Страница 1 из 1

Клиенты VPN не видят друг друга

Добавлено: 14 июл 2019, 18:23
Ca6ko
Чегой-то я запутался. Подскажите где копать
VPN L2TP сервер и два клиента все микротики. на сервере концы тоннелей Х.Х.Х.1 в бридже, на клиентах Х.Х.Х.2 и Х.Х.Х.3.
Маршруты прописаны сервер пингует оба конца тоннелей и сети за ними взаимно, а вот Х.Х.Х.2 и Х.Х.Х.3 друг друга не видят, не пингуются. Соответственно и не активны маршруты до сетей за ними.

Re: Клиенты VPN не видят друг друга

Добавлено: 14 июл 2019, 18:57
Vlad-2
(как догадка)
А сделали binding-L2TP ?

Просто при каждом подключении, сессия(и) - они для роутера новые, и маршруты
на них ранее созданные/прописанные = НЕ применяются.
Надо "прибить" юзера(логин) к интерфейсу (сделать статический) и уже этот статический
созданный (прибитый) интерфейс и использовать в таблице маршрутизации и делать маршрутизацию.

Re: Клиенты VPN не видят друг друга

Добавлено: 14 июл 2019, 21:20
Ca6ko
Ваши догадки правильные. Когда прошлый раз делал аналогичную схему прибивал. В этот раз забыл.
Но создание статических L2TP интерфейсов на сервере ситуацию не изменили. Концы по прежнему не видят друг друга

Re: Клиенты VPN не видят друг друга

Добавлено: 14 июл 2019, 23:02
Ca6ko
попробовал на сервере задать разные IP для концов туннелей, трасероут показывает что добравшись до сервера маршрут уходит в WAN порт. Прописав маршрут могу даже пинговать на сервере оба конца , но дальше в туннель маршрут почему-то не идет уходит в WAN.

Re: Клиенты VPN не видят друг друга

Добавлено: 15 июл 2019, 02:19
Vlad-2
Ca6ko писал(а):
14 июл 2019, 23:02
попробовал на сервере задать разные IP для концов туннелей, трасероут показывает что добравшись до сервера маршрут уходит в WAN порт. Прописав маршрут могу даже пинговать на сервере оба конца , но дальше в туннель маршрут почему-то не идет уходит в WAN.
Сделайте пинг какова-то узла на одной стороне, и посмотрите торчем на другом роутере,
что и как, с каким айпи приходит...на второй стороне.
Вдруг НАТяться данные сети? Сделать исключения....в правилах...
Лучше это сделать это двумя тестами:
1) с роутера - пинг - на роутер
2) с клиента - пинг- на клиента...

Или может где-то на роутере есть сеть, с большей маской, и туда эти пакеты
по маршрутизации уходят (а им туда и не надо).

Re: Клиенты VPN не видят друг друга

Добавлено: 15 июл 2019, 08:07
Erik_U
Ca6ko писал(а):
14 июл 2019, 18:23
Чегой-то я запутался. Подскажите где копать
VPN L2TP сервер и два клиента все микротики. на сервере концы тоннелей Х.Х.Х.1 в бридже, на клиентах Х.Х.Х.2 и Х.Х.Х.3.
Маршруты прописаны сервер пингует оба конца тоннелей и сети за ними взаимно, а вот Х.Х.Х.2 и Х.Х.Х.3 друг друга не видят, не пингуются. Соответственно и не активны маршруты до сетей за ними.
l2tp у микротика на каждое соединение делает 2 IP адреса с маской /32.
Один вешает на микротик, второй - на клиента.

Для двух клиентов у вас IP пространство такое (помимо IP сетей, настроенных для локальной сети и интернета)

на сервере - y.y.y.1/32 и y.y.y.2/32
на клиентах - х x.x.x.1/32 и x.x.x.2/32
Ни один их этих адресов НЕ должен быть в бридже. С этими адресами и интерфейсами взаимодействие всегда через маршрутизацию.

Чтобы было удобно ими оперировать, на микротике (l2tp сервер) нужно в настройках PPP-секретов прописать фиксированные IP (не брать их из динамического пула) и сделать 2 биндинга (L2TP сервер биндинг) для двух клиентов. В профиле для этих клиентов обязательно поставить "only one", тогда повторное соединение всегда будет делаться под этим фиксированным биндингом. В противном случае создается рядом новый интерфейс с другим именем, и настройки, сделанные для фиксированного биндинга перестают действовать.

Далее, чтобы клиенты видели друг друга, нужно на микротике ((l2tp сервер) прописать маршруты до х x.x.x.1/32 и x.x.x.2/32 через интерфейсы-биндинги с указанием pref.source y.y.y.1/32 и y.y.y.2/32 соответственно.

А чтобы из подсетей, находящихся за микротиками-клиентами заходить на микротики-клиенты, на каждом микротике-клиенте сделать маршруты до сетей y.y.y.у/32 и х x.x.x.x/32 и локальных сетей друга дружки (по 3 маршрута).

Re: Клиенты VPN не видят друг друга

Добавлено: 15 июл 2019, 12:13
Ca6ko
Спасибо всем откликнувшимся. Направили. Победил.
Опишу подробнее может кому понадобится и так схема

Изображение

Клиент№1 и Сервер видят друг друга и сети за ними
Клиент№2 и Сервер видят друг друга и сети за ними
Клиент№1 и Клиент№2 не видят друг друга и сети за ними
С Клиента№1 пинг до Х.Х.Х.6 и .5 не проходят

понадобилось прописать маршруты на клиентах до концов туннелей
На клиенте №1
/ip route
add distance=1 dst-address=Х.Х.Х.5/32 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.0.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.1.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2

Соответственно обратный на клиенте №2 до Х.Х.Х.2

/ip route
add distance=1 dst-address=Х.Х.Х.2/32 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.1.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.2.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5