سلام و عرض ادب و احترام فراوان
دوستان من یک pptp دارم روی میکروتیک - قصد دارم درخواست های کاربران ( رنج 10.10.10.0/24 ) ( البته فقط icmp ) از این pptp عبور کنه !
یعنی اینترنت کاربران از NAT ساده باشه
ولی درخواست های icmp کاربران از لینک pptp روی میکروتیک تامین بشه ؟ راه حل ؟
پی نوشت : چند روش روی وب بود تست کردم جواب نداد !
موضوعات مشابه:
- pptp start at boot وصل شدن به pptp هنگام بوت
- بستن پروتکل icmp و مشکل عجیب
- مقابله با حملات ICMP
- ICMP
- بستن ICMP در Linux
چه روش هایی تست کردید؟
اصولش اینه icmp ها رو مارک کنید و براشون روت جدا بنویسید. همچنین nat جدا با مارک ساخته شده.
با این روش تست کردم اما جواب نداد !
VPN PPTP client configuration – Mikrotik RouterOS
In the first step, login to your router, launch a browser or use WINBOX application.
Type, default ip address of the router: http://192.168.88.1
Go to “PPP” (1) tab and add (2) new interface: “PPTP Client” (3)
In the “General” (4) tab, in “Name” (5) field , type interface name: VPNonline-PPTP
In the “Max MTU” (6) and “Max MRU” (7) field, type “1400″
Click “Dial Out” (8) tab and fill in the fields below:
In the “Connect to:” (9) field, type the name of one of the VPNonline server
In the customer panel you will find the available vpn server: www.portal.vpnonline.pl
In the “User:” (10) field, type your User Name
In the“Password:” (11) field, type your password
To save settings, click “OK” (12)
Go to the “IP” (13) tab and next to“Firewall” (14)
Select “NAT” (15) tab and add new NAT rule (16)
In the “New NAT Rule” (17) select “Chain: srcnat” (18) and “Out. Interface: VPNonline-PPTP” (19)
In the next step, go to “Action” (20) tab and in the “Action” (21) field choose “masquerade”.
Click“OK” (22)
Go to the“Mangle” (23) tab and add new rule (24)
In the “New Mangle Rule”, select “General” (25) tab, and choose “Chain: prerouting” (26).
In the “Src Address” (27) field, type either the IP, or the IP range which you wish to have routed through the VPN tunnel.
In this example, we are using source address in order to identify packets which should be routed throught VPN (192.168.88.2-192.168.88.254). You can also use other means of identification or a combination of identifiers such as destination port and source address. Keep in mind, you need to make sure that traffic originating from the MikroTik router is exluded from this marking or it will attempt to communicate with the VPN server through the VPN itself, causing the connection to brake.
Go to “Action” (28) tab and in the “Action” field choose “mark routing” (29)
In the “New Routing Mark” (30) field, type “VPNonline”
To save the settings click “Apply: (31) and “OK” (32)
Go to “IP” (33) and “Routes” (34) tab
Select “Routes” (35) tab, and add New Route (36)
In the “General” (37) tab, choose:
“Dst. Address” (38) – 0.0.0.0/0
“Gateway” (39) – VPNonline-PPTP
“Routing Mark” (40) – VPNonline
To save settings, click “OK” (41)
The new route has been added (42) and the VPN connection should be established
VPN PPTP client configuration - Mikrotik RouterOS Router- tutorial | VPNonline - Polski VPN
فرض کنیم کاربران شما 10.10.10.0/24 هستند.
فقط یک nat نیاز دارید:
تا اینجا کل درخواست های کاربران 10.10.10.0/24 از gateway که برای 0.0.0.0/0 نوشتید عبور عبور میکنه. وب و پینگ و ...کد:/ip firewall nat add chain=srcnat src-address=10.10.10.0/24 action masquerade
حالا برای جدا کردن icmp ایتدا یک mangle ساده مینویسید:
و یک روت با این مارک ایجاد میکنید با گیتوی pptp-clientکد:/ip firewall mangle add chain=prerouting src-address=10.10.10.0/24 protocol=icmp action=mark-routing new-routing-mark=ping
کد:/ip route add dst-address=0.0.0.0/0 routing-mark=ping gateway=pptp-client1
فقط احتیاج به یک nat یک mangle و دو روت دارید با همین پارامترها. موارد اضافی رو حذف کنید.
دقیقا به همین روش عمل کردم ولی جواب نداد !نوشته اصلی توسط mojtaba461
با trace تست میکنید دیگه؟
اصلا ping نیست !
Request Time Oute
trace که میکنید از روتر خارج میشه؟ تنظیمات رو اکسپورت کنید اینجا
من داخل پرانتز فقط چند تا نکته رو بگم .
1- تنظیمات بالا برای سورس 10 ست شده . این یعنی نباید از روی خود روتر تست بشه .
2- شما باید کلا دو تا Route برای 0.0.0.0/0 داشته باشید . یکی برای کل کاربران (بدون مارک) و یکی برای کاربران ICMP (با مارک) .
3- یک NAT هم لازم دارید تا روی pptp Client انجام بشه وگرنه جواب نمیگیرید . یعنی خروجی اینترفیس pptp client باید masquerade بشه .
2 تا نت نوشتم . یک نت خروجی pptp و یک NAT هم ساده اما فرقی نداره ! هم با یک NAT تست کردم هم با دو NATکد:[admin@MikroTik] > export # jan/02/1970 00:38:23 by RouterOS 5.26 # software id = 84Z4-SZQV /interface pptp-client add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=10.21.134.27 \ dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name=\ pptp-out password=123 profile=default-encryption user=username /ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pptp-out routing-mark=\ ping scope=30 target-scope=10 add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=79.175.111.111 scope=\ 30 target-scope=10 /ip firewall mangle add action=mark-routing chain=prerouting disabled=no new-routing-mark=ping \ passthrough=yes protocol=icmp src-address=10.10.10.0/24 /ip firewall nat add action=masquerade chain=srcnat disabled=no src-address=10.10.10.0/24 add action=masquerade chain=srcnat disabled=no out-interface=pptp-out \ src-address=10.10.10.0/24 [admin@MikroTik] >
- - - ادامه - - -
ویرایش توسط alisc : 2014-12-24 در ساعت 04:11 PM
مشکل رفع شد
تنظیمات رو مجدد انجام دادم اوکی شد
ویرایش توسط alisc : 2014-12-24 در ساعت 09:03 PM
مجوز های ارسال و ویرایش
8سپاس
LinkBack URL
About LinkBacks
