Active Directory и VPN

@sanjesss · Регистрация: 05.04.2015

Студворк — интернет-сервис помощи студентам

Господа и дамы, добрый вечер. Интересует такой вопрос. Компутеры из сети 192.168.6.0/24 не хотят корректно входить в домен, только через пень колоду.

В данный момент у меня два микротика, между ними GRE туннель, на сервере развернута AD, DNS. В микротике 192.168.6.1 сейчас прописан первый адрес DNS 192.168.5.5 (адрес сервера) и добавлены записи в ДНС формата имя_домена=192.168.5.5.. Правила FireWall не трогал.

На данный момент машины входят, но не через мастер, а через "Изменение имени компьютера или домена". Хотелось бы, что всё заходило легко и непринужденно, потому что подобную операцию нужно будет проделать еще с шестью офисами. И, как мне кажется, это костыли, а не правильное решение проблемы. Хочется услышать мнение людей, которые сталкивались с такой проблемой. Схему прилагаю. Огромное спасибо за ответы.

@insect_87 · 25.11.2019, 21:00

Покажите конфиги микротиков:

Code
1
export compact

@sanjesss · 26.11.2019, 10:34 **[ТС]**

Конечно, держите.

88.88.88.88

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
# nov/26/2019 10:04:28 by RouterOS 6.45.7
# software id = 1S02-80A4
#
# model = RB951Ui-2nD
# serial number = xxx
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2422 name=channel1 tx-power=20
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=channel2 tx-power=20
/interface bridge
add admin-mac=xxx auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=xxx
/interface l2tp-client
add allow=mschap2 connect-to=77.77.77.77 ipsec-secret="gbVu\$q1nUq" name="L2TP to 7-72" password=Qwerty@1111 use-ipsec=yes user=9_48
/interface wireless
# managed by CAPsMAN
# channel: 2422/20/gn(20dBm), SSID: mir_vo_9, local forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=russia disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=mir_vo_9 wireless-protocol=802.11
/interface gre
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=88.88.88.88 name="GRE to 7-72" remote-address=77.77.77.77
/caps-man datapath
add bridge=bridge local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=ucmir passphrase=ucmir2015
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=mir_vo_9 passphrase=ucmir2015
/caps-man configuration
add channel=channel1 datapath=datapath1 mode=ap name=ucmir rx-chains=0,1,2,3 security=ucmir ssid=ucmir tx-chains=0,1,2,3
add channel=channel1 datapath=datapath1 mode=ap name=mir_vo_9 security=mir_vo_9 ssid=mir_vo_9
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=ucmir2015 wpa2-pre-shared-key=ucmir2015
/ip firewall layer7-protocol
add name=server.ru regexp=server.ru
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.250
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=mir_vo_9 slave-configurations=ucmir
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless cap
# 
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1
/ip address
add address=192.168.0.1/24 comment=defconf interface=ether2 network=192.168.0.0
add address=88.88.88.88/30 interface=ether1 network=88.88.88.88
add address=192.168.148.2/30 interface="GRE to 7-72" network=192.168.148.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.0.68 client-id=xxx mac-address=xxx server=defconf
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.72.72,81.23.96.138,81.23.99.2
/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan
add address=192.168.72.72 name=win-server.server.ru
add address=192.168.72.72 name=server.ru
add address=192.168.72.72 disabled=yes name=_gc._tcp.server.ru
add address=192.168.72.72 disabled=yes name=_kerberos._tcp.dc._msdcs.server.ru
add address=192.168.72.72 disabled=yes name=_ldap._tcp.dc._msdcs.server.ru
add address=192.168.72.72 disabled=yes name=wpad.server.ru
add address=192.168.72.72 disabled=yes name=gkaxymuz.server.ru
add address=192.168.72.72 disabled=yes name=isatap.server.ru
add address=192.168.72.72 name=WIN-SERVER
add address=192.168.72.72 name=WIN-SERVER.server.ru
/ip firewall filter
add action=accept chain=input comment="L2TP VPN" dst-port=1701 protocol=udp
add action=accept chain=input comment="L2TP VPN" dst-port=500 protocol=udp
add action=accept chain=input comment="L2TP VPN" dst-port=4500 protocol=udp
add action=accept chain=input comment="\D3\E4\E0\EB\E5\ED\EA\E0 \ED\E0 \E2\E8\ED\E1\EE\EA\F1" dst-port=8291 protocol=tcp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none
add action=dst-nat chain=dstnat connection-mark=server.ru-fwd to-addresses=192.168.72.72
/ip route
add distance=1 gateway=88.88.88.88
add distance=1 dst-address=192.168.72.0/24 gateway=192.168.148.1
add distance=1 dst-address=192.168.72.0/24 gateway="L2TP to 7-72" pref-src=192.168.0.1
/ip service
set www address=192.168.0.0/24
set winbox address=77.77.77.77/32
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=9-48
/tool mac-server

