Не работает pptp через Mikrotik #753678

Подскажите правило которое необходимо прописать Mikrotik чтобы пробросить порт 1723 для pptp на Windows Server 2008 R2. Если перенаправляю с порта 1723 на порт 1723 и при подключении с клиента указываю только белый IP микротика то подключается без проблем, но если указать белый ІР и порт (0.0.0.0:1723) то не подключается. Идея в том что бы с микротика делать PPTP VPN подключение на виртуалки.

сервер впн где поднят? И что за странный порт (0.0.0.0:1723)? Где этому учат?

Накой этот изврат - внятно можно объяснить?

Сервер на винде, перед виндой стоит микротик, надо подключится к этому серверу.

Почитай что такое странный порт 1723

зачем ты порт на сервер перенаправляешь?

У тебя клиент какой, виндовый? Он сам на 1723 стучится, ему не надо порт указывать.

Да, он сам стучится на 1723, но у меня несколько виртуалок где поднят pptp,  надо на каждую виртуалку сделать свой VPN.

Вот тут вопрос этот был:

Принцип работы я знаю, мне интересно как прописать правило на микротике.

Зачем тебе на виртуалки пробрасывать впн? На микротике мне кажется достаточно 1 впн, для аккаунтов pptp укажешь статические впн ip. В фаерволе правила напиши кому куда можно.

Сейчас перенаправлено на RDP, веб сервера и все отлично работает, а перенаправляю на 1723 и неработает.

на микротике свой pptp-сервер, включи просто его с авторизацией в домене, или просто по локальному списку. Так проще и быстрей будет. Проброс vpn-порта тебе ничего не даст (к тому же он не один используется).

В смысле - прописать правило? Внешний порт 1723 пробрасываешь на 1723 первой виртуалки, затем какой-нибудь 20001 - на 1723 второй виртуалки, 20002 - на третью и так далее. Вопрос, во-первых, в том, что виндовому клиенту придется в реестре PPTP порт менять. Во-вторых, отключи на микротике сервис PPTP. А вообще, странная какая-то конфигурация. Настроил бы PPTP на микротике, как в советуют, и на внутренних виртуалках не надо ничего заморачивать лишнего.

1723 - только для авторизации, данные по протоколу GRE идут. его тоже прокинуть надо.

+ Просто так указать в виндовом клиенте <адрес>:<порт> нельзя.

+ А, да, GRE тоже пробрасывать надо. Но тут могут быть проблемы.

+ Еклмн, что-то я сам все подзабыл. Не будет у тебя работать проброс GRE на разные внутренние серверы. Шлюз, если вообще умеет GRE passtrough, не способен прогонять через NAT более одного туннеля.

+ Это чисто специфика протокола. Переходи на OpenVPN.

Если у клиентов статические IP то можно вроде разделить.

Не-а, не прокатит. Вот L2TP - можно, он инкапсулируется в UDP, а GRE - протокол того же уровня, что и TCP/UDP, у него нет понятия "портов".

+ Тут все предельно четко объясняется:

Ну если у клиентов статические белые IP можно в фаерволе указать проброс.

+ Впрочем, теоретически это возможно, но практической реализации вроде как и не было еще.

Как ты пробросишь GRE с разных портов роутера на разные айпишники внутри NAT?

Вообще, попробуй так: включи GRE passthrough на микротике и настрой проброс 1723 => <vm1>:1723, 20001 => <vm2>:1723. Далее, у второго клиента найди в реестре HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlClass{4D36E972-E325-11CE-BFC1-08002bE10318}   там ищи секцию "Минипорт  WAN (PPTP)" и поменяй порт на 20001. Далее проверь. Если не прокатывает - микротик не умеет сессионно пробрасывать GRE и затея твоя не выгорит.

Не буду я никакие порты пробрасывать. Я полностью гре от источника 1 буду на виртуалку 1 пробрасывать.

В условии задачи внутри за NAT-ом ДВЕ виртуалки.

+ Т.е. "несколько" :)

По другому опишу. От источников 1,2,3,4 буду на виртуалку 1 пробрасывать От источников 5,6,7,8 на виртуалку 2

Угу, а твой роутер сессионно умеет пакеты GRE делить?

Проще, имхо, всё же создать локального юзера на микроте и всё разрулить им, в один клик включив впн-сервер

+100500 ТС избыточные конструкции лепит.