PING نشدن کاربران LAN بعد از اتصال VPN داخلی

Printable View

2019-09-28, 12:50 AM
r0otsharp

PING نشدن کاربران LAN بعد از اتصال VPN داخلی

سلام دوستان

من یک شبکه دارم به شکل زیر:
eth1: از طریق DHCP Client وصل شده به یه مودم ایرانسل برای گرفتن اینترنت
eth2-eth5: از طریق Bridge به هم دیگه وصل شدن
DHCP Server: برروی Bridge1 و با آدرس 192.168.88.0/24 تنظیم شده است
SSTP Server: برای وصل شدن از بیرون شبکه به داخل تنظیم شده است. رنج آیپی 10.250.10.0/24
L2TP Client: برای برخی کاربران که می خوان کل اینترنت رو آزاد ببینند. (فیلترینگ)

تنظیمات به صورت زیر هست:
[CODE]

/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface l2tp-client
add connect-to=m247-ch-ubuntu-l2tp-01.expressnetwork.net disabled=no \
ipsec-secret=12345678 name=l2tp-out1 password= use-ipsec=yes \
user=
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn_pool ranges=10.250.10.10-10.250.10.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/ppp profile
add dns-server=4.2.2.4,8.8.8.8 local-address=10.250.10.1 name=vpn_profile \
remote-address=vpn_pool use-encryption=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface sstp-server server
set authentication=mschap2 certificate=Server default-profile=vpn_profile \
enabled=yes port=1195
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip cloud
set update-time=no
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1
/ip dhcp-server lease
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes servers=4.2.2.4,8.8.8.8
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=10.250.10.0/24 list=vpn_address_list
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting in-interface-list=LAN \
new-routing-mark=VPN passthrough=yes src-address=\
192.168.88.2-192.168.88.254
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=l2tp-out1 src-address=\
192.168.88.0/24
/ip route
add distance=1 gateway=l2tp-out1 routing-mark=VPN
/ppp aaa
set use-radius=yes
/system clock
set time-zone-name=Asia/Tehran
/system ntp client
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[/CODE]
با تنظیمات بالا همه چی به درستی کار می کنه یعنی کاربران DHCP تمامی ارتباطشون از طریق VPN انجام میشه. مشکل زمانی شروع میشه که من می خوام از طریق SSTP و از بیرون وصل بشم به شبکه و به دستگاه کاربران LAN متصل بشم. ارتباط از بیرون انجام میشه. روتر هم می بینم اما نه می تونم PING کنم کاربران رو نه بهشون وصل بشم. اصلا هیچ کاربری از شبکه LAN قابل دیدن نیست.
مورد دیگه ای هم که باید بگم، زمانی که از بیرون از طریق SSTP به میکروتیک وصل میشم، کامپیوتر اینترنت داره و ارتباطات از طریق اینترنت ایرانسل میکروتیک رد میشه.
باتشکر
2019-09-28, 10:51 AM
shahani

خب برای اینکه شما ارتباط لایه سه برقرار میکنی، آدرس مبدا شما باید برای کاربران قابل شناسایی باشه، وقتی با آی پی که داخل وی پی ان دریافت کردی، یک پکت پینگ به کلاینت ارسال میکنی، وقتی به دست کلاینت میرسه، مبدا این پکت رو نمیشناسه، در نتیجه اون رو دراپ میکنه یا به اشتباه ممکنه در مسیر دیگه ای پاسخ شما رو بده که شما در اونجا قرار ندارید (اینترنت) و داده مستقیم به روتر ای اس پی برسه (وارد تونل وی پی ان نشه) و اونجا دراپ بشه.

یک راه حل این هست که شما در روتر خودتون بخش ip/firewall/nat یک رول srcnat ایجاد کنید و اکشن را روی Src-nat قرار بدید و قسمت To-Address رو آی پی روتر به سمت شبکه داخلی بدین، مثلا آی پی بریج یا یکی از اینترفیس های ادر 2 تا پنج به فرض (192.168.88.1) تا اینجوری آی پی وی پی ان خارجی شما رو روتر به آی پی خودش تغییر بده و دستگاه های داخل شبکه در ارتباط برقرار کردن باهاش، به مشکل نخورن.
باید به عنوان شرط در این رول بخش جنرال، in. interface رو با SSTP client قرار بدید تا روتر به اشتباه داده های دیگه رو که مورد نظر نیست NAT نکنه.

در مورد مسئله دومتون، علت داشتن روت پیش فرض هست و داده هایی که به روتر میرسه و مقصدشون نامشخص و روی اینترنت هست، به سمت مودم و اینترنت روتر هدایت میشه و از اینترنت روتر استفاده خواهید نمود که این طبیعیه.

