xx.xx routing-mark=vpn_81.211.xx.xx
        В правилах dst-address=172.16.0.0/24 table=vpn_81.211.xx.xx

        И reset нет возможности сделать 🙁
        Помогите, пожалуйста.

      2. В центральном офисе на бридже (bridge) можно попробовать arp=proxy-arp
        arp

  4. Если не трудно – помогите кто нибудь.
    В двух словах разделился офис и часть переехало на другой этаж.
    И там и там IP выделенные. (пускай будут 195.100.50.20 и 195.100.50.21)
    Есть два микротика RB2011UiAS-2HnD-IN

    Задача как всегда тривиальна – объединить оба офиса но так что бы подсеть была одна и та же (192.168.100.0). Компы и принтеры в сети виделись. Понимаю самый простой вариант прокинуть просто витую до офиса, но… не дают 🙂

  5. Извините, туплю с недосыпа, настроил EoIP через WinBox, указал на обоих микротиках IPшники друг друга и в бридже на локальный интерфейс кинул EoIP тунели

    1. Если не “жалко” канал интернета, то конечно EoIP, в противном случае при невозможности прокладки кабеля – WiFi мост. Рекомендую именно 5ГГц, а не 2.4ГГц который и так наверняка загружен если здание офисное. При использовании WiFi моста получите пинг 0-2мс и канал 100 (а то и больше).

  6. Подскажите пожалуйста.
    По данному скрипту объединил в одну сеть несколько филиалов.

    Теперь хочу, в филиале сделать резервный канал.
    Выделяю для этого отдельный порт. Провайдер дает ip по DHCP.
    Настроил Distance=2 для второго провайдера.

    При пропаже Ping через первого провайдера интернет переключается на 2-го провайдера как и должно быть, а вот VPN туннель до офиса не поднимается.

    1. нужно ли что то дополнительно настраивать в случае появления в филиале второго провайдера?
      может какие то маркировки дополнительные или что то еще?

      1. Нет. Ничего не нужно. Если пакеты с роутера уходят в интернет, то и PPTP подключение автоматом переподключется. Никакой привязки исходящего подключения к шлюзу (каналу провайдера) нет.

  7. Доброго времени суток! А если офиса 3? Предположим, центральный, 88.0/24
    офис1 – 89.0/24
    офис2 – 90.0/24
    Понятно, что у обоих офисов будет связь с центральным узлом.
    Вопрос – сможет ли в таком варианте офис1 достучаться до офиса2?
    Спасибо!

    1. Да, конечно это возможно. Необходимо просто прописать маршруты в этих офисах “где искать напарника”. Если вы воспользовались мастером для объединения офисов, то в Офисе 1 и 2 у вас есть правило маршрутизации (/ip route rule) вида: dst-address=192.168.88.0/24 table=vpn_1.2.3.4, где 1.2.3.4 – это IP центрального офиса. Предложу вам вариант не для 3х офисов, а для N офисов:
      1. Обозначим, что сеть произвольного офиса Х имеет сеть 192.168.Х.0
      2. В правилах маршрутизации первым добавляем следующее правило: /ip route rule add dst-address=192.168.Х.0/24 table=main, что будет обозначать, что трафик офиса Х нужно обрабатывать “на месте”.
      3. Вторым правилом будет отправка трафика 192.168.Y.Y на центральный офиса (а он уж там разберется): /ip route rule add dst-address=192.168.0.0/16 table=vpn_1.2.3.4
      В центральном офисе ничего делать не нужно.

  8. Добрый день!
    Помогите решить задачу,
    после переезда офиса пришлось перейти на yota. (до этого была статика), нескольким пользователям необходимо подключаться к терминальному серверу вне офиса.

    Дома есть Статический IP+МИКРОТИК
    соединил Дом и офис по Вашей схеме, все ок!

    Дом1 статический IP
    Офис2 динамический IP+Сервер Терминалов.

    Cоздал несколько пользователей для подключения к серверу терминалов по VPN (для подключения из Windows).
    Они подключаются к Дом1 и ходят на сервер терминалов Офис1, но при этом используют интернет трафик Дом1.

    Вопрос: Как отключить интернет трафик который идет подключенным пользователям через Дом1, или вообще запретить VPN пользователям все кроме доступа к одному IP (серверу терминалов)?

    Либо может есть более эстетичное решение данной задачи?
    Огромное СпасибО!

    1. Самое эстетичное – установить Micktoik во всех офисах и все будет гуд, т.к. статический IP нужен только для одной стороны (сервер PPTP, у вас это домашний микротик). Но, как я понял, есть ноутбук со свистком (USB модем) назовем его ОФис2. Для этого случая вопрос несколько проблемней:
      1. Нужно отключить использование шлюза в подключении (Свойства подключение / Протокол Интернета (TCP/IP) / Дополнительно / Использовать основной шлюз в удаленной сети);
      2. Добавить статический маршрут в Windows для доступа к Офис 1. route -p add 192.168.100.0 mask 255.255.255.0 192.168.88.55, где 192.168.100.0/24 это сети Офис1, а 192.168.88.55 – это IP который выдает домашний микротик для подключения ОФис2;

      Если не добавлять маршрут, то мобильные клиенты смогу ходить только по домашней сети. Если бы у вас дома стоял терминальный сервер, то отключение “галочки” п.1 было бы достаточно.