77.77.77.77

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
# nov/26/2019 10:27:28 by RouterOS 6.45.7
# software id = QQUB-UJQU
#
# model = 951G-2HnD
# serial number = xxx
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce frequency=2448,2427 name=channel1 reselect-interval=1d secondary-frequency=disabled
/interface bridge
add fast-forward=no name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2427/20-Ce/gn(30dBm), SSID: elsvz, local forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no frequency=auto mode=ap-bridge ssid=elsvz wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] mac-address=xxx
/interface l2tp-server
add disabled=yes name="L2TP to 9-48" user=9_48
add disabled=yes name="L2TP to 9-58" user=9_58
add disabled=yes name="L2TP to 9-70" user=9_70
/interface gre
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=77.77.77.77 name="GRE to 9-48" remote-address=88.88.88.88
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=77.77.77.77 name="GRE to 9-58" remote-address=xxx
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=77.77.77.77 name="GRE to 9-70" remote-address=xxx
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm group-key-update=1h name=security1 passphrase=elsvz2020
/caps-man configuration
add channel=channel1 datapath=datapath1 mode=ap name=cfg1 rx-chains=0,1,2,3 security=security1 ssid=elsvz tx-chains=0,1,2,3
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=elsvz2020 wpa2-pre-shared-key=elsvz2020
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no
/ip pool
add name=dhcp ranges=192.168.72.10-192.168.72.240
add name=vpn-pool ranges=192.168.200.10-192.168.200.100
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=192.168.72.1 name="Main Profile" remote-address=vpn-pool
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn,b master-configuration=cfg1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/interface l2tp-server server
set authentication=mschap2 default-profile="Main Profile" enabled=yes ipsec-secret="gbVu\$q1nUq" use-ipsec=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/interface wireless cap
# 
set bridge=bridge1 caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1
/ip address
add address=77.77.77.77/28 interface=ether1 network=77.77.77.77
add address=192.168.72.1/24 interface=ether2 network=192.168.72.0
add address=192.168.158.1/30 interface="GRE to 9-58" network=192.168.158.0
add address=192.168.148.1/30 interface="GRE to 9-48" network=192.168.148.0
add address=192.168.170.1/30 interface="GRE to 9-70" network=192.168.170.0
/ip dhcp-server network
add address=192.168.72.0/24 gateway=192.168.72.1 netmask=24
/ip dns
set servers=dns.dns.dns.dns,dns.dns.dns.dns
/ip dns static
add address=192.168.72.72 disabled=yes name=win-server.server.ru
add address=192.168.72.72 disabled=yes name=server.ru
/ip firewall filter
add action=accept chain=input protocol=gre
add action=accept chain=input comment="\C4\EE\F1\F2\F3\EF \E2\ED\F3\F2\F0\E5\ED\ED\E5\E3\EE \EC\EE\E4\F3\EB\FF \E4\EB\FF CAPsMAN" dst-address=127.0.0.1
add action=accept chain=input comment="L2TP VPN" dst-port=1701 protocol=udp
add action=accept chain=input comment="L2TP VPN" dst-port=4500 protocol=udp
add action=accept chain=input comment="L2TP VPN" dst-port=500 protocol=udp
add action=accept chain=input comment="\D3\E4\E0\EB\E5\ED\ED\FB\E9 \E4\EE\F1\F2\F3\EF \ED\E0 \E2\E8\ED\E1\EE\EA\F1" dst-port=8291 protocol=tcp
add action=accept chain=input comment="RDP TCP Serv" dst-port=58921 in-interface=ether1 protocol=tcp src-address=xx.xx.xx.xx
add action=accept chain=input comment="RDP UDP Serv" dst-port=58921 protocol=udp src-address=xx.xx.xx.xx
add action=accept chain=input comment="RDP TCP Opros" dst-port=58923 in-interface=ether1 protocol=tcp src-address=xx.xx.xx.xx
add action=accept chain=input comment="RDP UDP Opros" dst-port=58922 protocol=udp src-address=xx.xx.xx.xx
add action=accept chain=input comment="RDP TCP Opros" dst-port=58922 in-interface=ether1 protocol=tcp src-address=xx.xx.xx.xx
add action=accept chain=input comment="\D3\E4\E0\EB\E5\ED\ED\FB\E9 \E4\EE\F1\F2\F3\EF \ED\E0 \E2\E5\E1" dst-port=80 protocol=tcp
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=forward ipsec-policy=out,ipsec
add action=accept chain=forward ipsec-policy=in,ipsec
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat
add action=masquerade chain=srcnat out-interface=all-ppp
add action=dst-nat chain=dstnat dst-port=7943 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=7943
add action=dst-nat chain=dstnat dst-port=7961 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=7961
add action=dst-nat chain=dstnat dst-port=7777 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=7777
add action=dst-nat chain=dstnat dst-port=7007 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=7007
add action=dst-nat chain=dstnat dst-port=9999 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=9999
add action=dst-nat chain=dstnat dst-port=2060 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=2060
add action=dst-nat chain=dstnat comment=RDP-TCP-Serer dst-port=58921 in-interface=ether1 protocol=tcp src-address=xx.xx.xx.xx to-addresses=192.168.72.159 to-ports=3389
add action=dst-nat chain=dstnat comment=UDP-UDP-Server dst-port=58921 in-interface=ether1 protocol=udp src-address=xx.xx.xx.xx to-addresses=192.168.72.159 to-ports=3389
add action=dst-nat chain=dstnat comment=RDP-TCP-Opros dst-port=58922 in-interface=ether1 protocol=tcp src-address=xx.xx.xx.xx to-addresses=192.168.72.100 to-ports=3389
add action=dst-nat chain=dstnat comment=RDP-UDP-Opros dst-port=58922 in-interface=ether1 protocol=udp src-address=xx.xx.xx.xx to-addresses=192.168.72.100 to-ports=3389
add action=dst-nat chain=dstnat comment=RDP-UDP-Opros dst-port=58923 in-interface=ether1 protocol=udp src-address=xx.xx.xx.xx to-addresses=192.168.72.237 to-ports=3389
add action=dst-nat chain=dstnat comment=RDP-UDP-Opros dst-port=58923 in-interface=ether1 protocol=tcp src-address=xx.xx.xx.xx to-addresses=192.168.72.237 to-ports=3389
/ip route
add distance=1 gateway=77.77.77.77
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.148.2
add distance=1 dst-address=192.168.0.0/24 gateway="L2TP to 9-48" pref-src=192.168.72.1
add distance=1 dst-address=192.168.58.0/24 gateway=172.16.30.4 pref-src=192.168.72.1
add distance=1 dst-address=192.168.58.0/24 gateway=192.168.158.2
/ip service
set www address=0.0.0.0/0
set winbox address=0.0.0.0/0
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=9_48 password=Qwerty@1111 profile="Main Profile" service=l2tp
add name=9_58 password=Qwerty@1111 profile="Main Profile" service=l2tp
add name=9_70 password=Qwerty@1111 profile="Main Profile" service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=7-72

