Наверное я далекий.

Что это такое?

Обратил внимание только сейчас, после создания ранее когда увидел надпись ричибл и тунель построился, показалось все верно с этой настройкой и можно ее не драконить.

Но при детальном осмотре сейчас увидел
на преф соурсе 192.168.89.1 , а по вашей инструкции с сайта (ну где скриншот от пользователя) вообще 172.16.6.220 (что это за адрес?)

Я предполагаю когда добавлял впн соединение вот так все ивстало автоматом и отсюда и нат создался. а в графу префсоурсе ничего не вписывалось, т.к. в инструкции на вашем сайте об этом не говорится (но я понимаю что это всего лишь подсказка к действию не жели чем инструкция)

Я подожду что вы видите сейчас, а потом буду пыться создать новое впн подключение и тогда мне как в преф соурсе этот забивать 172.16.6.220?? или там должен фигурировать мой 172.16.27.40?

Адрес 172.16.6.220 - это адрес пользовательского туннеля в сети vpnki в том примере
В вашем случае это 172.16.27.40

Да это жесть какая то
при выполнении шага 1.2.3
vpnki.ru/settings/router/settings-mikrotik-pptp

в графе Route list появляется надпись автоматом.
Dac 172.16.0.1 vpnki reachable pref source 192.168.89.1
корректировать нельзя, удалить нельзя

Создание нового маршрута (отмечен синим цветом на скриншоте), почему теперь то его winbox отмечает синим, секунд 30 подумал и присвоил ему reachable. тоже ничего не дает.
Nat изначально был был вычистен, в нем ничего нет и сейчас тоже.

Проделал процедуру несколько раз 1,2,3 в графу Route list лезит этот маршрут с непонятным мне адресом (который в моей сети нигде даже не фигурирует)

Уже в замешательстве
Нужно отдохнуть и пересобраться

Как я понимаю в тот маршрут должен мой ip встать 172.16.27.40, но как если при подключении к vpnki в маршрут встает тот ip 192.168.89.1 это на автомате походу что ли.
Ерунда какая то.
Если подключаешь например lte модем в меню interface, то он создает маршрут в меню routes на адрес 192.168.8.1, что соответствует его ip адресу и логично.

А тут получается как буд то бы сервис vpnki за адресом 192.168.89.1 вместо 172.16.27.40

Добил я его все же.
Помоему вам нужно вправить гайд на сайте, по настройке микротика или хотя бы сделать какое то упоминание что такое место может быть.

Сколько я не пытался создать новое PPPTP подключение везде присваивается адрес 192.168.89.1 (роутер ранее не имел ни одного ppptp соединения, находится в заводском состоянии по дефолту за исключением добавленного LTE модема)

Как получилось выйти из этого.

После создания (add new) подключения PPPTP во вкладке Interfaces (после чего впоследствии в Routes присваивается правило где фигурирует данный 192.168.89.1)

1.
Зайти во вкладку PPP


2. далее во вкладку Profiles

3. заменить на локальный адрес присвоенный туннелю (в моем случае 172.16.27.40)


адрес изменится на нужный.


Есть только один нюанс.
Если зайти сразу во вкладку Routes (маршруты) то можно обнаружить что там опять этот адрес 192.168.89.1
Не стоит рвать волосы на затылке.

Нужно зайти во вкладку Interface в созданное PPPTP подключение к сервису Vpnki открыть его и еще раз нажать на нем APPLY, затем OK и применится новый адрес в маршруте (Routes)

Не претендую на звание "чемпиона" , но помоему это очень архиеважная информация! А уж сколько времени отняла для простого обывателя.
В интернете я этого не нашел.
Без этого никак не вставал!

Возможно что RouterOS v6.43.8 (stable) предпоследняя версия прошивки конец 2018г. имеет такой дефолт.
Либо же это стандартный момент, но на который был опущен в гайде.
Но к сожалению вот на такую ерунду минутную ушло сколько 4 дня наверное. Хорошо что как то сразу apply догадался еще раз ему по кликать.