      1. Микротик стоит и Дома(стат. IP)сеть 192.168.1.0/24 и в Офисе (сер. IP Yota) сеть 192.168.88.0/24 , так же в сети офиса поднят терминальный сервер(192.168.88.234).
        Дом и Офис соединены по PPtP. Офис подключается к дому и получает IP 192.168.1.200

        Клиент который подключается через интернет по VPN к Домашнему Mikrotik( получает IP 192.168.1.199) видит обе подсети и терминальный сервер, т.к. Офис подключен по PPtp к Дому. Но, хочется завернуть домашний интернет траффик.

        Если убрать галочку в VPN соединении “Использовать основной шлюз в удаленной сети” то клиентом пингуется только шлюз дома 192.168.1.1 и всё! сеть офиса не доступна.

        Не хватает маршрута , а какого не могу понять!

        Надеюсь понятно изложил суть проблемы, т.е. оставить VPN клиенту только доступ к серверу терминалов 192.168.88.234, и отключить возможность пользоваться интернет трафиком домашней сети 192.168.1.0/24

      2. “Клиент который подключается через интернет по VPN” – это просто “компьютер” который подключается к PPTP через средства Windows? Если да, то от имени адмнистратора выполните на этом компьютере:
        route -p add 192.168.88.0 mask 255.255.255.0 192.168.1.1. Смысл этого такой: весь трафик который принадлжеит подсети 192.168.88.ХХХ отправлять на шлюз 192.168.1.1. А галку о шлюзе в настройках подключения надо убрать. Так же нужно учитывать что у клиента не должно быть локальной сети 192.168.1.0/24 или 192.168.88.0/24 иначе этот трафик будет считаться локальным и не уйдет в VPN канал.

  9. Форумчане помогите! Вот начальник дал задачу настроить локалку между центральным офисом и филиалами в сетях не в зуб ногой есть микротики а как реализовать настройку не пойму офисы находятся в разных городах но надо что бы подключались все на сервер 1с и работали по RDP по мимо этого еще и видели расшаренную папку файл помойки !!!!

    1. Вам нужен VPN. Нужен белый+статический IP в одном из офисов (он будет центральным). В офисах должны быть разные подсети (например 192.168.1.Х и 192.168.2.Х). Далее вам надо заполнить форму выше, нажать “Сформировать скрипт” и выполнить их в соответствующем микротике… Если все укажете верно, то все что вы хотите заработает сразу. Начинайте изучать. Будут конкретные вопросы – пишите.

  10. У меня другая проблема. Из удаленного офиса центральная сеть видна, а с центрального офиса пингуется только “IP удаленного офиса в сети центрального офиса” 🙁

    1. Проверьте маршруты в микротике центрального офиса (ip / routes). в Rules проверьте очередность правил. Возможно какое-то правило шлет пакеты не туда или 0.0.0.0/0 в с нужным маркером (Route Mark) отправляются на не верный шлюз. Чтобы точнее понять, напишите результат по: /ip route export.

      1. # jun/14/2016 17:14:00 by RouterOS 6.35.2
        # software id = DQWP-SQ78
        #
        /ip route
        add check-gateway=ping distance=1 gateway=192.168.99.200 routing-mark=\
        vpn_192_168_77_0

      2. Если это все то у вас не хватает правила маршрутизации (ip / route / rule):
        /ip route rule add dst-address=192.168.77.0/24 table=vpn_192_168_77_0

  11. Спасибо! Теперь запинговалось. Еще вопрос тогда. А если в удаленном офисе есть еще одна подсеть 192.168.70.0/24 как ее увидеть с центральной?

    1. Уже сам догадался 🙂 Нужно просто добавить такой же рулез на эту подсеть.

  12. Здравствуйте, может вопрос немного не по теме, но прошу помощи.
    В локальной сети есть компьютер с файловым сервером SeaFile,
    к нему есть доступ по web интерфейсу по 8000 (порту 192.168.1.10:8000) и порт 8082 для передачи файлов и данных.
    Ну так вот все отлично работает в пределах локальной сети, через интернет настроил проброс 8000 порта на Микротике и попадаю на 192.168.1.10:8000 ,работает вэб интерфейс, вижу все папки и файлы, НО не могу ничего скачать или закачать. Хотя в пределах локальной сети все работает 100%. порт на микротике 8082 открыт.
    Вопроc: Что еще нужно открыть на Микротике для передачи файлов с (192.168.1.10:8000) через интернет?
    Спасибо!

  13. Вопрос снимаю, на микротике все правильно, дело было в настройках файлового сервера, Большое Спасибо!

  14. Сгенерировал скрипты по своим параметрам. На сервере и клиенте выполнил полученные скрипты, но увы – не пингуется удаленная сетка. В логах сервера пишет pptp, info TCP connection established from 204.93.154.199. В Interface List PPTP Server Binding тоже проявляет активность по Tx и Rx. Но увы… Удаленный роутер работает через 3G Beeline свисток, а у сервера белый статический адрес. Подскажите, в чем причина, куда копать?!?