@insect_87 · 26.11.2019, 17:19

Попробуйте отключить все правила firewall filter forward на обоих и проверьте.
Второе: очень кривые правила NAT:

Code
1
add action=masquerade chain=srcnat

- маскарадит все! Надо указать в output interface WAN-интерфейс в сторону провайдера, аналогично на втором
Третее - по DHCP можно клиентам в качестве DNS выдавать адрес AD
4.

Code
1
add address=192.168.72.1/24 interface=ether2 network=192.168.72.0

У вас этот интерфейс уже в бридже, потому и адрес надо вешать на бридж, аналогично на втором
+2 маршрута в удаленную сеть с одинаковым distance. - не есть хорошо, опять же на обоих роутерах.

Это только основное. Другое пока не смотрю.

@sanjesss · 27.11.2019, 12:47 **[ТС]**

Не помогло исправление ошибок. Прикрепляю текст ошибки с клиента. Прошу прощения, что сразу этого не сделал. Не было доступа.

Текст ошибки

Вероятно, доменное имя "SERVER" является NetBIOS-именем домена. Проверьте, что имя домена правильно зарегистрировано в WINS.

Если это имя не является NetBIOS-именем домена, следующие сведения помогут исправить ошибку в конфигурации DNS.

Ошибка при запросе DNS записи ресурса размещения службы (SRV), используемой для нахождения контроллера домена Active Directory для домена "SERVER":

Произошла ошибка: "DNS-имя не существует."
(код ошибки: 0x0000232B RCODE_NAME_ERROR)

Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.SERVER

Возможны следующие причины ошибки:

- SRV-записи DNS, необходимые для нахождения контроллера домена Active Directory в этом домене, не зарегистрированы в службе DNS. Эти записи регистрируются на DNS-сервере автоматически при добавлении контроллера домена Active Directory в домен. Они обновляются контроллером домена Active Directory через заданные интервалы. Этот компьютер настроен на использование DNS-серверов со следующими IP-адресами:

8.8.8.8
192.168.72.72

- Одна или несколько зон из указанных ниже не содержит делегирование к своей дочерней зоне:

SERVER
. (корневая зона)

DNS на роутере стоит, на всякий вручную прописал и адаптеру. 72.72 стоит на первом месте. 8.8.8.8 временная акция.
Принудительно, пропиской имени домена, входит, файерволл микротов не мешает.
На контроллере файерволл отключен. Компутеры подсети контроллера заходят без проблем.

Добавлено через 10 минут
Небольшой upd.

Перезапуск netlogon не помог. Также прикрепляю ipconfig /all с обоих.

