Tôi có tình huống mạng như thế này:
- ISP Router (modem) - thiết bị được cung cấp cho chúng tôi bởi ISP - modem & bộ định tuyến trong một nhưng nó được đặt ở chế độ trong suốt - ISP nói như vậy; D chúng ta phải thấy rằng đó là sự thật :)
- Bộ định tuyến MikroTik (MTR) - bộ định tuyến biên của chúng tôi có tường lửa
- Máy chủ NAS & VPN Server (NAS) - Hộp Synology với bộ lưu trữ dữ liệu của chúng tôi và máy chủ VPN có chạy các dịch vụ PPTP, OpenVPN, L2TP / IPSec - mà các công nhân từ công ty địa phương của chúng tôi và từ vị trí từ xa có thể lấy dữ liệu
- Trạm cục bộ (LS) - công nhân tại trang mạng của chúng tôi - họ đang sử dụng Windows 8 có nghĩa là họ sử dụng PPTP
- Remote Station (RS) - công nhân tại trang web từ xa đằng sau các ISP khác nhau
Dưới đây tôi trình bày cấu hình Mikrotik của chúng tôi:
Bảng định tuyến:
Dst. address | Gateway | Distance | Pref. source |
0.0.0.0/0 | 1.1.1.9 | 2 | - |
1.1.1.8/30 | ether1 | - | 1.1.1.8/30 |
192.168.1.0/24 | bridge local | - | 192.168.1.0/24 |
Bức tường lửa:
Action | Chain | Dst. Address | Protocol | Dst. Port |
accept | input | 192.168.1.230 | 6 (TCP) | 1723 |
accept | input | 192.168.1.230 | 47 (GRE) | - |
accept | input | 192.168.1.230 | 6 (TCP) | 5006 |
NAT:
Action | Chain | Source Addr | Dst Address | Proto | Dst Port | Out Intf |
masquerade | srcnat | - | - | - | - | ether1 |
dstnat | dstnat | - | 1.1.1.9 | 6 (TCP) | 1723 | - |
dstnat | dstnat | - | 1.1.1.9 | 47 (GRE) | - | - |
dstnat | dstnat | - | 1.1.1.9 | 6 (TCP) | 5006 | - |
masquerade | srcnat | 192.168.1.0/24 | 192.168.1.230 | - | - | - |
Quy tắc cuối cùng được sử dụng để tránh xảy ra kẹp tóc
Các quy tắc tại Mikrotik được tạo ra chỉ dành cho giao thức PPTP !!!
LS của chúng tôi không có vấn đề gì để kết nối với NAS trong đường dẫn PPTP VPN. Vấn đề bắt đầu khi nhân viên RS của chúng tôi từ các địa điểm khác nhau cố gắng đưa đường hầm VPN đến NAS của chúng tôi. Họ nhận được mã lỗi Windows 619 VPN.
Tôi đã thực hiện một số bài kiểm tra.
Tôi đã kết nối trực tiếp từ trang ISP và tôi đã loại bỏ modem ISP và máy chủ mà tôi đã sử dụng để kiểm tra (nó có 1.1.1.9 IP addr. Và gateway 1.1.1.10) và nó hoạt động tốt - nhưng trong các quy tắc NAT tại MTR đã được đặt 1.1. 1.10 địa chỉ đích không 1.1.1.9 như bây giờ.
Tôi đã thay đổi nó bởi vì khi tôi sử dụng what.is.my.ip tôi đã nhận được địa chỉ công khai của chúng tôi trong vòng 1.1.1.9 - Tôi cũng sử dụng địa chỉ này trong dynDNS. Đó là lý do tại sao tôi thay đổi nó.
Vì vậy, khi có 1.1.1.10, không có vấn đề gì để có được đường dẫn VPN (chỉ có điều khiển từ xa có chúng - vì vậy tôi có thể chặn cổng tại trang web ISP) nhưng khi tôi sử dụng 1.1.1.9 trong quy tắc NAT thì máy chủ của tôi hoạt động như một ISP modem nhận được 619 mã lỗi.
Hôm nay họ nhận được 800 mã lỗi VPN thay vì 619: /
Điều gì có thể là nguyên nhân của vấn đề của tôi?
Tại sao nó hoạt động từ phía chúng tôi khi tôi sử dụng 1.1.1.10 và tôi gặp lỗi khi sử dụng 1.1.1.9 trong bảng NAT?