Блин я столько провозился с эти, надеюсь этот пинг добротный
PING 172.16.27.40 (172.16.27.40) 56(84) bytes of data.
64 bytes from 172.16.27.40: icmp_seq=1 ttl=64 time=40.9 ms
64 bytes from 172.16.27.40: icmp_seq=2 ttl=64 time=40.5 ms
64 bytes from 172.16.27.40: icmp_seq=3 ttl=64 time=39.7 ms
64 bytes from 172.16.27.40: icmp_seq=4 ttl=64 time=49.3 ms
64 bytes from 172.16.27.40: icmp_seq=5 ttl=64 time=38.0 ms

--- 172.16.27.40 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4003ms
rtt min/avg/max/mdev = 38.055/41.712/49.327/3.936 ms

задублировалось сообщение, не нашел как удалить. поэтому здесь этот текст)))

а и еще обратите внимание что после создания vpn подключения когда присваивается 192.168.89.1 я могу заходить в него с этого адреса, но после замены уже конечно нельзя, по этому на скриншотах он указан в строке. Родной у него 192.168.88.1

Спасибо за гайд! Но мне кажется крайне странным тот факт, что Микротик "из неоткуда" ставит на туннель адрес 192.168.89.1
В вашей строке браузера видно, что именно по этому адресу вы и обращаетесь к нему. Значит этот адрес существует и для локальной сети?
Где же еще этот адрес может присутствовать в Микротике?

так то не существует, если vpn подключение не делать. Я перепроверял когда просек этот момент, что после создания vpn подключения можно зайти на него уже с 192.168.89.1, когда удалял vpn подключение соответственно уже не заходил. Но потом как я нашел это дело исправить (я еще раз скажу что вообще никак нельзя вписать заранее свой нужный 172.16.27.40, просто никак, я думал можно вправить в routes этот адрес, но он ругался на любую попытку сделать изменения с этим правилом.)
Но после того как я сменил на 172.16.27.40 в закладке PPP-profiles кажется (по скриншотам видно) , теперь я на микротик тоже могу зайти по 172.16.27.40 внутри локальной сети. Тем не менее все работает.

только не совсем разобрался, я думал 172.16.27.40 это адрес до роутера будет из внешней сети. Но не заходит.
Пробросы которые делал работают исправно и публикации URL тоже из внешнего мира (на вебморду камеры и регистратор)

Я вот когда искал все возможные гайды в яндексе, нашел вот такую ссылку
www.opennet.ru/openforum/vsluhforumID6/2050.html

там челочвек пишет "1 микротик PPTP-сервер, 2 микротик PPTP-клиент.
создана техническая подсеть 192.168.89.0/24 и серверу назначен адрес 192.168.89.1, клиенту назначается адрес 192.168.89.2
Маршруты построены так:

может это такой дефолт по умолчанию в настройках микротика, да уже не важно. Главное все работает, я вам поподробнее расписал, на форуме все будет.

А правда как зайти на микротик?))

пробросил на него порт и опубликовал url для него. не пускает из внешнего мира.
Зашел в свойства обозревателя виндовс там поставил галочку прокси, указал нужное заходит на 192.168.88.10 (регистратор) и 192.168.88.100 (камера) и вписываю 192.168.88.1 (микротик) не заходит.
Опять что ли у меня косяк?))

А еще даже не знаю как правильно объяснить есть роутер 192.168.88.20 ну как роутер, ну да впринципе он примитивный роутер использую его как рентранслятор, там в нем пару кнопок в интерфейсе. При создании ретрансляции написал что доступ к устройству после создания ретрансляции возможен будет по адресу tendawifi.com , так и естьпускает из локалки только через url а по ip 192.168.88.20 уже не пускает. Ну и соответсвенно когда пробовал через прокси попасть тоже не пустил.

выброс 80 порта на ружу помог. в Firewall - Filter rules
Теперь заходит и по опубликованному url и по проброшенному tcp

Но как я понял это сильно не безопасно, теперь мой роутер открыт для всего мира.
Там есть такое меню, ограничено ip адресов, в котором если его раскрыть сначала я должен вписать свою домашнюю сеть 192.168.88.0/24
и еще ту сеть тот диапазон с которого буду подключаться, как ваш диапазон вписать туда 172.16.27.0/24, и вообще получится ли так?

Вообще из-за чего я к вам пришел, мне нужен был удаленный доступ к устройствам особенно маршрутизатор (микротик) и сколько я не пробывал пробросить 80 порт наружу и попыться зайти на него с ip который на Yota уже не менялся 3 недели с момента подключения, все было тщетно. так же почему то я не смог настроить ddns не помню через какой сервис, потом я узнал про vpn.

tpaxep пишет: Там есть такое меню, ограничено ip адресов, в котором если его раскрыть сначала я должен вписать свою домашнюю сеть 192.168.88.0/24
и еще ту сеть тот диапазон с которого буду подключаться, как ваш диапазон вписать туда 172.16.27.0/24, и вообще получится ли так?

Получится, но не совсем. Когда вы будете обращаться к своему рутеру через опубликованный URL или TCP порт извне, то к вашему Микротику трафик будет поступать с одного единственного адреса - адреса сервера 172.16.0.1 вне зависимости от того, откуда вы там из Интернета обращаетесь.
Поэтому в реальности ограничение в Микротике никак не поможет ограничить доступ, кроме конечно 192.168.88.0 - это ограничение будет работать.