Сервер

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : WIN-SERVER
Основной DNS-суффикс . . . . . . : server.ru
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : server.ru

Ethernet adapter ELSVZ:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) 82576 Gigabit Dual Port Network
Connection #2
Физический адрес. . . . . . . . . : 3C-D9-2B-F2-B9-48
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::e97b:6c72:973:2be%13(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.72.72(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.72.1
IAID DHCPv6 . . . . . . . . . . . : 222091563
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-24-CB-05-2F-3C-D9-2B-F2-B9-49

DNS-серверы. . . . . . . . . . . : 192.168.72.72
83.243.64.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Ethernet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) 82576 Gigabit Dual Port Network
Connection
Физический адрес. . . . . . . . . : 3C-D9-2B-F2-B9-49
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::a171:ff7:4dbe:8cc2%12(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.75(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
IAID DHCPv6 . . . . . . . . . . . : 305977643
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-24-CB-05-2F-3C-D9-2B-F2-B9-49

DNS-серверы. . . . . . . . . . . : ::1
127.0.0.1
192.168.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{003F2802-F08C-409E-9CC8-CD547F01245F}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{94A397DD-C694-409B-988D-A7AB476CD89A}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Клиент

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : test1
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Адаптер Ethernet Ethernet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : D8-CB-8A-99-E7-8A
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::6139:378a:7811:63ba%10(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.68(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 27 ноября 2019 г. 12:42:33
Срок аренды истекает. . . . . . . . . . : 27 ноября 2019 г. 12:52:33
Основной шлюз. . . . . . . . . : 192.168.0.1
DHCP-сервер. . . . . . . . . . . : 192.168.0.1
IAID DHCPv6 . . . . . . . . . . . : 64539530
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-25-65-6B-5D-D8-CB-8A-99-E7-8A
DNS-серверы. . . . . . . . . . . : 192.168.72.72
8.8.8.8
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{CF644C4A-B703-47D3-AF0D-0FD11BF3CE78}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv6-адрес. . . . . . . . . . . . : 2001:0:2851:782c:245c:3779:b217:c991(Осн овной)
Локальный IPv6-адрес канала . . . : fe80::245c:3779:b217:c991%3(Основной)
Основной шлюз. . . . . . . . . : ::
IAID DHCPv6 . . . . . . . . . . . : 134217728
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-25-65-6B-5D-D8-CB-8A-99-E7-8A
NetBios через TCP/IP. . . . . . . . : Отключен

@insect_87 · 27.11.2019, 12:59

выложите конфиги микротиков (поправленные с выключенными правилами firewall forward)

что за адаптер у сервера

Ethernet adapter Ethernet:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Intel(R) 82576 Gigabit Dual Port Network
Connection
Физический адрес. . . . . . . . . : 3C-D9-2B-F2-B9-49
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::a171:ff7:4dbe:8cc2%12(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.75(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
IAID DHCPv6 . . . . . . . . . . . : 305977643
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-24-CB-05-2F-3C-D9-2B-F2-B9-49

вот тут и конфликт.
Приходит пакет от клиента 0.68 на адрес сервера 72.72 на интерфейс Ethernet adapter ELSVZ.
А в ответ сервак отправляет пакет на адрес 0.75 с интерфейса Ethernet , в результате пакет дропнется