    1. 1. Посмотрите какой IP выделил PPTP сервер для офиса.
      2. Проверьте: в сетях офиса и филиала – разные подсети. Если будет одна подсеть (например голова: 192.168.1.0/24 и в филиале 192.168.1.0/24) то пакеты не буду попадать к микротику для маршрутизации.
      3. Проверьте маршруты ip routes.
      4. Проверьте правила маршрутизации ip routes rules.

      1. Спасибо. Скрипты работают! Но заработало только после после полного сброса клиентского Микротика, без загрузки установок по умолчанию. На пустой сгенерированные скрипты ставятся и работают. Совет всем – делать полный сброс и не загружать дефолтные настройки. Врукопашную забиваются настройки LAN и PPP соединения через свисток. Еще раз спасибо!!!
        P. S. Теперь возник еще вопрос, часто падает канал 3G соединения и через нерегулярные промежутки времени сам не восстанавливается (иногда раз в 15 минут, но чаще и раз в сутки такой оказии не бывает). Посоветуйте, как можно это порешать?

      2. На здоровье. Надо понимать, что скрипты не могут учесть всей специфики ваших настроек. В скриптах все “двигается” вверх, чтобы правила генерируемые скриптом имели приоритет, но гарантии 100% это не дает. Я мастером пользуюсь сам – минута и удаленный офис в сети.

  15. Добрый день. Нужно соединить точку со свистком юсб и офис со статикой.
    IP удаленного офиса в сети центрального офиса
    Не до конца понял что это

    1. Когда удаленный клиент подключается PPTP сервер выделяет ему IP. Этот IP должен быть в адресном пространстве сети головного офиса. Т.к. скрипт “не знает” какое адресное пространство вашего головного офиса и не знает какой адрес (статично) можно занять, то он его просит. Для того чтобы определиться с адресом нужно зайти в Leases DHCP сервера и посмотреть свободные адреса, так же нужно не “попасть” в адреса других офисов. Их можно глянуть в PPP / Secrects в столбце Remote Address.
      Например, сеть головного офиса 192.168.100.0/24, сам микротик имеет IP 192.168.100.1, DHCP выделяет для регистрации клиентов сети (пул). 192.168.100.30-192.168.100.99, то указать для удаленного офиса можно 192.168.100.100. Следующий офис будет 101 и т.д. Лучше сразу зарезервировать для удаленных офисов пространство 192.168.100.100-192.168.100.150 и использовать их. Чтобы все было по порядочку.

  16. Здравствуйте.Помогите,пожалуйста.
    Центральный офис-локальная сеть 192.168.123.0/24 ip 87.xxx.xx.xx
    Дом 192.168.100.0/24.Подключен через usb модем.
    Заполнил форму,запустил и там и там скрипты.Дома pptp клиент пытается коннектиться,но коннекта не происходит.Средствами windows,если создать pptp клиента,коннект происходит.
    заранее спасибо

  17. Добрый день. Скрипт очень сильно упростил задачу по объединению двух сетей. Задача была подключить доп. офис к центральному, где крутятся основные сервисы компании, в том числе и контроллер домена и, собственно, ввести компьютеры из доп. офиса в домен. Всё получилось, за исключением того, что у клиентов, которые подключатся к вайфаю нет доступа ни в интернет ни в сеть центрального офиса. Что можете посоветовать?

      1. К микротику. Да что-то просто пошло не так) Сбросил настройки, сделал всё заново и заработало. И ещё один вопрос. Как сделать доступ к компьютерам из доп. офиса к компьютера центрального по имени, а не по ip?

      2. Здравствуйте. Помогите если можете. Есть выделенный сервер не в нашей стране. На нем на виртуалке RouterOS P10. Интерфейс там только один ether1 он же WAN с белым айпи. Поднят там PPTP сервер. Есть два клиента К1 и К2 допустим. Клиентами являются роутеры микротик 750. Они подключаются к серверу PPTP. У К2 в локалке есть железка с вебмордой, а К1 должен на нее ходить. Все работает но эта вебморда очень долго подгружается. Интернет через РРТР быстро работает, другие сайты мигом открывает. Раньше все работало напрямую по белым айпи, вебморда быстро открывалась. Топология следующая. Сервер выдает в туннель адреса типа 192.168.11.х сам имеет адрес 192.168.11.1. К1 получает адрес 192.168.11.5. К2 получает 192.168.11.6 у него локалка 192.168.5.х вебморда 192.168.5.200 настроен нат с 220220 порта на 80. К1 набирает в браузере 192.168.11.6:220220 и все очень долго подгружается. TCPMSS игрался бестолку, MTU тоже

      3. Было бы лучше если совсем бы не работало :). В данном случае настройка делается скриптом (если настраивали сами, попробуйте сгенить любой моим мастером и посмотреть), но надо на К1 добавить маршрут до К2 и на К2 до К1. NAT тут совсем не нужен (удалите правила). Суть в том чтобы сказать К1 и К2, что в тунель отправлять трафик не только для вашего RouterOS P10 (192.168.1.0/24) но и трафик для напарника (для К2 это будет 192.168.5.0/24 -> pptp_interface). Дальше нужен ваш конфиг или хотябы чтобы вы сделали настройку мастером настройки, чтобы дать конкретный скрипт.
        Еще раз – маскарадинг (NAT) тут вообще не нужен. Из сети К1, вы должны зайти на морду мироктика К2 через его IP: 192.168.5.1, сеть 192.168.11.0/24 тут вообще не нужна.

