Работа VPN l2tp с 'scope via' и 'PCC'

Обсуждение ПО и его настройки
Ответить
Blackover
Сообщения: 2
Зарегистрирован: 15 мар 2019, 12:53

Есть два провайдера, 'dialog' и 'etype'.
Проверка доступности интернет через каждого провайдера осуществляется с помощью scope до google DNS.
Балансируется трафик по PCC (Per Connection Classifier).

Код: Выделить всё

/ip route
add check-gateway=ping distance=1 gateway=8.8.8.8 routing-mark=dialog-route
add check-gateway=ping distance=2 gateway=8.8.4.4 routing-mark=dialog-route
add check-gateway=ping distance=1 gateway=8.8.4.4 routing-mark=etype-route
add check-gateway=ping distance=2 gateway=8.8.8.8 routing-mark=etype-route
add distance=1 dst-address=8.8.4.4/32 gateway=109.237.2.73 scope=10
add distance=10 dst-address=8.8.4.4/32 type=blackhole
add distance=1 dst-address=8.8.8.8/32 gateway=83.219.140.209 scope=10
add distance=10 dst-address=8.8.8.8/32 type=blackhole

/ip address
add address=192.168.0.1/24 comment=defconf interface=bridge_LAN network=192.168.0.0
add address=83.219.140.210/30 interface=05-ISP-Dialog network=83.219.140.208
add address=109.237.2.74/30 interface=04-ISP-Etype network=109.237.2.72

/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-type=!local in-interface=bridge_LAN new-connection-mark=dialog-conn per-connection-classifier=src-address:2/0
add action=mark-connection chain=prerouting dst-address-type=!local in-interface=bridge_LAN new-connection-mark=etype-conn per-connection-classifier=src-address:2/1
add action=mark-routing chain=prerouting connection-mark=dialog-conn dst-address-type=!local new-routing-mark=dialog-route passthrough=no
add action=mark-routing chain=prerouting connection-mark=etype-conn dst-address-type=!local new-routing-mark=etype-route passthrough=no
add action=mark-routing chain=output connection-mark=dialog-conn new-routing-mark=dialog-route passthrough=no
add action=mark-routing chain=output connection-mark=etype-conn new-routing-mark=etype-route passthrough=no
add action=mark-connection chain=prerouting in-interface=05-ISP-Dialog new-connection-mark=dialog-conn passthrough=no
add action=mark-connection chain=prerouting in-interface=04-ISP-Etype new-connection-mark=etype-conn passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat comment="Allow Internet" dst-address=!192.168.0.0/24 out-interface-list=ISP src-address=192.168.0.0/24

Есть общий DHCP пул для локальной и VPN сети:

Код: Выделить всё

/ip pool
add name=dhcp_local_pool ranges=192.168.0.31-192.168.0.229
add name=vpn_pool ranges=192.168.0.230-192.168.0.249

/ip dhcp-server
add add-arp=yes address-pool=dhcp_local_pool authoritative=after-2sec-delay disabled=no interface=bridge_LAN lease-time=30m name=dhcp_srv_local

VPN l2tp:

Код: Выделить всё

/ppp profile
set *0 bridge=bridge_LAN
add bridge=bridge_LAN change-tcp-mss=yes local-address=192.168.0.1 name=office_vpn remote-address=vpn_pool use-compression=no use-encryption=yes use-mpls=no use-upnp=no
set *FFFFFFFE insert-queue-before=first parent-queue=none queue-type=default use-compression=yes use-encryption=default

/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=office_vpn enabled=yes use-ipsec=yes

Проблема пользователи VPN не могут подсоединится. Ошибка:
Изображение

Полный конфиг.
Полный скриншот ошибки.

При классическом роутинге (без 'scope via' и 'PCC' ) VPN работает.
Думаю, не хватает правила в /ip firewall mangle, только каких.

Помогите, пожалуйста.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Connection надо маркировать на input.


Александр
Blackover
Сообщения: 2
Зарегистрирован: 15 мар 2019, 12:53

Как-то так?

Код: Выделить всё

/ip firewall mangle
add action=mark-connection chain=input in-interface=05-ISP-Dialog new-connection-mark=dialog-conn passthrough=yes
add action=mark-connection chain=input in-interface=04-ISP-Etype new-connection-mark=etype-conn passthrough=yes
или passthrough=no?


Ответить