Eu tenho uma situação de rede como esta:
- ISP Router (modem) - dispositivo fornecido pelo nosso ISP - modem e roteador em um, mas está definido no modo transparente - o ISP diz que sim; D, temos que descobrir que é verdade :)
- MikroTik Router (MTR) - nosso roteador de borda com firewall
- Servidor NAS e servidor VPN (NAS) - caixa Synology com nosso armazenamento de dados e também com servidor VPN com serviços PPTP, OpenVPN, L2TP / IPSec em execução - aos quais os funcionários da nossa empresa local e do local remoto conectam para obter dados
- Estação local (LS) - trabalhadores em nosso site de rede - eles estão usando o Windows 8, o que significa que eles usam PPTP
- Estação remota (RS) - trabalhadores em local remoto atrás de diferentes ISPs
Abaixo apresento nossa configuração Mikrotik:
Tabela de roteamento:
Dst. address | Gateway | Distance | Pref. source |
0.0.0.0/0 | 1.1.1.9 | 2 | - |
1.1.1.8/30 | ether1 | - | 1.1.1.8/30 |
192.168.1.0/24 | bridge local | - | 192.168.1.0/24 |
Firewall:
Action | Chain | Dst. Address | Protocol | Dst. Port |
accept | input | 192.168.1.230 | 6 (TCP) | 1723 |
accept | input | 192.168.1.230 | 47 (GRE) | - |
accept | input | 192.168.1.230 | 6 (TCP) | 5006 |
NAT:
Action | Chain | Source Addr | Dst Address | Proto | Dst Port | Out Intf |
masquerade | srcnat | - | - | - | - | ether1 |
dstnat | dstnat | - | 1.1.1.9 | 6 (TCP) | 1723 | - |
dstnat | dstnat | - | 1.1.1.9 | 47 (GRE) | - | - |
dstnat | dstnat | - | 1.1.1.9 | 6 (TCP) | 5006 | - |
masquerade | srcnat | 192.168.1.0/24 | 192.168.1.230 | - | - | - |
A última regra é usada para evitar a ocorrência de gancho de cabelo
As regras no Mikrotik são feitas por enquanto apenas para o protocolo PPTP !!!
Nosso LS não tem nenhum problema para conectar-se ao NAS no tunel VPN PPTP. O problema começa quando nossos funcionários de RS de diferentes locais tentam obter o túnel VPN para o nosso NAS. Eles recebem um código de erro de VPN do Windows 619.
Eu fiz alguns testes.
Eu me conectei diretamente do site do ISP e eliminei o modem e o host do ISP que usei para o teste (ele tinha endereço de IP 1.1.1.9 e gateway 1.1.1.10) e funcionou bem - mas nas regras NAT no MTR foram definidas 1.1. 1.10 endereços de destinos não 1.1.1.9 como agora.
Eu mudei porque, quando uso o what.is.my.ip, recebi nosso endereço público em 1.1.1.9 - também uso esses endereços no dynDNS. Por isso eu mudei.
Portanto, quando há 1.1.1.10, não há problema em obter o tunel da VPN (apenas os controles remotos os tinham - então poderia estar bloqueando a porta no site do ISP, eu acho), mas quando eu uso o 1.1.1.9 nas regras NAT, também o meu host age como um ISP modem obter código de erro 619.
Hoje eles recebem 800 códigos de erro de VPN em vez de 619: /
Qual poderia ser a causa do meu problema?
Por que funciona do nosso lado quando uso 1.1.1.10 e recebo erro usando 1.1.1.9 na tabela NAT?