@sanjesss · 27.11.2019, 13:32 **[ТС]**

77.77.77.77

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
# nov/27/2019 13:00:00 by RouterOS 6.45.7
# software id = QQUB-UJQU
#
# model = 951G-2HnD
# serial number = 
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce frequency=2448,2427 name=channel1 reselect-interval=1d secondary-frequency=disabled
/interface bridge
add fast-forward=no name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2427/20-Ce/gn(30dBm), SSID: elsvz, local forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no frequency=auto mode=ap-bridge ssid=elsvz wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] mac-address=xxx
/interface gre
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=77.77.77.77 name="GRE to 9-48" remote-address=88.88.88.88
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=77.77.77.77 name="GRE to 9-58" remote-address=94.12
add allow-fast-path=no comment="\E3\EE\E2\ED\EE \ED\E5 \F0\E0\E1\EE\F2\E0\E5\F2 \E1\EB" ipsec-secret="gbVu\$q1nUq" local-address=77.77.77.77 name="GRE to 9-70" remote-address=77.23
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=77.77.77.77 name="GRE to 17-32" remote-address=83.24
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=77.77.77.77 name="GRE to Mal-37" remote-address=83.24
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=77.77.77.77 name="GRE to Sred-28" remote-address=77.23
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm group-key-update=1h name=security1 passphrase=elsvz2020
/caps-man configuration
add channel=channel1 datapath=datapath1 mode=ap name=cfg1 rx-chains=0,1,2,3 security=security1 ssid=elsvz tx-chains=0,1,2,3
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=elsvz2020 wpa2-pre-shared-key=elsvz2020
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no
/ip pool
add name=dhcp ranges=192.168.72.10-192.168.72.240
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn,b master-configuration=cfg1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/interface l2tp-server server
set authentication=mschap2 default-profile="Main Profile" ipsec-secret="gbVu\$q1nUq" use-ipsec=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/interface sstp-server server
set authentication=mschap2
/interface wireless cap
# 
set bridge=bridge1 caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1
/ip address
add address=77.77.77.77/28 interface=ether1 network=77.77.77.77
add address=192.168.72.1/24 interface=bridge1 network=192.168.72.0
add address=192.168.158.1/30 interface="GRE to 9-58" network=192.168.158.0
add address=192.168.148.1/30 interface="GRE to 9-48" network=192.168.148.0
add address=192.168.170.1/30 interface="GRE to 9-70" network=192.168.170.0
add address=192.168.132.1/30 interface="GRE to 17-32" network=192.168.132.0
add address=192.168.137.1/30 interface="GRE to Mal-37" network=192.168.137.0
add address=192.168.129.1/30 interface="GRE to Sred-28" network=192.168.129.0
/ip dhcp-server network
add address=192.168.72.0/24 gateway=192.168.72.1 netmask=24
/ip dns
set servers=dns.dns.dns.dns,dns.dns.dns.dns
/ip dns static
add address=192.168.72.72 name=win-server.server.ru
add address=192.168.72.72 name=server.ru
/ip firewall filter
add action=accept chain=input protocol=gre
add action=accept chain=input comment="\C4\EE\F1\F2\F3\EF \E2\ED\F3\F2\F0\E5\ED\ED\E5\E3\EE \EC\EE\E4\F3\EB\FF \E4\EB\FF CAPsMAN" dst-address=127.0.0.1
add action=accept chain=input comment="L2TP VPN" dst-port=1701 protocol=udp
add action=accept chain=input comment="L2TP VPN" dst-port=4500 protocol=udp
add action=accept chain=input comment="L2TP VPN" dst-port=500 protocol=udp
add action=accept chain=input comment="\D3\E4\E0\EB\E5\ED\ED\FB\E9 \E4\EE\F1\F2\F3\EF \ED\E0 \E2\E8\ED\E1\EE\EA\F1" dst-port=8291 protocol=tcp
add action=accept chain=input comment="RDP TCP Serv" dst-port=58921 in-interface=ether1 protocol=tcp src-address=89.179.125.82
add action=accept chain=input comment="RDP UDP Serv" dst-port=58921 protocol=udp src-address=89.179.125.82
add action=accept chain=input comment="RDP TCP Opros" dst-port=58923 in-interface=ether1 protocol=tcp src-address=89.179.125.82
add action=accept chain=input comment="RDP UDP Opros" dst-port=58922 protocol=udp src-address=89.179.125.82
add action=accept chain=input comment="RDP TCP Opros" dst-port=58922 in-interface=ether1 protocol=tcp src-address=89.179.125.82
add action=accept chain=input comment="\D3\E4\E0\EB\E5\ED\ED\FB\E9 \E4\EE\F1\F2\F3\EF \ED\E0 \E2\E5\E1" dst-port=80 protocol=tcp
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=forward disabled=yes ipsec-policy=out,ipsec
add action=accept chain=forward disabled=yes ipsec-policy=in,ipsec
add action=fasttrack-connection chain=forward connection-state=established,related disabled=yes
add action=accept chain=forward connection-state=established,related disabled=yes
add action=drop chain=forward connection-state=invalid disabled=yes
add action=drop chain=forward connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat
add action=masquerade chain=srcnat out-interface=all-ppp
add action=dst-nat chain=dstnat dst-port=7943 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=7943
add action=dst-nat chain=dstnat dst-port=7961 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=7961
add action=dst-nat chain=dstnat dst-port=7777 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=7777
add action=dst-nat chain=dstnat dst-port=7007 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=7007
add action=dst-nat chain=dstnat dst-port=9999 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=9999
add action=dst-nat chain=dstnat dst-port=2060 in-interface=ether1 protocol=tcp to-addresses=192.168.72.100 to-ports=2060
add action=dst-nat chain=dstnat comment=RDP-TCP-Serer dst-port=58921 in-interface=ether1 protocol=tcp src-address=89.179.125.82 to-addresses=192.168.72.159 to-ports=3389
add action=dst-nat chain=dstnat comment=UDP-UDP-Server dst-port=58921 in-interface=ether1 protocol=udp src-address=89.179.125.82 to-addresses=192.168.72.159 to-ports=3389
add action=dst-nat chain=dstnat comment=RDP-TCP-Opros dst-port=58922 in-interface=ether1 protocol=tcp src-address=89.179.125.82 to-addresses=192.168.72.100 to-ports=3389
add action=dst-nat chain=dstnat comment=RDP-UDP-Opros dst-port=58922 in-interface=ether1 protocol=udp src-address=89.179.125.82 to-addresses=192.168.72.100 to-ports=3389
add action=dst-nat chain=dstnat comment=RDP-UDP-Opros dst-port=58923 in-interface=ether1 protocol=udp src-address=89.179.125.82 to-addresses=192.168.72.237 to-ports=3389
add action=dst-nat chain=dstnat comment=RDP-UDP-Opros dst-port=58923 in-interface=ether1 protocol=tcp src-address=89.179.125.82 to-addresses=192.168.72.237 to-ports=3389
/ip route
add distance=1 gateway=77.77.77.77
add distance=3 dst-address=192.168.0.0/24 gateway=192.168.148.2
add distance=3 dst-address=192.168.29.0/24 gateway=192.168.129.2 pref-src=192.168.72.1
add distance=3 dst-address=192.168.32.0/24 gateway=192.168.132.2 pref-src=192.168.72.1
add distance=3 dst-address=192.168.37.0/24 gateway=192.168.137.2 pref-src=192.168.72.1
add distance=1 dst-address=192.168.58.0/24 gateway=192.168.158.2
/ip service
set www address=0.0.0.0/0
set winbox address=0.0.0.0/0
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp profile
add change-tcp-mss=yes local-address=192.168.72.1 name="Main Profile" remote-address=*4
/ppp secret
add name=9_48 password=Qwerty@1111 profile="Main Profile" service=l2tp
add name=9_58 password=Qwerty@1111 profile="Main Profile" service=l2tp
add name=9_70 password=Qwerty@1111 profile="Main Profile" service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=7-72

