Mikrotik RB951G-2HnD Настройка работы : Железо

И да - планируется использовать PPTP

Можно еще раз вопрос, только из-за телефона на стороне с телефоном будет воздвигаться VPN? Не слишком ли затратно?

Да, для того, что бы IP-телефон - Panasonic KX-NT321 - можно было подсоединить к имеющейся АТС (Panasonic TDA, какой номер - не помню) вне локальной сети - и весь сыр-бор.
В локальной сети не планируется использование IP-телефонов (используются обычные проводные телефоны типа [ Panasonic KX-TS2361 ])

Слово STUN услышано только сегодня.
И я не уверен, что данный телефон будет работать со STUN (хотя - возможно и будет).
Mikrotik-1 и Mikrotik-2 уже есть.

настоятельно рекомендую ipsec... заодно и сети объединишь...
уж больно PPTP нестабилен... :( да и взломанный...

Объединение сетей мне нужно, фактически, для двух устройств :)

Мои мысли:
1) На Mikrotik-1 поднять VPN-сервер (PPTP). Проверить, что я с ним соединяюсь (проверка осуществляется с помощью обычного windows-компьютера)
2) На Mikrotik-2 настроить VPN-клиента (PPTP). Проверить, что я соединяюсь этим клиентом нормально с имеющимся VPN-сервером (поднятом не на Mikrotik-1). Т.е. уже имеется заведомо правильно настроенный VPN-сервер, с которым я соединяюсь посредством windows-компьютера. Заменяю windows-компьютер на Mikrotik-2.
3) После того, как убедился в работоспособности VPN-сервера и VPN-клиента - пытаться подсоединиться клиентом c Mikrotik-2 на Mikrotik-1.
Windows-компьютер за Mikrotik-2 пытается обратиться к устройствам, расположенным за Mikrotik-1
4) После соединения - попытаться добиться "объединения сетей" тем или иным образом. Windows-компьютер за Mikrotik-1 пытается обратиться к устройствам, расположенным за Mikrotik-2


Почему PPTP?
У меня есть возможность проверить независимыми средствами и клиента и сервер.
Будет ли потом переход с PPTP на что-либо другое?
Не знаю, возможно.
Но только после построения рабочей модели с первоначально выбранными параметрами (нужно понимать, где ты ошибся).

Продолжаю "пошаговую настройку"

Сначала - поменяем пользователя со стандартного admin на что-то другое, поставим пароль. (System - User).

Далее - (вернувшись на Qiuck Set) поменяем имя WiFi сети, проставим нужный нам пароль, и скажем, что Wan - у нас всё же не DHCP, а Static.

Миниатюры

   

Уже пошли странности.
"Птичка" на DHCP-сервере не стоит, однако - устройства подсоединяются, получают нужные настройки.
Такое впечатление - что получают из каких-то "настроек по умолчанию".
Т.е. "без птички" - устройства получали IP "с конца списка" (192.168.88.254, 192.168.88.253).
Поставил "птичку" - появилась возможность указать диапазон.
Указал с 192.168.88.10 по 192.168.88.200
Переподключился - получил IP "с начала списка" (192.168.88.10)

Убрал "птичку" с DHCP, изменил настройки Lan (со 192.168.88.1/24 на диапазон 192.168.10.1/17)
Переподключился.
IP не получаю.
Руками прописал на компьютере: IP - 192.168.10.2, маску - 255.255.255.128, шлюз - 192.168.10.1
DNS пока написал гугловский - 8.8.8.8
Всё прекрасно заработало.
Хорошо, включаю DHCP, вижу DHCP Server Range: 192.168.88.10-192.168.88.200
....
Странно, но...
Ладно, говорю что диапазон DHCP 192.168.10.100-192.168.10.120.
Ставлю на компьютере - получать всё по DHCP, в результате - всё правильно.

Закончив первоначальную настройку (Wan, Lan, WiFi) - сохраним конфигурацию.

Пока абсолютно не понимаю, почему при выключении WiFi - устройство становится недоступным....
Но - так как конфигурация была сохранена - то делаем Reset (отключаем питание, нажимаем кнопку Reset, подключаем питание, через 2-3 секунды отпускаем кнопку Reset), и восстанавливаем все настройки из сохраненной конфигурации.

Миниатюры

         

Сделал настройку VPN-сервер [ согласно этой инструкции ]
Получил "ошибку 807" при попытке подключится к данному VPN-серверу.

Возможно, проблема в правилах брендмауэра на Mikrotik?
Даже в обсуждении указанной выше инструкции есть такое:
Правда, не понимаю - пока не понимаю, как это проверить/исправить.

В конце концов всё получилось.
Так как у меня сразу же всё забрали в эксплуатацию - то не приведу уже скриншотов с настройками/этапами

Было несколько проблем.
1) Пришлось делать дополнительные правила, открывающие всё, в FireWall-е (для создания соединения)
2) Пришлось делать дополнительную настройку маршрутизации (соединение было, но устройства из одной сети не видели устройств из другой)
3) Не надо тестировать доступ из одной сети в другую с помощью ping-а на компьютер с Windows'7 - отсутствие отклика не всегда значит ошибку в настройке устройств.

Настройки в основном делал по статье из [ WiKi ]

Однако, как выясняется - не всё настроено.
Пока было два офиса - то всё работало.
Появляется третий - и теперь ситуация такова:

В центральном офисе - видят каждый из удалённых
В любом из удалённых офисах - видят только центральный офис.

В центральном офисе:
В центральном офисе "собственная подсеть" - 192.168.0.0/24
Поднят VPN-сервер (192.168.5.1)
Настроено три Vpn-клиента, с адресами (для уд. офисов 1; 2; 3) 192.168.5.3; 192.168.5.4; 192.168.5.2

В удалённом офисе 1 "собственная подсеть" - 192.168.2.0/24
В удалённом офисе 2 "собственная подсеть" - 192.168.3.0/24
В удалённом офисе 3 "собственная подсеть" - 192.168.4.0/24

Такое впечатление, что нужно делать правила, разрешающие маршрутизацию между удалёнными офисами.
И похоже, что их надо делать в этих удалённых офисах.

Ниже приведены настройки и текущее состояние маршрутизации в центральном офисе и в одном из удалённых (в остальных настройки LAN и VPN аналогичны и отличаются только фактически используемыми адресами)

Если у кого-то есть мысли и предложения - с удовольствием их выслушаю!

Миниатюры