- В настройках PPTP:
PPTP Server - Enable
Broadcast Support - Enable
Force MPPE Encryption - Enable
Server IP - 192.168.1.1
Client IP(s) - 192.168.1.200-210 (не в диапазоне адресов, выдаваемых по DHCP).
- В NAT/QoS - Port Forwarding:
PPTP 1723 TCP 192.168.1.1 1723 Enable
- В Security - Firewall:
Напротив пункта Filter WAN NAT Redirection галочка не стоит.
(все настройки сделаны согласно рекомендациям, расположенным по указанной мной выше ссылке)
С данными настройками прекрасно удается подключиться по PPTP из локальной сети (стандартный PPTP клиент Windows XP, по адресу сервера PPTP 192.168.1.1), однако при попытке подключиться из вне (все тот же стандартный PPTP клиент Windows XP) выскакивает ошибка 619.
Пробовал в настройках PPTP менять адрес сервера на WAN_IP, 0.0.0.0, свободный IP-адрес в локальной сети - результат один и тот же - ошибка 619.
Telnet WAN_IP 1723 проходит успешно, при чем проходил успешно и до добавления правила о перенаправлении порта на локальный IP-адрес роутера.
Вышесказанное привело меня к мысли обратить особое внимание на работу перенаправления портов (очевидно, что проблема именно в этом).
В Security - Firewall включил Log Management:
Log level - High
Dropped/Accepted/Rejected - High
Однако при просмотре журнала в момент попытки подключения по PPTP из WAN касательно запросов по 1723 tcp никакой информации не пишется, как будто и не подключается ни кто).
В качестве проверки в Security - Firewall пробовал вообще отключить на время SPI Firewall - все равно появляется ошибка 619.
Далее я решил настроить перенаправление другого порта - для примера взял порт 3389 tcp (протокол Remote Desktop) и в веб-интерфейсе (как это указано выше для 1723 tcp) перенаправил его на IP-адрес одного из компьютеров в локальной сети (IP-адрес для этого компьютера зафиксирован в DHCP). После этого подключиться из WAN на WAN_IP через RDP-клиент не удалось (как будто ни чего и не настраивалось).
Начал "гуглить" в Интернете на предмет проблемы проброса портов в DD_WRT, нашел информацию о том, что через GUI настройка проброса портов не работает в случае если порт WAN настроен на получение Интернета от провайдера по PPPoE/PPTP (так называемый DualAccess) и в такой ситуации перенаправление портов надо настраивать через консоль ssh (как это можно сделать описано здесь - http://www.dd-wrt.com/wiki/index.php/Port_Forwarding#Port_Forwarding_using_the_console ). Несмотря на то, что это не мой случай (а вот у товарищей из этой темы - http://www.dd-wrt.com/phpBB2/viewtopic.php?p=542008 явно как раз такая ситуация), я решил прописать проброс портов через консоль (как указано в руководстве выше). Попробовал прописать перенаправление для 1723 tcp и 3389 tcp (RDP на один из компьютеров), используя следующие команды:
iptables -t nat -I PREROUTING -p tcp --dport 1723 -j DNAT --to 192.168.1.1:1723
iptables -I FORWARD -p tcp -d 192.168.1.1 --dport 1723 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.1.6:3389
iptables -I FORWARD -p tcp -d 192.168.1.6 --dport 3389 -j ACCEPT
Но результатов это никаких не дало (как не перенаправлялись порты, так и не перенаправляются, соединение не устанавливается).
В этой статье - http://nastroisam.ru/port-forwarding-dd-wrt/ в одном из комментариев человек, у которого такой же build прошивки 14896 пишет, что ему тоже не удалось настроить проброс портов ни через веб-интерфейс, ни через консоль.
Подскажите пожалуйста - это версия прошивки такая, что в ней никак нельзя настроить проброс портов, или все-таки я что-то не так делаю или может быть у кого-то есть другие соображения почему не работает PPTP через WAN?
P.S.:
Роутер после внесения каждых изменений перезагружал.
Если критично - для того же внешнего IP-адреса, с которого пытаюсь подключиться, разрешен доступ на веб-интерфейс роутера (https по порту 8080), доступ по ssh (порт 22) и доступ по telnet.
P.P.S.:
При попытке настройки доступа по RDP к компьютеру из локальной сети вообще пробовал поместить его в DMZ - результат нулевой, доступа нет.
Last edited by C-S on Wed May 02, 2012 6:50; edited 3 times in total
В продолжение вышеизложенного:
Дома в качестве точки доступа использую Linksys E2000, на нем установлена прошивка dd-wrt build 16785(big), которая так же поддерживает возможность настройки PPTP сервера.
Я решил смоделировать ситуацию в домашних условиях:
На WAN интерфейсе Linksys E2000 прописал статический IP-адрес своей локальной домашней сети, в настройках LAN Linksys E2000 настроил еще одну локальную сеть, в которую включил ноутбук. Таким образом получилось, что ноутбук находится в локальной сети за роутером, а моя "основная" локальная сеть является для него внешней.
Настроил PPTP сервер:
PPTP Server - Enable
Broadcast Support - Enable
Force MPPE Encryption - Enable
Server IP - 192.168.2.1(локальный адрес роутера)
Client IP(s) - 192.168.2.200-210 (не в диапазоне адресов, выдаваемых по DHCP).
Применил данные настройки и попробовал подключиться - подключение прошло успешно как изнутри сети (с ноутбука), так и снаружи (со стационарного компьютера в "основной" домашней сети), при чем все заработало даже без настройки проброса портов для tcp 1723 на локальный адрес роутера.
Еще одна вещь - которую заметил еще вчера, но не сказал о ней - в руководстве к настройке проброса портов через графический интерфейс в числе прочего говорится о заполнении поля "Source net", так вот в настройках проброса портов на DIR 320 такого поля нет.
На всякий случай прикладываю скриншот.
Очевидно, что проблема в том, что при коннекте к серверу PPTP из внешней сети роутер (DIR 320) некорректно отрабатывает входящий запрос.
Похоже что данная версия прошивки меет проблему с установкой проброса портов.
Что же это? Глюк данной версии прошивки?
И как быть в такой ситуации? Может быть есть исправленный вариант для этой модели роутера?
C-S, Подскажите пожалуйста как настроить PPTP Server на домашнем маршрутизаторе.
У меня прошивка: DD-WRT v24-sp2 (04/07/12) big
Интернет поднят через Установка / Основные установки/ Тип соединения: PPTP. С этим проблем нет, имею доступ как к внешним ресурсам, так и к внутренним ресурсам провайдера, торренты и DC++ работают без проблем.
Настроил как указали вы выше. При этом:
Firewall отключен.
nmap мой_внешний_статический_адрес - показывает что порт 1723 открыт (с моей работы).
telnet мой_внешний_статический_адрес 1723 - подключается
telnet мой_внутренний_адрес 1723 - подключается
пытаюсь поднять Vpn с Windows 7 из локальной сети через внутренний IP - ошибка 619
пытаюсь поднять Vpn с Windows 7 с другой стороны (с моей работы) через внешний IP - ошибка 619 иногда ошибка 809
при создании Vpn на клиенте в Windows 7 нужно что-то еще настраивать, кроме IP, логина и пароля?
также пробовал в маршрутизаторе пробросить порты следующим образом:
NAT QoS /Перенаправление портов
VPN tcp мой_внешний_статический_адрес 1723 192.168.1.1 1723