Транзит L2TP

Обсуждение ПО и его настройки
Ответить
Alekbt10
Сообщения: 3
Зарегистрирован: 31 окт 2019, 12:19

Здравствуйте.

Такой вопрос: есть три микротика: МЛан - МОсн - МВан.
МЛан находится в локальной сети за МОсн, МВан где-то далеко-далеко.
К МЛан и МВан у меня доступа нет, там всё настроено и запаролено. На МОсн полный доступ.
Требуется сделать так чтобы через МОсн транзитом проходил L2TP между МЛан и МВан.

МЛан воткнут в 3 интерфейс, через DHCP, Leases назначена статика 192.168.211.70.
В фаерволе добавлено два правила:
18 chain=forward action=accept protocol=tcp src-address=192.168.211.70 log=yes log-prefix="t"
19 chain=forward action=accept protocol=tcp dst-address=192.168.211.70 log=yes log-prefix="s"

В теории L2TP между МЛан и МВан должен подниматься (в принципе подобное, с теми же настройками МОсн реализовано ещё на нескольких объектах и там всё нормально работает), но админ МВан утверждает, чтов данном случае L2TP не поднимается. Как убедиться, что проблема не на моей стороне в настройках МОсн, что через МОсн транзит нормально проходит?

В логах видно, что какое-то взаимодействие между МЛан и МВан идёт, соединение (established) живёт 10 сек, затем закрывается.
(11.11.111.111, 222.222.22.222, 333.333.333.333, 44.444.444.444, 55.555.555.555 - ip скрытые в целях конспирации, 00:00:00:00:00:LAN MAC микротика МЛан, 00:00:00:00:00:WAN MAC МВан, насколько я понимаю).
 Логи
Oct/31/2019 14:45:54 firewall,info firewall: nat srcnat: in:(unknown 0) out:ether1-gateway, proto UDP, 11.11.111.111:123->222.222.22.222:123, len 76
Oct/31/2019 14:46:03 firewall,info firewall: nat srcnat: in:(unknown 0) out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto UDP, 192.168.211.70:123->333.333.333.333:123, len 76
Oct/31/2019 14:46:26 firewall,info firewall: nat srcnat: in:(unknown 0) out:ether1-gateway, proto UDP, 11.11.111.111:123->55.555.555.555:123, len 76
Oct/31/2019 14:46:26 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (SYN), 192.168.211.70:41792->44.444.444.444:2102, len 60
Oct/31/2019 14:46:26 firewall,info firewall: nat srcnat: in:(unknown 0) out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (SYN), 192.168.211.70:41792->44.444.444.444:2102, len 60
Oct/31/2019 14:46:26 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (SYN,ACK), 44.444.444.444:2102->192.168.211.70:41792, NAT 44.444.444.444:2102->(11.11.111.111:41792->192.168.211.70:41792), len 60
Oct/31/2019 14:46:26 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK), 192.168.211.70:41792->44.444.444.444:2102, NAT (192.168.211.70:41792->11.11.111.111:41792)->44.444.444.444:2102, len 52
Oct/31/2019 14:46:26 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK,PSH), 192.168.211.70:41792->44.444.444.444:2102, NAT (192.168.211.70:41792->11.11.111.111:41792)->44.444.444.444:2102, len 279
Oct/31/2019 14:46:26 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (ACK), 44.444.444.444:2102->192.168.211.70:41792, NAT 44.444.444.444:2102->(11.11.111.111:41792->192.168.211.70:41792), len 52
Oct/31/2019 14:46:26 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (ACK,PSH), 44.444.444.444:2102->192.168.211.70:41792, NAT 44.444.444.444:2102->(11.11.111.111:41792->192.168.211.70:41792), len 276
Oct/31/2019 14:46:26 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK), 192.168.211.70:41792->44.444.444.444:2102, NAT (192.168.211.70:41792->11.11.111.111:41792)->44.444.444.444:2102, len 52
Oct/31/2019 14:46:36 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK,FIN), 192.168.211.70:41792->44.444.444.444:2102, NAT (192.168.211.70:41792->11.11.111.111:41792)->44.444.444.444:2102, len 52
Oct/31/2019 14:46:36 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (ACK), 44.444.444.444:2102->192.168.211.70:41792, NAT 44.444.444.444:2102->(11.11.111.111:41792->192.168.211.70:41792), len 52
Oct/31/2019 14:46:37 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (ACK,FIN), 44.444.444.444:2102->192.168.211.70:41792, NAT 44.444.444.444:2102->(11.11.111.111:41792->192.168.211.70:41792), len 52
