Problema con el túnel VPN desde una ubicación remota a través de ISP (PPTP)

7

Tengo una situación de red como esta:

Problema con el túnel VPN desde una ubicación remota a través de ISP (PPTP)

  • ISP Router (módem) : dispositivo que nos ha proporcionado nuestro ISP: módem y enrutador en uno, pero está configurado en modo transparente: ISP lo dice; D tenemos que encontrar que es cierto :)
  • MikroTik Router (MTR) : nuestro enrutador de borde con firewall
  • Servidor NAS y servidor VPN (NAS) : cuadro Synology con nuestro almacenamiento de datos y también con un servidor VPN con servicios PPTP, OpenVPN, L2TP / IPSec en ejecución, a los que los trabajadores de nuestra empresa local y de ubicación remota se conectan para obtener datos
  • Estación local (LS) - trabajadores en nuestro sitio de red - están usando Windows 8, lo que significa que usan PPTP
  • Estación remota (RS) : trabajadores en sitios remotos detrás de diferentes ISP

A continuación les presento nuestra configuración Mikrotik:

Tabla de ruteo:

Dst. address   | Gateway      | Distance | Pref. source   |
0.0.0.0/0      | 1.1.1.9      | 2        | -              |
1.1.1.8/30     | ether1       | -        | 1.1.1.8/30     |
192.168.1.0/24 | bridge local | -        | 192.168.1.0/24 |

Cortafuegos:

Action | Chain | Dst. Address  | Protocol | Dst. Port |
accept | input | 192.168.1.230 | 6 (TCP)  | 1723      |
accept | input | 192.168.1.230 | 47 (GRE) | -         |
accept | input | 192.168.1.230 | 6 (TCP)  | 5006      |

NAT:

Action     | Chain  | Source Addr    | Dst Address   | Proto    | Dst Port | Out Intf   |
masquerade | srcnat | -              | -             | -        | -        | ether1     |
dstnat     | dstnat | -              | 1.1.1.9       | 6 (TCP)  | 1723     | -          |
dstnat     | dstnat | -              | 1.1.1.9       | 47 (GRE) | -        | -          |
dstnat     | dstnat | -              | 1.1.1.9       | 6 (TCP)  | 5006     | -          |
masquerade | srcnat | 192.168.1.0/24 | 192.168.1.230 | -        | -        | -          |

La última regla se usa para evitar la aparición de horquillas

¡Las reglas en Mikrotik están hechas por ahora solo para el protocolo PPTP!


Nuestro LS no tiene ningún problema para conectarse a NAS dentro del túnel VPN PPTP. El problema comienza cuando nuestros trabajadores de RS de diferentes ubicaciones intentan obtener un túnel VPN a nuestro NAS. Reciben un código de error de VPN de Windows 619.


Hice algunas pruebas.

Me conecté directamente desde el sitio del ISP y eliminé el módem y el host del ISP que usé para la prueba (tenía 1.1.1.9 IP addr. Y gateway 1.1.1.10) y funcionó bien, pero en las reglas NAT en MTR se establecieron 1.1. 1.10 direcciones de destinos no 1.1.1.9 como ahora.

Lo cambié porque cuando uso what.is.my.ip recibí nuestra dirección pública en 1.1.1.9 - También uso esta dirección en dynDNS. Por eso lo cambié.

Entonces, cuando hay 1.1.1.10 no hay ningún problema para obtener el tunel VPN (solo los controles remotos los tenían, por lo que podría ser el bloqueo de puertos en el sitio de ISP), pero cuando uso 1.1.1.9 en las reglas NAT también mi host actúa como un ISP el módem obtiene el código de error 619.

Hoy obtienen un código de error de 800 VPN en lugar de 619: /

¿Cuál podría ser la causa de mi problema?

¿Por qué funciona de nuestro lado cuando uso 1.1.1.10 y recibo un error al usar 1.1.1.9 en la tabla NAT?

usuario3799089
fuente

Respuestas:

4

¿Por qué funciona de nuestro lado cuando uso 1.1.1.10 y recibo un error al usar 1.1.1.9 en la tabla NAT?

Tiene un problema con la configuración 1.1.1.9 como IP NAT externa en Mikrotik. La interfaz externa del Mikrotik es a / 30; está utilizando 1.1.1.9/30 como la puerta de enlace predeterminada y una IP NAT externa en Mikrotik. Si va a utilizar 1.1.1.9/30 en Mikrotik, necesita 1.1.1.10 como puerta de enlace predeterminada.

Tal como está, actualmente está utilizando 1.1.1.9 como puerta de enlace predeterminada e IP NAT externa.

Tabla de enrutamiento actual:

Dst. address   | Gateway      | Distance | Pref. source   |
0.0.0.0/0      | 1.1.1.9      | 2        | -              |

Tabla NAT actual:

Action     | Chain  | Source Addr    | Dst Address   | Proto    | Dst Port | Out Intf   |
masquerade | srcnat | -              | -             | -        | -        | ether1     |
dstnat     | dstnat | -              | 1.1.1.9       | 6 (TCP)  | 1723     | -          |
dstnat     | dstnat | -              | 1.1.1.9       | 47 (GRE) | -        | -          |
dstnat     | dstnat | -              | 1.1.1.9       | 6 (TCP)  | 5006     | -          |
masquerade | srcnat | 192.168.1.0/24 | 192.168.1.230 | -        | -        | -          |

Lo que es un poco confuso es el diagrama, que dice que el enrutador del ISP-A está en "estado de módem" transparente. Asegúrese de que el esquema de direccionamiento IP que está utilizando en el Mikrotik sea consistente con las expectativas del ISP-A. Si el enrutador es transparente, no estoy completamente seguro de que deba tener una dirección IP.

Mike Pennington
fuente
Sí, estoy seguro porque nuestro ISP nos proporciona un grupo de redes.
user3799089
1
Bueno, el Mikrotik está mal configurado siempre que use 1.1.1.9 como puerta de enlace predeterminada e IP NAT externa en el Mikrotik
Mike Pennington
Cuando cambié la puerta de enlace predeterminada de 1.1.1.9 a 1.1.1.10, perdí la conectividad a Internet desde mi MTR y toda la LAN. SO Si quiero usar direcciones IP 1.1.1.9, ¿debo dejar 1.1.1.9 en la tabla NAT y cambiar la puerta de enlace predeterminada de la tabla de enrutamiento a 1.1.1.10? Estoy en lo correcto?
user3799089
Únase a mí en el chat
Mike Pennington
Como me aconsejaste, volví a la configuración anterior y ahora podemos establecer el túnel VPN :) ¡Gracias!
user3799089