88.88.88.88

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
# nov/27/2019 13:09:37 by RouterOS 6.45.7
# software id = 1S02-80A4
#
# model = RB951Ui-2nD
# serial number = 
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2422 name=channel1 tx-power=20
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=channel2 tx-power=20
/interface bridge
add admin-mac=xxx auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=xxx
/interface wireless
# managed by CAPsMAN
# channel: 2422/20/gn(20dBm), SSID: mir_vo_9, local forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=russia disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=mir_vo_9 wireless-protocol=802.11
/interface gre
add allow-fast-path=no ipsec-secret="gbVu\$q1nUq" local-address=88.88.88.88 name="GRE to 7-72" remote-address=77.77.77.77
/caps-man datapath
add bridge=bridge local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=ucmir passphrase=ucmir2015
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=mir_vo_9 passphrase=ucmir2015
/caps-man configuration
add channel=channel1 datapath=datapath1 mode=ap name=ucmir rx-chains=0,1,2,3 security=ucmir ssid=ucmir tx-chains=0,1,2,3
add channel=channel1 datapath=datapath1 mode=ap name=mir_vo_9 security=mir_vo_9 ssid=mir_vo_9
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=ucmir2015 wpa2-pre-shared-key=ucmir2015
/ip firewall layer7-protocol
add name=server.ru regexp=server.ru
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.250
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=mir_vo_9 slave-configurations=ucmir
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless cap
# 
set bridge=bridge caps-man-addresses=127.0.0.1 enabled=yes interfaces=wlan1
/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge network=192.168.0.0
add address=88.88.88.88/30 interface=ether1 network=88.88.88.88
add address=192.168.148.2/30 interface="GRE to 7-72" network=192.168.148.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.0.68 client-id=xxx mac-address=xxx server=defconf
/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf dns-server=192.168.72.72,dns.dns.dns.dns,dns.dns.dns.dns gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.72.72,dns.dns.dns.dns,dns.dns.dns.dns
/ip dns static
add address=192.168.0.1 comment=defconf name=router.lan
add address=192.168.72.72 disabled=yes name=win-server.server.ru
add address=192.168.72.72 name=server.ru
add address=192.168.72.72 disabled=yes name=_gc._tcp.server.ru
add address=192.168.72.72 disabled=yes name=_kerberos._tcp.dc._msdcs.server.ru
add address=192.168.72.72 disabled=yes name=_ldap._tcp.dc._msdcs.server.ru
add address=192.168.72.72 disabled=yes name=wpad.server.ru
add address=192.168.72.72 disabled=yes name=gkaxymuz.server.ru
add address=192.168.72.72 disabled=yes name=isatap.server.ru
add address=192.168.72.72 disabled=yes name=WIN-SERVER
add address=192.168.72.72 disabled=yes name=WIN-SERVER.server.ru
/ip firewall filter
add action=accept chain=input comment="L2TP VPN" disabled=yes dst-port=1701 protocol=udp
add action=accept chain=input comment="L2TP VPN" disabled=yes dst-port=500 protocol=udp
add action=accept chain=input comment="L2TP VPN" disabled=yes dst-port=4500 protocol=udp
add action=accept chain=input comment="\D3\E4\E0\EB\E5\ED\EA\E0 \ED\E0 \E2\E8\ED\E1\EE\EA\F1" dst-port=8291 protocol=tcp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" disabled=yes ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" disabled=yes ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade \E8\ED\F2\E5\F0\ED\E5\F2\FB " ipsec-policy=out,none out-interface=ether1
add action=masquerade chain=srcnat comment="Masquerade GRE" ipsec-policy=out,none out-interface="GRE to 7-72"
/ip route
add distance=1 gateway=88.88.88.88
add distance=3 dst-address=192.168.72.0/24 gateway=192.168.148.1
/ip service
set www address=192.168.0.0/24
set winbox address=77.77.77.77/32
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=9-48
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Добавлено через 18 минут

Сообщение от insect_87

Приходит пакет от клиента 0.68 на адрес сервера 72.72 на интерфейс Ethernet adapter ELSVZ.
А в ответ сервак отправляет пакет на адрес 0.75 с интерфейса Ethernet , в результате пакет дропнется

Отключил вторую сетевуху сервера, перезапустил netlogon, перезагрузил обе машины, на всякий. Ошибка та же самая, никуда не ушла. Принудительно входит.

@insect_87 · 27.11.2019, 13:58

1.

