Страница 1 из 1

site-to-site l2tp passthrough

Добавлено: 31 май 2012, 13:41
St0nE
Всем здравствуйте!
Подскажите плиз, не получается такая комбинация.
Есть два филиала, на обоих стоят микротики 751G.
За микротиками стоят ТМГ.. Не спрашивайте про зачем такая реализация, на данном этапе нужно именно так.. :-)
Задача, связать эти филиалы site-to-site l2tp vpn каналом, но чтобы vpn устанавливал именно тмг.
Если без микротиков, все работает отлично, как ставлю микротики, vpn не поднимается... типа нет ответа от сервера.
Пробовал делать dst-nat tcp и udp траффиков, не помогло.
Подскажите плиз, что в правиле надо указать, чтобы vpn пробрасывался на тмг?
btw: В одном из филиалов настроено два прова с балансировкой, но весь трафик на второй филиал принудительно заруливается через нужный интерфейс посредством маркировки пакетов. Поэтому здесь не должно быть косяков.
Спасибо... :-)

Re: site-to-site l2tp passthrough

Добавлено: 31 май 2012, 22:17
iSupport
Тут только DST NAT ковырять, скорее всего не хватает каких то правил

смотрите torch с wan интерфейсов микротиков. Там будут видны управляющие соединения и протокол GRE для передачи данных

Re: site-to-site l2tp passthrough

Добавлено: 01 июн 2012, 14:36
St0nE
хммм... спасибо.. буду дальше ковырять...

Re: site-to-site l2tp passthrough

Добавлено: 18 окт 2012, 12:11
St0nE
Вернусь опять к вопросу. В прошлый раз так и не получилось найти в чем мой косяк...
Сейчас опять возникла необходимость в данной конфигурации.
По прежнему никак не получается пропустить l2tp сквозняком через микротики.
Подскажите плиз, что из конфигурации запостить здесь, чтобы проще было разобраться?
Спасибо.

Re: site-to-site l2tp passthrough

Добавлено: 18 окт 2012, 13:45
St0nE
Сейчас еще раз повнимательнее поигрался с торчем, выяснилось, что пакеты вроде как даже не уходят.
Т.е. на локальном интерфейсе они есть, а на выходе их нету. :-)
Получается, что одного правила, которое маскарадит пакеты приходящие с сервера наружу не достаточно.
Их получается вообще НАТ-ить нельзя что-ли? А что тогда с ними делать?
Спасибо.

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=\
    no src-address=10.10.10.20 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat disabled=no in-interface=pppoe-netis \
    protocol=gre to-addresses=10.10.10.20
add action=dst-nat chain=dstnat disabled=no in-interface=pppoe-netis \
    protocol=tcp to-addresses=10.10.10.20
add action=dst-nat chain=dstnat disabled=no in-interface=pppoe-netis \
    protocol=udp to-addresses=10.10.10.20