نکته دیگه اینکه در نظر داشته باشید کاربرانی که L2TP Client برقرار میکنند، در زمان برقراری ارتباط، ممکنه شما نتونید از روی کانکشن SSTP پینگ اونها رو داشته باشید و برای اینکار نیاز هست در روتر و بخش منگل رول تعریف کنید که داده هایی که قرار است به SSTP برود به اشتباه وارد L2TP نشود و مخصوصا اگر داده ای مقصدش رنج آی پی های داخل شبکه است، مارک گذاری نشده و به سمت اینترنت با L2TP هدایت نشود.
2019-09-28, 06:13 PM
r0otsharp

[QUOTE=shahani;484712]خب برای اینکه شما ارتباط لایه سه برقرار میکنی، آدرس مبدا شما باید برای کاربران قابل شناسایی باشه، وقتی با آی پی که داخل وی پی ان دریافت کردی، یک پکت پینگ به کلاینت ارسال میکنی، وقتی به دست کلاینت میرسه، مبدا این پکت رو نمیشناسه، در نتیجه اون رو دراپ میکنه یا به اشتباه ممکنه در مسیر دیگه ای پاسخ شما رو بده که شما در اونجا قرار ندارید (اینترنت) و داده مستقیم به روتر ای اس پی برسه (وارد تونل وی پی ان نشه) و اونجا دراپ بشه.

یک راه حل این هست که شما در روتر خودتون بخش ip/firewall/nat یک رول srcnat ایجاد کنید و اکشن را روی Src-nat قرار بدید و قسمت To-Address رو آی پی روتر به سمت شبکه داخلی بدین، مثلا آی پی بریج یا یکی از اینترفیس های ادر 2 تا پنج به فرض (192.168.88.1) تا اینجوری آی پی وی پی ان خارجی شما رو روتر به آی پی خودش تغییر بده و دستگاه های داخل شبکه در ارتباط برقرار کردن باهاش، به مشکل نخورن.
باید به عنوان شرط در این رول بخش جنرال، in. interface رو با SSTP client قرار بدید تا روتر به اشتباه داده های دیگه رو که مورد نظر نیست NAT نکنه.

در مورد مسئله دومتون، علت داشتن روت پیش فرض هست و داده هایی که به روتر میرسه و مقصدشون نامشخص و روی اینترنت هست، به سمت مودم و اینترنت روتر هدایت میشه و از اینترنت روتر استفاده خواهید نمود که این طبیعیه.

نکته دیگه اینکه در نظر داشته باشید کاربرانی که L2TP Client برقرار میکنند، در زمان برقراری ارتباط، ممکنه شما نتونید از روی کانکشن SSTP پینگ اونها رو داشته باشید و برای اینکار نیاز هست در روتر و بخش منگل رول تعریف کنید که داده هایی که قرار است به SSTP برود به اشتباه وارد L2TP نشود و مخصوصا اگر داده ای مقصدش رنج آی پی های داخل شبکه است، مارک گذاری نشده و به سمت اینترنت با L2TP هدایت نشود.[/QUOTE]

سلام و تشکر از شما
من به صورتی که شما گفتین عمل کردم اما متاسفانه زمانی که in interface رو می خوام all ppp بزارم خطای زیر اتفاق می افته:
[URL="http://uupload.ir/view/dx5u_1.jpg"][IMG]http://uupload.ir/files/dx5u_1_thumb.jpg[/IMG][/URL]
تنظیمات رو هم بدون In interface انجام دادم اما بازم کار نکرد:
[URL="http://uupload.ir/view/f9p2_3.jpg"][IMG]http://uupload.ir/files/f9p2_3_thumb.jpg[/IMG][/URL]
[URL="https://imgurl.ir/viewer.php?file=l289223_.jpg"][IMG]https://imgurl.ir/uploads/l289223__thumb.jpg[/IMG][/URL]

یه نکته رو فقط یادآور بشم:
کاربران SSTP مدیران شبکه هستن که می خوان به میکروتیک وصل بشن و از طریق اون بتونن کاربران که رنج آیپی 192.168.88.0/24 هستن رو ببینید. کاربران SSTP با رنج آیپی 10.250.10.0/24 متصل میشن. تو روتر یک کانکشن l2tp وجود داره که وصل شده به سرور expressvpn برای اینکه ترافیک شبکه رو از روی vpn رد کنه.
2019-09-28, 07:00 PM
shahani