/ip firewall nat
add action=masquerade chain=srcnat

Out-interface так и не проставлен
2.

add action=masquerade chain=srcnat comment="Masquerade GRE" ipsec-policy=out,none out-interface="GRE to 7-72"

Выключите.

@sanjesss · 27.11.2019, 14:06 **[ТС]**

Извините, проглядел первый out-interface. GRE выключил. Результат тот же.

@insect_87 · 27.11.2019, 14:31

Интерфейс поправили?
Сделайте с сервера

Code
1
tracert 192.168.0.75

С клиента

Code
1
tracert 192.168.72.72

@sanjesss · 27.11.2019, 14:43 **[ТС]**

Поправил. У обоих роутеров стоит интерфейс, в который воткнут провайдер.

Трассировка 0.75

Трассировка маршрута к 192.168.0.75 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.72.1
2 11 ms 11 ms 11 ms 192.168.148.2
3 192.168.148.2 сообщает: Заданный узел недоступен.

Трассировка завершена.

Трассировка 72.72

Трассировка маршрута к 192.168.72.72 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.0.1
2 11 ms 11 ms 11 ms 192.168.148.1
3 11 ms 11 ms 11 ms 192.168.72.72

Трассировка завершена.

Прошу заметить, что трассировка к компутеру 0.68, котрый является клиентом, проходит корректно. Через туннель и на адрес.

@insect_87 · 27.11.2019, 16:33

покажите еще раз конфиг 88.88.88.88
Вот это

add action=masquerade chain=srcnat comment="Masquerade GRE" ipsec-policy=out,none out-interface="GRE to 7-72"

я думаю еще присутствует

Прошу заметить, что трассировка к компутеру 0.68, котрый является клиентом, проходит корректно. Через туннель и на адрес.

не совсем понял?
файрволл, брандмауэр, сетевой экран антиивируса на 0.75 отключите

@sanjesss · 27.11.2019, 18:31 **[ТС]**

Сообщение от insect_87

я думаю еще присутствует

Никак нет.

ip->firewall

# nov/27/2019 18:28:35 by RouterOS 6.45.7
# software id = 1S02-80A4
#
# model = RB951Ui-2nD
# serial number =
/ip firewall layer7-protocol
add name=server.ru regexp=server.ru
/ip firewall filter
add action=accept chain=input comment="L2TP VPN" disabled=yes dst-port=1701 \
protocol=udp
add action=accept chain=input comment="L2TP VPN" disabled=yes dst-port=500 \
protocol=udp
add action=accept chain=input comment="L2TP VPN" disabled=yes dst-port=4500 \
protocol=udp
add action=accept chain=input comment=\
"\D3\E4\E0\EB\E5\ED\EA\E0 \ED\E0 \E2\E8\ED\E1\EE\EA\F1" dst-port=8291 \
protocol=tcp
add action=accept chain=input comment=\
"defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment=\
"Masquerade \E8\ED\F2\E5\F0\ED\E5\F2\FB " ipsec-policy=out,none \
out-interface=ether1
add action=masquerade chain=srcnat comment="Masquerade GRE" disabled=yes \
ipsec-policy=out,none out-interface="GRE to 7-72"

Сообщение от insect_87

не совсем понял?

Произошло недопонимание. У сервера 2 сетевые карты. Одна обозначена как 0.75, вторая 72.72. Вы, видимо, подумали, что 0.75 это не сетевая карта, я машина. Карту с адресом 0.75 я отключил, сейчас только 72.72.

@insect_87 · 27.11.2019, 18:48

Хорошо, тогда нужна трасса с сервера до удаленного пк и трасса с удаленного пк до сервера.
Файрволл, брандмауэр, сетевой экран антиивируса отключите на сервере и на удаленном пк.

@sanjesss · 28.11.2019, 09:24 **[ТС]**

Сообщение от insect_87

Хорошо, тогда нужна трасса с сервера до удаленного пк и трасса с удаленного пк до сервера.
Файрволл, брандмауэр, сетевой экран антиивируса отключите на сервере и на удаленном пк.

Конечно, держите.

Трассировка

Трассировка маршрута к 192.168.0.68 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.72.1
2 11 ms 11 ms 11 ms 192.168.148.2
3 12 ms 11 ms 11 ms 192.168.0.68

Трассировка завершена.

@insect_87 · 28.11.2019, 10:15

отлично, теперь включите telnet клиент на 0.68
https://winnote.ru/networks/71... ndows.html
и на машине 0.68 в cmd сделайте

Code
1
telnet 192.168.72.72 53

firewall filter forward на обоих должен пропускать в сторону от клиента до сервера эти порты, обратно - правило established,related

проверьте все TCP порты по аналогии с клиента

Code
1
2
telnet 192.168.72.72 135
telnet 192.168.72.72 88

и тд

отпишитесь о результатах

например, тестим 135 порт
если будет пустое черное окно, пишите
135 - ОК

тестим 53 порт
если будет Подключение к 192.168.72.72...Не удалось открыть подключение к этому узлу, на порт ...: Сбой подключения
пишите
53 - NС

и так по всем из списка

1024-65535/TCP - эти порты не проверяйте
проверьте:
135 RPC
53 DNS
88,464 KERBEROS
445 SMB
389,636,3268,3269 LDAP
123 NTP

@sanjesss · 28.11.2019, 10:39 **[ТС]**

Я немного не понял про правила файерволла, прошу прощения, объясните ещё раз.

