Подключение через SSTP

@shorg · Регистрация: 05.01.2017

Author24 — интернет-сервис помощи студентам

Доброго всем времени суток!
Столкнулся с такой проблемой.
Структура сети

Две сети соединены между собой через SSTP. На одном конце SSTP-server (GW1), на втором конце SSTP-client (GW2).
Настроена маршрутизация. ПК друг к другу конектятся, шАры просматриваются, пинги бегают. Но если посмотреть, с каким ip-адресом я законектился к ПК в другой сети, то всегда будет ip-адрес удаленного микротика.
Пример - мой хост 192.168.25.171. Я конекчусь к хосту 192.168.15.250. Смотрю - а подключение идет от ip-адреса 192.168.15.1 (а это адрес удаленного микротика).
Что нужно настроить, что бы при подключении было видно, что я конекчусь к хосту от своего ip - 192.168.25.171.

Сеть настраивалась по инструкции https://www.youtube.com/watch?v=DmfN8HMJ06I
Спасибо всем откликнувшимся!

@.None · 05.01.2017, 16:14

по идее, убрать NAT и настроить маршрутизацию

показывайте настройки микротиков маршрутизацию и firewall NAT

@shorg · 05.01.2017, 17:26 **[ТС]**

Настройки сделаны по минимуму, то есть в фаере разрешено все. маскарад на интернет.
SSTP сервер:

C#

> ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          x.x.x.x               0
 1 ADC  x.x.x.x/32     y.y.y.y  pppoe-atlant         0
 2   S  192.168.25.0/24    192.168.15.1  172.16.30.2               1
 3 ADC  192.168.15.0/24    192.168.15.1  ether2                    0
 4 ADC  172.16.30.2/32     172.16.30.1     sstp-server              0
 
 
> ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=masquerade out-interface=pppoe-atlant log=no 
      log-prefix="" 
 
> ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=forward action=accept out-interface=pppoe-atlant log=no 
      log-prefix=""

Клиент

C#

> ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          x.x.x.x               0
 1 ADC  x.x.x.x/32     y.y.y.y  pppoe-cl         0
 2 ADC  172.16.30.1/32     172.16.30.2     User SSTP           0
 3   S  192.168.15.0/24    192.168.25.1  172.16.30.1               1
 4 ADC  192.168.25.0/24    192.168.25.1  ether2                    0
 
> ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=masquerade out-interface=pppoe-cl log=no 
      log-prefix="" 
 
> ip firewall filter print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=forward action=accept out-interface=pppoe-cl log=no 
      log-prefix=""

@.None · 05.01.2017, 23:26

попробуйте в маршрутах (которые создали руками) убрать Pref. Source на обоих маршрутизаторах

@shorg · 06.01.2017, 09:31 **[ТС]**

Честно говоря, для чего нужен Pref. Source я в нете так и не нашел.
Отключил - ситуация не изменилась.
Отключил полностью в NAT masquerade на обоих концах. Так же не дало результата.(

@.None · 11.01.2017, 10:54

как успехи?

@shorg · 11.01.2017, 11:14 **[ТС]**

А воз и ныне там.
Так как на этих подсетях сидит куча народа, задействованы различные сетевые ресурсы, то решили закупить дополнительно 2 новых микротика, собрать стенд и на нем продолжать эксперименты.
Пока новых идей не появилось, все находится в режиме ожидания...

@.None · 11.01.2017, 11:30

давайте посмотрим на tracert с ПК одной сети на ПК в другой сети

@shorg · 11.01.2017, 12:30 **[ТС]**

Из 1 в 2

C++

c:\Windows\System32>tracert 192.168.25.171
 
Трассировка маршрута к Sxxn [192.168.25.171]
с максимальным числом прыжков 30:
 
  1     1 ms     1 ms     1 ms  192.168.15.1
  2    22 ms    22 ms    22 ms  172.16.30.2
  3    65 ms    27 ms    106 ms  Sxxn [192.168.25.171]
Трассировка завершена.

Из 2 в 1

C++

c:\Windows\System32>tracert 192.168.15.250
 
Трассировка маршрута к FххR [192.168.15.250]
с максимальным числом прыжков 30:
 
  1     1 ms     1 ms     1 ms  192.168.25.1
  2    33 ms    32 ms    22 ms  172.16.30.1
  3    76 ms    24 ms    22 ms  FххR [192.168.15.250]
Трассировка завершена.

@.None · 11.01.2017, 15:36

не вижу причин такого поведения, устанавливайте у себя снифер Wireshark, настраивайте фильтр на пинги и пингуйте из другой сети, результаты покажите

@shorg · 16.01.2017, 10:13 **[ТС]**

Wireshark показал следующее -
Если я пингуюсь из 192.168.15.2/24 на 192.168.25.171/24, то пинги приходят от правильного хоста (192.168.15.2)
Если пингуюсь в обратную сторону - из 192.168.25.171/24 на 192.168.15.2/24, тогда пинги приходят от микротика 192.168.15.1.
Т.к. на 192.168.15.1 настроен сервер SSTP, возможно настройки именно в нем. Теперь капаю в этом направлении...

@.None · 16.01.2017, 15:39

показывайте настройки SSTP, NAT и маршрутизацию на 192.168.15.1

@shorg · 16.01.2017, 16:55 **[ТС]**

хм... перебил настройки - поменял микротики ролями сервера SSTP и client'а - проблема такая же. Следовательно виновен 15.1
(чуток позже скину настройки по 15.1)

@shorg · 19.01.2017, 16:15 **[ТС]**

Решено!
По совету .None стал пересматривать NAT, routes, sstp.
В NAT'е есть куча пробросов портов - для видеонаблюдения, РДП, ФТП и др. Все с netmap.
Я их специально не указывал, что бы не громоздить текста - потом фиг разберешься. (всего правил 41).
И нашел такое правило.