  18. маршруты только на клиентах получается надо прописать? на сервере надо что-то добавлять?

    1. Добавил маршруты с К1 до К2 и наоборот. Не ходит. Добавил на сервере. Работает, но также как через нат медленно. То есть они сперва идут на сервер а с него по клиентам. Клиент-клиент не получается.

  19. подскажите пожалуйста.
    Имеем:
    микротик1-192.168.3.100
    сеть 192.168.3.0/24 (диапазонадресов 192.168.3.10 – 192.168.3.20)
    белый внешний статический адрес к примеру: 1.1.1.1

    микротик2-192.168.3.99
    сеть 192.168.3.0/24 (диапазонадресов 192.168.3.21 – 192.168.3.40)
    динамический внешний адрес

    как объединить сети, сохранив адресное пространство.

    1. Решение, возможно, есть (EoIP). Я вам крайне не рекомендую этого делать. Вот почему:
      1. Вы рискуете получить конфликты IP и проблемы с работой DHCP (ее нужно налаживать), т.к. они будут пытаться выдать IP из другой сети;
      2. Вы получите большую загрузку Интернет канала из-за трансляции трафика, включая широковещательнный;
      Судя по всему у вас сети маленькие, поэтому лучше потратить немного времени и перейти на разделенную адресацию, т.к. поленившись сейчас придется все равно переделывать потом.

      1. есть нюансы по которым нельзя перейти на раздельную адресацию. Подскажите как настроить EoIP в PPtP.

  20. Автору спасибо, работает, но зачем такие сложные схемы?

    /ip route add distance=1 dst-address=0.0.0.0/0 gateway=192.168.200.101 check-gateway=ping routing-mark=vpn_192_168_10_0
    /ip route rule add action=lookup disabled=no dst-address=192.168.10.0/23 table=vpn_192_168_10_0
    /ip route rule move [find table=vpn_192_168_10_0] 0

    можно заменить на одну строчку

    /ip route add distance=1 dst-address=192.168.10.0/23 gateway=192.168.200.101 check-gateway=ping

    причем на обоих сторонах.

    Далее эта строчка на обоих сторонах в большинстве случаев является заглушкой для подсчета трафика и без нее все прекрасно работает.

    /ip firewall filter add dst-address=77.222.111.33 action=accept chain=output comment=to_77.222.111.33
    /ip firewall filter move [find comment=to_77.222.111.33] 1

    А это правило вообще ни к чему.

    /ip firewall nat remove [find comment=vpn_192.168.10.0/23]
    /ip firewall nat add dst-address=192.168.10.0/23 action=accept chain=srcnat comment=vpn_192.168.10.0/23
    /ip firewall nat move [find comment=vpn_192.168.10.0/23] 0

    1. Скрипт рождался для собственных нужд, поэтому есть “сложные схемы”. По маршрутам ответ очень прост у меня есть несколько подсетей: рабочая, сотрудники, гостевой WiFi и мне нужно чтобы определенный (рабочая сеть) трафик микротиком маршрутизировался в VPN. В вашей схеме это правила в /ip firewall. Так же мне удобнее на основную таблицу маршрутов смотреть упрощенную – без мусора, только самое основное. По последнему (NAT) – это действительно лишнее. Эти правила перекочевали из IPSec. Удалил.

  21. Привет, идея бомба канеш у тебя с этими скриптами. Я уже 2 раза использовал эту схему. Из за таких как ты я ленюсь и не развиваюсь))) Подскажи пож а “UPDУ некоторых возникает задача пропуска broadcast (широковещательного) трафика через PPTP тунель”
    Добавлять в главном офисе или в удаленном??

    1. С обоих. Соединение будет автоматом добавлено в локальный бридж. Я много не экспериментировал с этой опцией.

  22. Привет. Начинающий админ. Вводная: 2 офиса в разных городах. айпи белые, головной за микротиком, удаленный за zyxel. Необходимо, чтобы удаленный офис видел расшаренную папку.
    Поднял pptp сервер, на zuxele клиент. клиент коннектится, т.е. пишет все подключено, айпи выдан такойто(из сети головного офиса), а пинга нет и папка расшаренная не видна. точнее пинг есть только до внутреннего шлюза головного офиса. а до локалки головного нет. куда копать не подскажете?

    1. Если подсети разные в ценатрльном узле и офисе (иначе офисные узлы не будут кидать на шлюз пакеты для дальнейшей маршрутизации), то единственное что нужно проверить – прописаны ли маршруты в зухеле. Как именно они прописываются в зухеле – понятия не имею. Но нужен, видимо, не просто коннект, но и маршруты ручками прописать.