Oct/31/2019 14:46:37 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK), 192.168.211.70:41792->44.444.444.444:2102, NAT (192.168.211.70:41792->11.11.111.111:41792)->44.444.444.444:2102, len 52
Oct/31/2019 14:46:58 firewall,info firewall: nat srcnat: in:(unknown 0) out:ether1-gateway, proto UDP, 11.11.111.111:123->222.222.22.222:123, len 76
Oct/31/2019 14:47:15 firewall,info firewall: nat srcnat: in:(unknown 0) out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto UDP, 192.168.211.70:123->222.222.22.222:123, len 76
Oct/31/2019 14:47:30 firewall,info firewall: nat srcnat: in:(unknown 0) out:ether1-gateway, proto UDP, 11.11.111.111:123->55.555.555.555:123, len 76
Oct/31/2019 14:47:33 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (SYN), 192.168.211.70:59990->44.444.444.444:2104, len 60
Oct/31/2019 14:47:33 firewall,info firewall: nat srcnat: in:(unknown 0) out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (SYN), 192.168.211.70:59990->44.444.444.444:2104, len 60
Oct/31/2019 14:47:33 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (SYN,ACK), 44.444.444.444:2104->192.168.211.70:59990, NAT 44.444.444.444:2104->(11.11.111.111:59990->192.168.211.70:59990), len 60
Oct/31/2019 14:47:33 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK), 192.168.211.70:59990->44.444.444.444:2104, NAT (192.168.211.70:59990->11.11.111.111:59990)->44.444.444.444:2104, len 52
Oct/31/2019 14:47:33 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK,PSH), 192.168.211.70:59990->44.444.444.444:2104, NAT (192.168.211.70:59990->11.11.111.111:59990)->44.444.444.444:2104, len 273
Oct/31/2019 14:47:33 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (ACK), 44.444.444.444:2104->192.168.211.70:59990, NAT 44.444.444.444:2104->(11.11.111.111:59990->192.168.211.70:59990), len 52
Oct/31/2019 14:47:33 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (ACK,PSH), 44.444.444.444:2104->192.168.211.70:59990, NAT 44.444.444.444:2104->(11.11.111.111:59990->192.168.211.70:59990), len 276
Oct/31/2019 14:47:33 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK), 192.168.211.70:59990->44.444.444.444:2104, NAT (192.168.211.70:59990->11.11.111.111:59990)->44.444.444.444:2104, len 52
Oct/31/2019 14:47:43 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK,FIN), 192.168.211.70:59990->44.444.444.444:2104, NAT (192.168.211.70:59990->11.11.111.111:59990)->44.444.444.444:2104, len 52
Oct/31/2019 14:47:43 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (ACK), 44.444.444.444:2104->192.168.211.70:59990, NAT 44.444.444.444:2104->(11.11.111.111:59990->192.168.211.70:59990), len 52
Oct/31/2019 14:47:43 firewall,info firewall: s forward: in:ether1-gateway out:bridge1, src-mac 00:00:00:00:00:WAN, proto TCP (ACK,FIN), 44.444.444.444:2104->192.168.211.70:59990, NAT 44.444.444.444:2104->(11.11.111.111:59990->192.168.211.70:59990), len 52
Oct/31/2019 14:47:43 firewall,info firewall: t forward: in:bridge1 out:ether1-gateway, src-mac 00:00:00:00:00:LAN, proto TCP (ACK), 192.168.211.70:59990->44.444.444.444:2104, NAT (192.168.211.70:59990->11.11.111.111:59990)->44.444.444.444:2104, len 52


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Не понял, а почему правила для tcp?!


Telegram: @thexvo
Alekbt10
Сообщения: 3
Зарегистрирован: 31 окт 2019, 12:19

xvo писал(а): 31 окт 2019, 15:37 Не понял, а почему правила для tcp?!
Прошу прощения, не то скопировал,правильно так:
chain=forward action=accept src-address=192.168.211.70 log=yes log-prefix="t"
chain=forward action=accept dst-address=192.168.211.70 log=yes log-prefix="s"


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Если в логах, всё, что к вам прилетает от этих хостов, то L2TP там нет.

Создайте отдельное правило, которое будет ловить в лог UDP 1701 с этих адресов.
И заодно UDP 500 и UDP 4500 (если L2TP с IPSEC'ом используется).
Или torch'ем посмотрите.
Если там ничего не будет, то проблема не в вас.


Telegram: @thexvo
Alekbt10
Сообщения: 3
Зарегистрирован: 31 окт 2019, 12:19

Спасибо. Проблема решилась. Какие-то неполадки с настройками оказались на стороне МВан.


Ответить