بله ، ایراد بوجود اومده این هست که عملیات SrcNat فقط در زمان خروج از روتر انجام میشه و روی in.intrface کار نمیکنه و فقط میشه Out. interface واسه اون تعیین کرد و برای dstnat برعکس است.
(اشتباه من به این دلیل بوجود اومد، که من پاسخ خودم رو از ساخت dstnat به srcnat تغییر دادم)
به هر صورت، ساخت چنین رولی باید بتونه ارتباط دستگاه های خارج شبکه و روی کانکشن رو با دستگاه های داخل شبکه برقرار کنه :

[IMG]http://uupload.ir/files/fmiu_2022.png[/IMG]
2019-09-28, 07:17 PM
r0otsharp

[QUOTE=shahani;484714]بله ، ایراد بوجود اومده این هست که عملیات SrcNat فقط در زمان خروج از روتر انجام میشه و روی in.intrface کار نمیکنه و فقط میشه Out. interface واسه اون تعیین کرد و برای dstnat برعکس است.
(اشتباه من به این دلیل بوجود اومد، که من پاسخ خودم رو از ساخت dstnat به srcnat تغییر دادم)
به هر صورت، ساخت چنین رولی باید بتونه ارتباط دستگاه های خارج شبکه و روی کانکشن رو با دستگاه های داخل شبکه برقرار کنه :

[IMG]http://uupload.ir/files/fmiu_2022.png[/IMG][/QUOTE]
آقا خدا خیرت بده. این rule رو هم قبل از اینکه شما بفرمایید تست کردم، اما جواد نداد.
[URL="http://uupload.ir/view/yugj_4.jpg"][IMG]http://uupload.ir/files/yugj_4_thumb.jpg[/IMG][/URL]
[URL="http://uupload.ir/"][IMG]http://uupload.ir/files/vufk_5.jpg[/IMG][/URL]
[URL=http://uupload.ir/][IMG]http://uupload.ir/files/0kje_6.jpg[/IMG][/URL]
2019-09-28, 08:13 PM
shahani

برنامه هایی که به روترتون دادین زیاده، برای همون تحلیل کردنش نیاز به کار مستقیم با روتر داره، از راه دور فکر نمیکنم کار دیگه ای از دستم بر بیاد.
باز حالا شما دقت کنید که داده هایی که به مقصد 10.250.10.0/24 میره، به اشتباه در منگل مارک VPN روشون نخورده باشه.
یعنی در منگل، بالاتر از رول مربوط به مارک گذاری وی پی ان، یک رول ایجاد کنید که داده ها با مقصد 10.250.10.0/24 رو Accept کنه یا در همون رول مارک گذاری در بخش Dst. Address مقدار 10.250.10.0/24 ! را وارد کنید که داده هایی که مقصد اون رنج شبکه رو دارن، به اشتباه داخل L2TP نرن، که در این صورت پکت ها در کانکشن اشتباه از بین میرن.
2019-09-28, 08:19 PM
r0otsharp

[QUOTE=shahani;484717]برنامه هایی که به روترتون دادین زیاده، برای همون تحلیل کردنش نیاز به کار مستقیم با روتر داره، از راه دور فکر نمیکنم کار دیگه ای از دستم بر بیاد.
باز حالا شما دقت کنید که داده هایی که به مقصد 10.250.10.0/24 میره، به اشتباه در منگل مارک VPN روشون نخورده باشه.
یعنی در منگل، بالاتر از رول مربوط به مارک گذاری وی پی ان، یک رول ایجاد کنید که داده ها با مقصد 10.250.10.0/24 رو Accept کنه یا در همون رول مارک گذاری در بخش Dst. Address مقدار 10.250.10.0/24 ! را وارد کنید که داده هایی که مقصد اون رنج شبکه رو دارن، به اشتباه داخل L2TP نرن، که در این صورت پکت ها در کانکشن اشتباه از بین میرن.[/QUOTE]
دست گلت درد نکنه. جفت راهکارهارو تست کردم. نشد.
2019-09-28, 08:28 PM
shahani

همینطور میتونید دقت کنید که عملیات NAT روی داده های دو رنج شبکه شما اعمال نشه و در رول مربوط به برقراری ارتباط با اینترنت که out. interface WAN در حال حاضر روی روتر شما داره، یک شرط جدید اضافه کنید و در بخش Dst. Address List یک آدرس لیست به اون بدین که محتوی دو رنج شبکه داخلی شما باشه
192.168.88.0/24
10.250.10.0/24

[IMG]http://uupload.ir/files/ml8s_001.png[/IMG]

[IMG]http://uupload.ir/files/gyy_002.png[/IMG]
2019-09-28, 08:55 PM
r0otsharp

[QUOTE=shahani;484719]همینطور میتونید دقت کنید که عملیات NAT روی داده های دو رنج شبکه شما اعمال نشه و در رول مربوط به برقراری ارتباط با اینترنت که out. interface WAN در حال حاضر روی روتر شما داره، یک شرط جدید اضافه کنید و در بخش Dst. Address List یک آدرس لیست به اون بدین که محتوی دو رنج شبکه داخلی شما باشه
192.168.88.0/24
10.250.10.0/24

[IMG]http://uupload.ir/files/ml8s_001.png[/IMG]

[IMG]http://uupload.ir/files/gyy_002.png[/IMG][/QUOTE]
واقعا خیلی سپاسگذارم. اما نشد که نشد. همه کارو کردم. واقعا خستم کرده.