      1. Добрый день, тоже mikrotik(сервер) – zyxel(клиент), pptp соединение подключено, подсети разные, из сети zyxel все пингуется, можно заходить по ip адресу в сеть mikrotika, а вот в обратном направлении не пингуется даже, маршрут и правило добавил, но в маршрутах написано unreachable и буква S, подскажите может что еще настроить нужно

      2. Вы видимо указали не верный IP в настройках маршрута, об этом говорит unreachable. Не имея вашего конфига можно предположить следующее: у вас у PPP / Seceret не указан статичный IP, а используется pool адресов. В связи с чем в routes указан не верный IP шлюза этого туннеля.

      3. вроде бы все указал верно
        как сюда можно приложить конфиг?

      4. Можно просто конкретнее указать IP и подсети, что где указано:
        1. Подсеть Zyxel;
        2. Подсеть Микротика;
        3. IP назначемый Zyхelю при подключении к Микротику (ppp secrets) или описание PPP Server Binding (interfaces);
        4. ip route export;

      5. IP белые с обоих сторон,
        подсети mikrotik – 192.168.88.0/24, zyxel – 192.168.1.0/24
        при подключении клиенту выдается ip 192.168.88.117

        Route
        Dst.address 0.0.0.0/0
        Gateaway 192.168.88.117
        Check gateaway ping
        Type unicast
        Routing mark vpn_192_168_1_0

        Policy routing rule
        Dst.address 192.168.1.0/24
        Routing mark vpn_192_168_1_0
        Action lookup
        Table vpn_192_168_1_0

        может EoIP туннель попробовать, но в таком случае нужно будет делать одну подсеть верно?

      6. Уберите в “Policy routing rule”: “Routing mark vpn_192_168_1_0”.

  23. Помогите не могу разобраться.
    Есть 3 офиса:
    Центральный: 192.168.89.0 (роутер 89.1)
    Офис 1: 192.168.88.0 (роутер 88.1)
    Офис 2: 192.168.1.0 (роутер 1.1)

    Центральный —-> Офис1 (пинг всех хостов сети, доступны все ресурсы(шары))
    Центральный —-> Офис2 (пинг только роутера, ресурсы не доступны)

    Офис1 —-> Центральный (пинг только роутера, ресурсы не доступны)
    Офис1 —-> Офис 2 (нет пинга, ресурсы не доступны)

    Офис2 —-> Центральный (пинг всех хостов сети, ресурсы не доступны)
    Офис2 —-> Офис 1 (нет пинга, ресурсы не доступны)

    Офис 1 и 2 не прописан маршрут но это пока не нужно.
    Сейчас нужно чтобы Офис2 видел ресурсы Центрального, пинг есть, маршруты поднимаются, а зайти никуда не могу.

    1. Суть в том что в Офисе 1 нужно прописать: “ищи Офис 2 в центральном”, чтобы пакеты шли так: Офис 1 -> Центр -> Офис 2. В противном случае – пакет приходит на микротик Офиса 1, а он понятия не имеет куда слать пакет. Если пользовались моим скриптом, то:
      1. Заходим в микротик Офиса 1, ip route rules;
      2. Копируем правило до центрального офиса (dst-address = 192.168.89.0/24);
      3. Меняем dst-address на сеть Офиса 2: 192.168.1.0/24;
      4. Повторяем тоже самое на микротике Офиса 2, но в dst-address указываем уже сеть Офиса 1: 192.168.88.0/24
      Проверьте включен ли proxy-arp на бриджах.

  24. Объединил таким образом все офисы (6 узлов). В связи с 54-фз Стало актуально. Спасибо большое. Потери в скорости не наблюдаю. (Раньше было объединение сетей через оператора Башинформсвязь) 4 месяца полет нормальный.

  25. А как добавить еще 1 роутер к ЦО (тоесть 1 центральный офис и 2 второстепенных )

    1. Настройки центра те же, а параметры второго филиала прописываете его, при этом не забыв указать какой IP ему выделяете в адресации сети центрального офиса.

  26. Роутеры из коробки одинаковые один в головном офисе ( Г ) другой в удаленном ( У ), IP в обоих точках белые статические. Внутренние подсети разные ( Г ) 192.168.1.0/24, ( У ) 192.168.0.0/24. Сформировал и запустил скрипт. Появилось соединение. От ( У ) (через терминал роутера) до компьютера внутри сети ( Г ) пинг идет, а с компьютеров сети ( У ) до компьютера внутри сети ( Г ) нет.
    Проще говоря не могу попасть к расшаренной папке из сети ( У ) в сеть ( Г ). Что я делаю не так?

  27. Интересная ситуация создал туннель роутер1 – роутер2
    В сети роутера1 расшарена папка.
    С роутера 2 пингую роутер1 и все ресурсы сети.
    Но из локальной сети за роутером2 ни в какую не хочет пинговать ни роутер1 ни сеть роутера1, но сам роутер2 пингуется, ресурсы сети роутера1 тоже не видны.
    Файрвол отключен, антивирус тоже, правило icmp прописано (пробовал все отключать тоже самое)

    1. Нужно проверить пинг с роутера2 на роутер1 и его сеть. Но по идее раз из сети 1 в сторону 2 идет пинг то и в обратку должен быть, т.к. пинг это эхо ответ. Проверьте есть ли на бриджах обоих роутеррв arp = proxy-arp. И наличие правил разрешающих VPN подсети с обоих сторон.

