PING نشدن کاربران LAN بعد از اتصال VPN داخلی
سلام دوستان
من یک شبکه دارم به شکل زیر:
eth1: از طریق DHCP Client وصل شده به یه مودم ایرانسل برای گرفتن اینترنت
eth2-eth5: از طریق Bridge به هم دیگه وصل شدن
DHCP Server: برروی Bridge1 و با آدرس 192.168.88.0/24 تنظیم شده است
SSTP Server: برای وصل شدن از بیرون شبکه به داخل تنظیم شده است. رنج آیپی 10.250.10.0/24
L2TP Client: برای برخی کاربران که می خوان کل اینترنت رو آزاد ببینند. (فیلترینگ)
تنظیمات به صورت زیر هست:
[CODE]
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface l2tp-client
add connect-to=m247-ch-ubuntu-l2tp-01.expressnetwork.net disabled=no \
ipsec-secret=12345678 name=l2tp-out1 password= use-ipsec=yes \
user=
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn_pool ranges=10.250.10.10-10.250.10.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/ppp profile
add dns-server=4.2.2.4,8.8.8.8 local-address=10.250.10.1 name=vpn_profile \
remote-address=vpn_pool use-encryption=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface sstp-server server
set authentication=mschap2 certificate=Server default-profile=vpn_profile \
enabled=yes port=1195
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip cloud
set update-time=no
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1
/ip dhcp-server lease
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes servers=4.2.2.4,8.8.8.8
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=10.250.10.0/24 list=vpn_address_list
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting in-interface-list=LAN \
new-routing-mark=VPN passthrough=yes src-address=\
192.168.88.2-192.168.88.254
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=l2tp-out1 src-address=\
192.168.88.0/24
/ip route
add distance=1 gateway=l2tp-out1 routing-mark=VPN
/ppp aaa
set use-radius=yes
/system clock
set time-zone-name=Asia/Tehran
/system ntp client
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[/CODE]
با تنظیمات بالا همه چی به درستی کار می کنه یعنی کاربران DHCP تمامی ارتباطشون از طریق VPN انجام میشه. مشکل زمانی شروع میشه که من می خوام از طریق SSTP و از بیرون وصل بشم به شبکه و به دستگاه کاربران LAN متصل بشم. ارتباط از بیرون انجام میشه. روتر هم می بینم اما نه می تونم PING کنم کاربران رو نه بهشون وصل بشم. اصلا هیچ کاربری از شبکه LAN قابل دیدن نیست.
مورد دیگه ای هم که باید بگم، زمانی که از بیرون از طریق SSTP به میکروتیک وصل میشم، کامپیوتر اینترنت داره و ارتباطات از طریق اینترنت ایرانسل میکروتیک رد میشه.
باتشکر