Что то не совсем понял, а может я не правильно выразился. Это список разрешенных адресов.
Указал так.

и перепроверял постепенно сначала 192.168.88.0/24 вписал, все хорошо вебморда работает из локалки с компа 192.168.88.254, но из интернета теперь не работает и проброс и url
потом вписал 172.16.0.0/24 по пробросу и url доступ пошел из интернета 3G на телефоне.
Тут я наверное сильно тупанул с таким диапазоном и исправил на 172.16.0.1 и в конце микротик сам вписал /32
Это выходит что доступна одному единственному адресу 172.16.0.1 моя вебморда? правильно я понял выходит.
Спасибо за помощь. Считай все сделано. буду пользоваться.

tpaxep пишет: Что то не совсем понял, а может я не правильно выразился. Это список разрешенных адресов.
Это выходит что доступна одному единственному адресу 172.16.0.1 моя вебморда? правильно я понял выходит.

Да, правильно, только 172.16.0.1.
Просто из Интернета ведь сможете обращаться не только вы, но и китайские хакеры и вы и они для Микротика придут с одного адреса - 172.16.0.1
Поэтому это ограничение, в реальности, мало чего ограничивает.

Но как тогда мне это сделать?)) и так уже пуганный с этим тиком добавил всякие ему подключения
если доступ к тику закрыть и оставить доступ по прокси или пробросам, хакеры китайские всеравно могут ломать через 172.16.0.1 мои другие устройства)) взломают мышку мне на регистраторе и сантаклаусов на экран выведут))

Если есть опасения, что хакнут, то я бы не выставлял никаких портов наружу. Ни через TCP порт, ни через Публикацию URL.
А пользовался бы только VPN туннелями по количеству устройств.

Волков бояться - в лес не ходить.

Что можете посоветовать по андроид


Не пускает в домашнюю сеть, нет пинга.
Выходил на улицу ловил 3G, все пингуется кроме домашней сети и не заходит соответственно.
У меня при включенном vpn пускает на яндекс, так должно быть?

Спасибо за все ответы и оказанную помощь, видимо не смогу отстать пока все не настрою и пойму как это работает.

Если с Дроида пингуется все, кроме 192.168.88.... то вероятнее всего где-то что-то на Микротике.
На Андроиде у вас все настроено верно.
1. На Микротике должен быть маршрут 172.16.0.0/16 и он должен вести в VPN подключение
2. На Микротике не должно быть запрещений на трафик из сети 172.16.0.0/16 (где сейчас находится ваш Андроид) в домашнюю сеть.

PS. Если вы хотите попробовать настроить ВСЕ что есть в системе, то думаю не хватит тестового периода

В Яндекс вы идете в обход VPN и так и должно быть. В VPN на Андроиде идет только трафик маршрутов, которые вы прописали - 172.16.0.0/16 и 192.168.88.0/24

Не успею конечно, оплачу тариф)) будет моя благодарность вам, а мне +1 к познанию Микротика.
Не успеваю со всем разобраться, еще постоянно отвлекаюсь по другим делам рабочим.
Но пока удобно выходит, но телефон еще удобней. Где бы я не был везде зайду, это удобно. Браузер в плэймаркете так и не нашел, который работал бы через прокси(

1. На Микротике должен быть маршрут 172.16.0.0/16 и он должен вести в VPN подключение

Как бы да, я обратил на это внимание когда смотрел инструкцию по дроиду у вас на сайте.
Но ранее уже было все добавлено, тогда еще когда мучился с подключением.
Может не так как то забито

Вроде бы все ок.
Но у меня есть вопрос - у вас создан только один туннель на сайте VPNKI... как же вы тогда подключаете одновременно Микротик и Андроид?

0_о
так я запутался, а как надо правильно сделать
Телефон подключался и пинг шел

вообще я нашел косяк поправил gataway было неправильно вписано, хотел проверить пинг на внутреннюю сеть, но почему то на андроиде сбой пишет уже минут 7 не соединяется

Все я все настроил, спасибо.
не до конца просто понимаю.
Хотел у брата спросить помощи, а он только в ddns понимает.
Спасибо вам за помощь.

вернулся,
в тик не заходит с андроида (второй туннель) остальное заходит и пинг есть.

что может быть?

Думаю, что в Микротике нужно разрешить заходить в web интерфейс управления с определенных адресов или сетей. Где-то это должно быть. Небось по умолчанию только из домашней сети и можно, а ваш Андроид не в ней, а в 172.16.0.0/16