  28. Добрый день, автор.
    подскажите пожалуйста: в этой конфигурации настройки канала шифрование не используется?
    если нет, его можно сюда прикрутить и на сколько это проблематично?
    заранее благодарен.

    1. Шифрование, как и его требование, задается в профиле: /ppp profile
      Учтите, шифрование в PPTP не стойкое по современным меркам. Поэтому, если вам нужно супер защита канала, лучше использовать IPSec. Если вам не сильно принципиально (80% случаев) – лучше использовать PPTP, т.к. ресурсов требуется меньше (читай пропускная способность роутера выше) и работает более стабильно (субъективный опыт).

      1. а, если использовать IPSec (из вашего другого примера) в конфигурации 1 главный узел и несколько дополнительных, на сколько стабильно оно будет работать и насколько большие нагрнузки будут идти на главный узел при дополнительных 2-3 офисах?

  29. Здравствуйте. В деревне есть Mikrotik 951 + 3g модем. Создан pptp и l2tp клиент. Дома D-Link DFL- 260e на нем поднят pptp и l2tp over ipsec сервера. Подскажите пожалуйста какие правила и маршруты прописать в микротике, чтобы было можно удаленно зайти на микротик? Заранее спасибо.

    1. Если у вас дома не статики, то варианта 2:
      1. Открываете на микротике доступ со всех IP к порту Winboxа: TCP 8291;
      2. Делаете DYNDNS на домашнем DLINKE, а на микротике в планировщик (system /sсheduler) добавить скрипт который будет разрешать DNS имя домашнего роутера и при изменении IP будет менять правило доступа к Winbox.
      Я бы рекомендовал 2ой вариант, но если пойдете по первому хотябы смените стандартный порт winbox (ip / services) на свой, чтобы злоумышленник не понимал что за сервис на той стороне.

  30. Здравствуйте. Дома на zyxel giga III поднят pptp сервер (Начальный адрес пула: 172.16.1.1) с белым адресом XX.XX.XXX.XX
    Для рабочего компа выделен в тунеле ip: 172.16.1.2, на даче еще один микротик ему выделен ip: 172.16.1.3.
    На работе Mikrotik RB953U1 (hap ac lite) + 4g модем E3372 (перешит в hilink) работает через yota. Подключение к серверу есть, хочу пустить зашифрованный трафик внутренней сети через домашний белый адрес. Подскажите пожалуйста какие правила и маршруты прописать в микротике, чтобы все компьютеры видели друг друга? Заранее спасибо.

    1. Не уверен, что верно вас понял.
      Если имеете ввиду чтобы они друг друга видели в “Сетевом окружении”, то широковещательные запросы в VPN туннели не проходят, поэтому не увидите. Как увидеть? По IP: Win+R = \\IP. Проверите настроен ли (отключен) брандмауэр Windows (лучше для теста отключить).
      Если вы хотите завернуть весь http(s) трафик через домашний роутер (myip.ru будет видеть домашний белый ip). То достаточно в микротике настроить ip – firewall – mangle: dst-port=80,443,8080 action=route-mark mark=(маркер маршрута до дома).

  31. Здравствуйте. Дома на zyxel giga III поднят pptp сервер (Начальный адрес пула: 172.16.1.1) с белым адресом XX.XX.XXX.XX
    Для рабочего компа выделен в тунеле ip: 172.16.1.2, на даче еще один микротик ему выделен ip: 172.16.1.3.
    На работе Mikrotik RB953U1 (hap ac lite) + 4g модем E3372 (перешит в hilink) работает через yota. Подключение к серверу есть, хочу пустить зашифрованный трафик внутренней сети через домашний белый адрес. Подскажите пожалуйста какие правила и маршруты прописать в микротике, чтобы все компьютеры видели друг друга? Заранее спасибо.

  32. Привет, прошу помощи!
    В соседней теме про ipsec для ios –
    https://tugibaev.ru/mikrotik-ios-l2tp/
    сделал все, vpn подключается, но нет доступа в сеть.
    Шлюз пингуется по внутреннему адресу (192.168.5.1) а ни один адрес больше – нет =( куда копать?
    Спасибо!

    1. – Проверьте правила ip / firewall / filter (сделайте allow all для теста).
      – На бридже arp = proxy-arp.
      – У узлов сети 192.168.5.0/24 отключить Firewall / антивирус, который может лочить “чужой” трафик.

  33. Добрый день! помогите разобраться, пожалуйста.
    Такая у меня ситуация.
    Я настроил pptp сервер создал несколько клиентов, один клиент это удаленный роутер keenetik который сидит на yota два других это андройд телефона.
    Клиенты видят локальную сет VPN сервера Mikrotika, а вот из микротика я не могу пинговать и подключаться в локальную сеть keenetik. Также чтобы с телефон зайти на сеть keenetik не получается. Не пойму где не правильно в маршрутизации.

    ip адрес mikrotika 192.168.88.1/24
    при создании pptp клиентов, локальный адрес указывал 192.168.1.1 адреса удаленные 192.168.1.2 (Keenetik) 192.168.1.3(Android)
    Внутренняя сеть Keenetik 192.168.89.1

    Как правильно настроить маршрутизацию?