C#

1
2
3

chain=srcnat action=src-nat to-addresses=192.168.15.1 
      dst-address=192.168.15.0/24 out-interface=bridge-inside log=no 
      log-prefix=""

Отключил - ВУАЛЯ! все заработало!
Кто его настроил и для чего - не понятно. Мне микротик достался уже настроенным так.
Всем спасибо!

@.None · 19.01.2017, 17:05

Сообщение от shorg

Я их специально не указывал, что бы не громоздить текста

рука лицо

@shorg · 20.01.2017, 11:53 **[ТС]**

Сообщение от .None

рука лицо

знаю знаю, уже несколько раз)).

Возникла следующая задача по этой теме. Имеется сервер sstp 15.1 и два клиента 25.1 и 35.1. Роуты до сервера понятно и все работает, а вот роут между клиентами работает только если в gateway прописать 172.16.30.1 (адрес sstp сервера 15.1).

C++

Host 25.1
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
  A S  192.168.35.1          192.168.25.1    172.16.30.1            1
Host 35.1
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
  A S  192.168.25.1          192.168.35.1    172.16.30.1            1
сервер SSTP 15.1
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
  A S  192.168.25.1          192.168.15.1    172.16.30.2            1
  A S  192.168.35.1          192.168.15.1    172.16.30.3            1

Что настроить, что бы пинги шли сразу с 172.16.30.2 на 172.16.30.3?
Это реально?

@shorg 0 / 0 / 1 Регистрация: 05.01.2017 Сообщений: 30
		1
	Подключение через SSTP 05.01.2017, 10:25. Показов 5836. Ответов 15 Метки нет (Все метки) Доброго всем времени суток! Столкнулся с такой проблемой. Структура сети Две сети соединены между собой через SSTP. На одном конце SSTP-server (GW1), на втором конце SSTP-client (GW2). Настроена маршрутизация. ПК друг к другу конектятся, шАры просматриваются, пинги бегают. Но если посмотреть, с каким ip-адресом я законектился к ПК в другой сети, то всегда будет ip-адрес удаленного микротика. Пример - мой хост 192.168.25.171. Я конекчусь к хосту 192.168.15.250. Смотрю - а подключение идет от ip-адреса 192.168.15.1 (а это адрес удаленного микротика). Что нужно настроить, что бы при подключении было видно, что я конекчусь к хосту от своего ip - 192.168.25.171. Сеть настраивалась по инструкции https://www.youtube.com/watch?v=DmfN8HMJ06I Спасибо всем откликнувшимся! 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,609
	05.01.2017, 16:14	2
	по идее, убрать NAT и настроить маршрутизацию показывайте настройки микротиков маршрутизацию и firewall NAT 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,609
	05.01.2017, 23:26	4
	попробуйте в маршрутах (которые создали руками) убрать Pref. Source на обоих маршрутизаторах 0

@shorg 0 / 0 / 1 Регистрация: 05.01.2017 Сообщений: 30
	06.01.2017, 09:31 [ТС]	5
	Честно говоря, для чего нужен Pref. Source я в нете так и не нашел. Отключил - ситуация не изменилась. Отключил полностью в NAT masquerade на обоих концах. Так же не дало результата.( 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,609
	11.01.2017, 10:54	6
	как успехи? 0

@shorg 0 / 0 / 1 Регистрация: 05.01.2017 Сообщений: 30
	11.01.2017, 11:14 [ТС]	7
	А воз и ныне там. Так как на этих подсетях сидит куча народа, задействованы различные сетевые ресурсы, то решили закупить дополнительно 2 новых микротика, собрать стенд и на нем продолжать эксперименты. Пока новых идей не появилось, все находится в режиме ожидания... 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,609
	11.01.2017, 11:30	8
	давайте посмотрим на tracert с ПК одной сети на ПК в другой сети 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,609
	11.01.2017, 15:36	10
	не вижу причин такого поведения, устанавливайте у себя снифер Wireshark, настраивайте фильтр на пинги и пингуйте из другой сети, результаты покажите 0

@shorg 0 / 0 / 1 Регистрация: 05.01.2017 Сообщений: 30
	16.01.2017, 10:13 [ТС]	11
	Wireshark показал следующее - Если я пингуюсь из 192.168.15.2/24 на 192.168.25.171/24, то пинги приходят от правильного хоста (192.168.15.2) Если пингуюсь в обратную сторону - из 192.168.25.171/24 на 192.168.15.2/24, тогда пинги приходят от микротика 192.168.15.1. Т.к. на 192.168.15.1 настроен сервер SSTP, возможно настройки именно в нем. Теперь капаю в этом направлении... 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,609
	16.01.2017, 15:39	12
	показывайте настройки SSTP, NAT и маршрутизацию на 192.168.15.1 1

@shorg 0 / 0 / 1 Регистрация: 05.01.2017 Сообщений: 30
	16.01.2017, 16:55 [ТС]	13
	хм... перебил настройки - поменял микротики ролями сервера SSTP и client'а - проблема такая же. Следовательно виновен 15.1 (чуток позже скину настройки по 15.1) 0

@.None 4001 / 1580 / 310 Регистрация: 23.06.2009 Сообщений: 5,609
	19.01.2017, 17:05	15
	Сообщение от shorg Я их специально не указывал, что бы не громоздить текста рука лицо 0

Подключение через SSTP

Решение