[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]

همه چی درست کار می کنه زمانی که روت مربوط به prerouting VPN رو غیرفعال می کنم. زمانی که فعال میشه همه چی قطع میشه.
2019-09-28, 09:24 PM
shahani

رول منگل شما داده های شبکه داخلی رو هم مارک VPN میزنه
توی همون رول منگل که الان دارید :
[CODE][LEFT]/ip firewall mangle
add action=mark-routing chain=prerouting in-interface-list=LAN \
new-routing-mark=VPN passthrough=yes src-address=\
192.168.88.2-192.168.88.254
[/LEFT]
[/CODE]

مثل تصویر قبلی، داده ها با مقصد آی پی های داخل شبکه را از این رول جدا کنید
[CODE]
[LEFT] /ip firewall address-list add address=192.168.88.0/24 list=MyNetwork
/ip firewall address-list add address=10.250.10.0/24 list=MyNetwork

/ip firewall mangle add action=mark-routing chain=prerouting in-interface
-list=LAN new-routing-mark=VPN passthrough=no src-address=192.168.88.2-192.168.88.254 dst-ad
dress-list=!MyNetwork
[/LEFT]
[/CODE]
2019-09-28, 09:58 PM
r0otsharp

[QUOTE=shahani;484721]رول منگل شما داده های شبکه داخلی رو هم مارک VPN میزنه
توی همون رول منگل که الان دارید :
[CODE][LEFT]/ip firewall mangle
add action=mark-routing chain=prerouting in-interface-list=LAN \
new-routing-mark=VPN passthrough=yes src-address=\
192.168.88.2-192.168.88.254
[/LEFT]
[/CODE]

مثل تصویر قبلی، داده ها با مقصد آی پی های داخل شبکه را از این رول جدا کنید
[CODE]
[LEFT] /ip firewall address-list add address=192.168.88.0/24 list=MyNetwork
/ip firewall address-list add address=10.250.10.0/24 list=MyNetwork

/ip firewall mangle add action=mark-routing chain=prerouting in-interface
-list=LAN new-routing-mark=VPN passthrough=no src-address=192.168.88.2-192.168.88.254 dst-ad
dress-list=!MyNetwork
[/LEFT]
[/CODE][/QUOTE]

آقا خدا خیرت بده واقعا. عالی هستی. درست شد. ممنون از شما. همه رو حذف کردم. مشکل سره همین بود که جفت ترافیک ها داشت مارک می خورد. ممنونم واقعا
2019-09-28, 10:37 PM
r0otsharp

دوستان تنظیمات به صورت کامل رو اضافه کردم تا بعدا اگر کسی مشکل داشت، مشکلش حل بشه.
[CODE]/interface bridge
add admin-mac=CC:2D:E0:FE:A7:AE auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface l2tp-client
add connect-to=m247-ch-ubuntu-l2tp-01.expressnetwork.net disabled=no \
ipsec-secret=12345678 name=l2tp-out1 password= use-ipsec=yes \
user=
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn_pool ranges=10.250.10.10-10.250.10.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/ppp profile
add dns-server=4.2.2.4,8.8.8.8 local-address=10.250.10.1 name=vpn_profile \
remote-address=vpn_pool use-encryption=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface sstp-server server
set authentication=mschap2 certificate=Server default-profile=vpn_profile \
enabled=yes port=1195
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip cloud
set update-time=no
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
192.168.88.1
/ip dns
set allow-remote-requests=yes servers=4.2.2.4,8.8.8.8
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=!10.250.10.0/24 \
in-interface-list=LAN new-routing-mark=VPN passthrough=yes src-address=\
192.168.88.2-192.168.88.254
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=\
l2tp-out1 src-address=192.168.88.0/24
/ip route
add distance=1 gateway=l2tp-out1 routing-mark=VPN
/ppp aaa
set use-radius=yes
/system clock
set time-zone-name=Asia/Tehran
/system ntp client
set enabled=yes primary-ntp=77.104.104.100 secondary-ntp=202.65.114.202
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[/CODE]