    1. В Keenetik нужно прописать маршрут: “сеть 192.168.88.0/24 (255.255.255.0) искать в VPN туннеле (интерфейсе)” и, аналогично, “сеть 192.168.1.0/24 искать в VPN туннеле” для мобильных клиентов PPTP сервера. Точнее сказать не могу, т.к. нет Keenetik в распоряжении.

  34. Какие ещё нужны настройки, если в удалённом офисе два провайдера со статическим IP? Как переподключить VPN в случае падения первого канала?

    1. Если “удаленный офис” = “центральный офис”, который выполняет роль сервера, то решения три:
      1. Настроить клиентское подключение со стороны центрального офиса. Здесь микротик по маршрутизации сам разберется по какому каналу установить подключение (или вы подскажите своим алгоритмом – скриптом). Этот вариант очень прост, но требует белого (хотя бы динамичного) IP со стороны клиента.
      2. На клиентской стороне установить одновременно 2 линка и установить приоритеты маршрутов. Т.е. если одно отвалится, то трафик автоматом пойдет по резервному.
      3. На клиентской стороне скриптом проверять статус основного канала центрольного офиса пингами. Как только несколько пингов не прошло (не рекомендую сразу переключаться, а только при подтверждении падения канала несколькими пингами) – смена сервера (ip/host name) у линка на резервный.

      1. в моём случае эта схема работает без доработки. (проверено)
        ЦО два провайдера, белые IP статика.
        Филиал два провайдера, белые IP статика.
        Как организовать 4 канала и между ними маршрутизацию?
        1-1
        X
        2-2

      2. Из А два линка в B (на оба IP офиса B), из B два линка в A. Назовем, A1 – это приоритетный маршрут офиса А, B1, соответственно, офиса В.
        Офис А:
        1. Маршрут до В через линк В1 с distanse = 10 check=ping
        2. Маршрут до В через линк В2 с distanse = 20 check=ping
        Офис В:
        1. Маршрут до А через линк А1 с distanse = 10 check=ping
        2. Маршрут до А через лине А2 с distanse = 20 check=ping
        Таким образом каждый офис получит полносвязанную сеть и должно работать. Учтите, что связка может быть не стабильна из-за дисконнектов частых основного маршрута А1, В1. Нужно тестировать.

  35. Добрый день! Как получить доступ к админке с центрального роутера на клиентский роутер по впн туннелю, что для этого нужно?

    1. Нужно добавить правило Firewall в цепочку Input разрешающее подключение и добавить ваш IP в список разрешенных IP / services.

  36. Добрый день!
    Из сети центрального офиса не работает VPN, RDP, SAMBA в удалённый филиал, пока не сделаешь ping до нужного хоста. Ping работает всегда.
    Подскажите пожалуйста, в чём может быть дело?

  37. Исправлено!
    Из сети центрального офиса не работает VNC, RDP, SAMBA в удалённый филиал, пока не сделаешь ping до нужного хоста. Ping работает всегда.
    Подскажите пожалуйста, в чём может быть дело?

  38. Добрый день!
    Помогите, пожалуйста, разобраться с проблемой.
    Всё сделано согласно вашим скриптам, за одним ислючением – не поднят бридж на микротиках, используется по одному физическому порту в локальную сеть с обеих сторон, без wlan.

    Центральный офис:
    Микротик 1 (М1)
    Подсеть 192.168.0.0/24
    Шлюз 192.168.0.250
    WAN 94.*.*.*

    Удаленный офис
    Микротик 2 (М2)
    Подсеть 192.168.38.0/24
    Шлюз 192.168.38.1
    WAN 172.*.*.* (провайдер один и тот же, поэтому серый ip доступен)
    IP удаленного офиса в сети центрального офиса 192.168.0.29

    ppptp успешно поднимается
    с ПК в Центральном офисе (за М1) пинг до 192.168.38.1 (М2) идет, трассировка:
    1. 192.168.0.250
    2. 192.168.38.1

    С этого же ПК до ПК в удаленном офисе (192.168.38.3) не идет, трассировка:
    1. 192.168.0.250
    2. 192.168.0.29
    3. ***

    На 192.168.38.3 фаервол точно ничего не блокирует, запускали там wireshark, icmp пакеты, пришедшие по pptp, не доходят до ПК, их не перенаправляет М2, судя по всему.

    При этом с М2 ПК в Центральном офисе (192.168.0.145) пингуется, трассировка:
    1. 192.168.0.250
    2. 192.168.0.145
    (с М1 192.168.38.3 недоступен, трассировка
    1.192.168.0.29
    2.***)

    С 192.168.38.3 трассировка до 192.168.0.145:
    1.192.168.38.1
    2.192.168.0.250
    3. *.*.*.*

    Самое главное, что 192.168.0.145 и 192.168.38.3 не видят друг друга (не только пинг, общие папки тоже).
    На стороне Центрального офиса вторым шлюзом стоит d-link 804hv старенький, умирающий, между ним и М2 ipsec поднимался отлично, доступ из уд.офиса в центральный был, пинги шли. Что за проблема сейчас абсолютно не понимаю, помогите, пожалуйста.
    Добавлю, что на микротиках разные версии ОС – на центральном 6.6, на удаленном 6.30.4