С включенными и отключенными форвард в файерволле имеем один и тот же результат.

Code
1
2
3
4
5
6
7
8
9
10
135 ok
53 ok
88 ok
464 ok
445 ok
389 ok
636 ok
3268 ok
3269 ok
123 NС

@KDE777 · 28.11.2019, 10:58

Сообщение от insect_87

теперь включите telnet клиент

Одно уточнение - телнет проверит доступность TCP портов, а нужны ещё и UDP

"The following is the list of services and their ports used for Active Directory communication:

UDP Port 88 for Kerberos authentication
UDP and TCP Port 135 for domain controllers-to-domain controller and client to domain controller operations.
TCP Port 139 and UDP 138 for File Replication Service between domain controllers.
UDP Port 389 for LDAP to handle normal queries from client computers to the domain controllers.
TCP and UDP Port 445 for File Replication Service
TCP and UDP Port 464 for Kerberos Password Change
TCP Port 3268 and 3269 for Global Catalog from client to domain controller.
TCP and UDP Port 53 for DNS from client to domain controller and domain controller to domain controller.

Opening above ports in Firewall between client computers and domain controllers, or between domain controllers, will enable Active Directory to function properly. "

Ну и в актуальных Windows встроен PowerShell, а значит можно и не ставить телнет-клиента:

PowerShell
1
Test-NetConnection ya.ru -Port 443

Кликните здесь для просмотра всего текста

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
PS C:\> Test-NetConnection ya.ru -CommonTCPPort HTTP
 
ComputerName           : ya.ru
RemoteAddress          : 87.250.250.242
RemotePort             : 80
InterfaceAlias         : vEthernet (Виртуальный коммутатор 1)
SourceAddress          : 10.10.10.10
PingSucceeded          : True
PingReplyDetails (RTT) : 11 ms
TcpTestSucceeded       : True
 
PS C:\> Test-NetConnection ya.ru -Port 443
 
ComputerName           : ya.ru
RemoteAddress          : 87.250.250.242
RemotePort             : 443
InterfaceAlias         : vEthernet (Виртуальный коммутатор 1)
SourceAddress          : 10.10.10.10
PingSucceeded          : True
PingReplyDetails (RTT) : 11 ms
TcpTestSucceeded       : True
 
PS C:\> Test-NetConnection ya.ru -Port 445
ПРЕДУПРЕЖДЕНИЕ: TCP connect to ya.ru:445 failed
 
ComputerName           : ya.ru
RemoteAddress          : 87.250.250.242
RemotePort             : 445
InterfaceAlias         : vEthernet (Виртуальный коммутатор 1)
SourceAddress          : 10.10.10.10
PingSucceeded          : True
PingReplyDetails (RTT) : 11 ms
TcpTestSucceeded       : False

@insect_87 · 28.11.2019, 11:13

Одно уточнение - телнет проверит доступность TCP портов

я про это и написал ранее

проверьте все TCP порты по аналогии с клиента

@KDE777 · 28.11.2019, 11:25

Сообщение от insect_87

я про это и написал ранее

А я дописал, что нужны ещё и UDP порты, которые телнет не проверит.

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

@sanjesss 0 / 0 / 0 Регистрация: 05.04.2015 Сообщений: 19

	Active Directory и VPN 25.11.2019, 18:46. Показов 7536. Ответов 26 Метки нет (Все метки) Господа и дамы, добрый вечер. Интересует такой вопрос. Компутеры из сети 192.168.6.0/24 не хотят корректно входить в домен, только через пень колоду. В данный момент у меня два микротика, между ними GRE туннель, на сервере развернута AD, DNS. В микротике 192.168.6.1 сейчас прописан первый адрес DNS 192.168.5.5 (адрес сервера) и добавлены записи в ДНС формата имя_домена=192.168.5.5.. Правила FireWall не трогал. На данный момент машины входят, но не через мастер, а через "Изменение имени компьютера или домена". Хотелось бы, что всё заходило легко и непринужденно, потому что подобную операцию нужно будет проделать еще с шестью офисами. И, как мне кажется, это костыли, а не правильное решение проблемы. Хочется услышать мнение людей, которые сталкивались с такой проблемой. Схему прилагаю. Огромное спасибо за ответы. Миниатюры 0

@sanjesss 0 / 0 / 0 Регистрация: 05.04.2015 Сообщений: 19
	27.11.2019, 14:06 [ТС]
	Извините, проглядел первый out-interface. GRE выключил. Результат тот же. 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	27.11.2019, 18:48
	Хорошо, тогда нужна трасса с сервера до удаленного пк и трасса с удаленного пк до сервера. Файрволл, брандмауэр, сетевой экран антиивируса отключите на сервере и на удаленном пк. 0