次のようなネットワーク状況があります。
- ISPルーター(モデム)-ISPから提供されたデバイス-モデムとルーターが1つに組み込まれていますが、透過モードに設定されています-ISPはそのように言っています。
- MikroTikルーター(MTR) -ファイアウォールを備えたエッジルーター
- サーバーNASとVPNサーバー(NAS) -Synologyボックスとデータストレージ、および実行中のPPTP、OpenVPN、L2TP / IPSecサービスを備えたVPNサーバー-ローカル企業とリモートロケーションのワーカーがデータを取得するために接続します
- ローカルステーション(LS) -私たちのネットワークサイトの労働者-彼らはPPTPを使用することを意味するWindows 8を使用しています
- リモートステーション(RS) -異なるISPの背後にあるリモートサイトの労働者
以下に、Mikrotik構成を示します。
ルーティングテーブル:
Dst. address | Gateway | Distance | Pref. source |
0.0.0.0/0 | 1.1.1.9 | 2 | - |
1.1.1.8/30 | ether1 | - | 1.1.1.8/30 |
192.168.1.0/24 | bridge local | - | 192.168.1.0/24 |
ファイアウォール:
Action | Chain | Dst. Address | Protocol | Dst. Port |
accept | input | 192.168.1.230 | 6 (TCP) | 1723 |
accept | input | 192.168.1.230 | 47 (GRE) | - |
accept | input | 192.168.1.230 | 6 (TCP) | 5006 |
NAT:
Action | Chain | Source Addr | Dst Address | Proto | Dst Port | Out Intf |
masquerade | srcnat | - | - | - | - | ether1 |
dstnat | dstnat | - | 1.1.1.9 | 6 (TCP) | 1723 | - |
dstnat | dstnat | - | 1.1.1.9 | 47 (GRE) | - | - |
dstnat | dstnat | - | 1.1.1.9 | 6 (TCP) | 5006 | - |
masquerade | srcnat | 192.168.1.0/24 | 192.168.1.230 | - | - | - |
最後のルールはヘアピンの発生を回避するために使用されます
Mikrotikのルールは今のところPPTPプロトコルに対してのみ作成されています!!!
私たちのLSは、PPTP VPNトンネル内でNASに接続するのに問題はありません。問題は、さまざまな場所のRSワーカーがNASへのVPNトンネルを取得しようとしたときに始まります。Windows 619 VPNエラーコードを受け取ります。
私はいくつかのテストを行いました。
ISPサイトから直接接続し、テストに使用したISPモデムとホスト(1.1.1.9 IPアドレスとゲートウェイ1.1.1.10)を削除しましたが、正常に機能しましたが、MTRのNATルールでは1.1に設定されていました。 1.10宛先アドレスは、現在のように1.1.1.9ではありません。
what.is.my.ipを使用すると、1.1.1.9内でパブリックアドレスを受信したため、これを変更しました。このアドレスをdynDNSでも使用します。そのため、変更しました。
したがって、1.1.1.10がある場合、VPNトンネルを取得するのに問題はありません(リモートのみにあったため、ISPサイトでポートブロッキングになる可能性があります)。ただし、NATルールで1.1.1.9を使用すると、ホストもISPのように機能しますモデムは619エラーコードを受け取ります。
今日、彼らは619の代わりに800 VPNエラーコードを受け取ります:/
私の問題の原因は何ですか?
1.1.1.10を使用していて、NATテーブルで1.1.1.9を使用するとエラーが発生するのはなぜですか。