  39. Добрый день,
    Поднял между домом и квартирой L2TP, сутки поработало и упало. Что то второй раз не идёт, и я далеко от дома и от квартиры. Видеорегистратор стоит в доме, но писал камеры и в домеб и в квартире. Перестало камеры писать с квартиры (понятно что нет впн, нети записи). Настроил PPTP сгенерировав скрипты. Всё поднялось, камеры появились, всё пишется. Но тут почитал, мол все пишут что PPTP уже устарел, мол не безопасен и т д. Что можно добавить, как бы себе в утишение ну и для опыта, я не профессионал? В смысле шифрования. Посмотрел на PPTP Server = там default-encryption стоит. Значит ли это что уже есть хоть не какое но шифрование. Как сервер вывступает в доме 960 а в квартире 750r3. Вот лаптопом ещё подконектиля по впн тоже, Микротики открываются по локальным адресам, а вот папки пока не вижу и принтерю Особо скрывать как бы нечего. Сам для себя изучаю.

    1. Да, PPTP устарел. Через него нельзя передавать гостайну. Думаю, картинка с ваших камер не является гостайной. Поэтому, смело используйте PPTP и не создавайте себе проблем с L2TP.

  40. Спасибо, я тоже думаю, если что пусть себе любуются лесными и подъездными пейзажами :).
    Но есть еше потребность видетъ расшареные папки, принтер. Там тоже скрывать нечего, фильмы, музыка, фотки).
    Сеть в доме 192.168.1.0/24, а в квартире 192.168.2.0/24, роутеры как я писал выше пингуются, по винбоксу захожу на оба по внешнему и локалному адресам.
    Также к примеру NAS стоит в квартире на 192.168.2.180, он пингуется и через браузер есть доступ на его страницу.
    Но вот остальные участники моей локалки увы не видны и не пингуются с моего лаптопа (он тоже приконектен к этой локалке.
    Нужно добавять маршрутатизацию между каждым или между 192.168.1.1 (роутер в доме) и 192.168.2.1 (роутер в квартире) ?

    1. Для сети 1.0/24 – 2.0/24 является “вражеской”, поэтому, все firewallы режут этот трафик как внешний. Если есть такие настройки, то включите соседние сети в исключения. Так же проверьте на bridge’ах обоих сетей apr = proxy-arp.
      PS. Видны в сетевом окружении они не будут, т.к. широковещаетльный трафик не маршрутизируется в туннели VPN. Попасть на них можно только по IP или по именам, если вы добавите static DNS записи в ip / dns / static.

  41. добавил на обоих микротиках правило в файервол для сетей 1.0/24 – 2.0/24, все теперь видно. Думаю коне4но что намутил в фаиерволе. Как бы это все проверить, показав знаюшим и которые покажут ошибки с обяснением. Нашел несколько статей про правельные настройки этого зверя. Но как бы нет уверености что все правильно.

    1. Лучший вариант – поковырять все на тестовой сборке. Иначе есть примета: удаленная настройка firewall – к выезду… Если уж сильно хочется – не забывайте нажимать Safe Mode в winbox – если сделаете действие которое приведет к дисконнекту winboxа, то микротик откатит все изменения автоматом к состоянию до нажатия Safe Mode. Микротик конечно из разряда “один раз настроил и забыл”, но он слишком интересен, чтобы его не ковырять дальше :).

  42. Спасибо, понял. Не, это примета для техников, я в другой области тружусь, тут если я не спавляюсь, уже ко мне едут с “большими лаптопами”.
    Ещё там у меня жена когда я накосячу, включает старенький Аcer Оne, и я по удалёнке исправляю свои “знания”, орёт правда, что скоро уже сама все научится настраивать.
    А вот можно ли два VPN юзать одновременно на Микротиках, допустим сейчас работает РРТР между домом и квартирой? А руки чешутся ещё и OpenVPN поднять. Зачем спросите, опять же для опыта, думаю в скорости пригодится :).
    К примеру, по OpenVPN подключатся со своего лаптопа или из корпоративной сетки с рабочего десктопа?

  43. Приостановил РРТР и настроил ОпенВПН. Микротик квартиры подключен к Микротику в доме, все работает, камеры пишутся. Лаптоп тоже законектил с места работы (сеть компании), и на рабочем компе настроил соеденение, тоже сеть компании но для рабочих компов. Типа политика у них у иноземцев такая. Даже если как сеичас дают интернет без ограничений и с хорошей скоростью, им все равно надо урезать , ссылаясь на “компани секюрити полиси”. Кстати все “знакомые” порты позакрывали для ВПНов, включая 1194. Интернет, слава богу рулит с ответами.
    Пока вот застрял, соеденение между моим лаптопом(или рабо4им компом) к дому есть.
    Куда копать, чтобы заполучить интернет с моего роутера в доме? Ну типа настроить браузер идти через Микротик в доме (во замутил!).
    Пробовал с настроиками разными в браузере, в конекшене, показывает, интернет есть , но ничего не открывается.
    Разные ВПН прогулки не рулят, заглушили хорошо

Добавить комментарий для Di Отменить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.