проблема с трафиком по lt2p+ipsec

Обсуждение ПО и его настройки
Ответить
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Давайте на пальцах.

Предварительные условия:
1) Микротик имеет доступ в инет
2) настроен как то файрвол, по дефолту или нет.
3) настройки профилей шифрования по умолчанию

Настройка:

1) L2TP



Изображение


2) secret


Изображение

3) Профиль ( нам нужен только ОДИН параметр тут)


Изображение


Изображение

4) Нужно правило в цепочке input в файрволе. Для чистоты эксперимента откроем пока что весь INPUT ( временно)
Добавляем правило chain = input action = accept в самый вверх

5) Этих настроек достаточно чтобы клиент уже мог законектиться. Проверяем.
6) Трафик также должен ходить, так как мы добавляли параметр Routes в настройках Secrets.
Если не ходим смотрим файрвол, разрешаем форвард из лок сети в впн


Вернуться к началу
supermicro
Сообщения: 7
Зарегистрирован: 30 мар 2020, 07:01

imaoskol писал(а): 30 мар 2020, 15:33 Во-первых у Вас в настройках l2tp стоит один профиль, а в настройках пользователя другой.
Во вторых в настройках профиля шифрования никакие адреса не нужны!!!
В третьих с маскарадом не понятно... что там в dst address??? зачем вам столько маскарадов?
1. дефолт. У других пользователей стоит такой же как в настройках л2тп
2. там без разницы. С адресами и без них проблема не решается (настройку брал с вики по микротику)
3. маскарад для впн разнесен на разные подсети.

можете скинуть настройки вашего ipsec ?


Вернуться к началу
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

supermicro писал(а): 30 мар 2020, 16:01
imaoskol писал(а): 30 мар 2020, 15:33 Во-первых у Вас в настройках l2tp стоит один профиль, а в настройках пользователя другой.
Во вторых в настройках профиля шифрования никакие адреса не нужны!!!
В третьих с маскарадом не понятно... что там в dst address??? зачем вам столько маскарадов?
1. дефолт. У других пользователей стоит такой же как в настройках л2тп
2. там без разницы. С адресами и без них проблема не решается (настройку брал с вики по микротику)
3. маскарад для впн разнесен на разные подсети.

можете скинуть настройки вашего ipsec ?
В посте выше картинки.


Вернуться к началу
supermicro
Сообщения: 7
Зарегистрирован: 30 мар 2020, 07:01

supermicro писал(а): 30 мар 2020, 16:01
imaoskol писал(а): 30 мар 2020, 15:33 Во-первых у Вас в настройках l2tp стоит один профиль, а в настройках пользователя другой.
Во вторых в настройках профиля шифрования никакие адреса не нужны!!!
В третьих с маскарадом не понятно... что там в dst address??? зачем вам столько маскарадов?
1. дефолт. У других пользователей стоит такой же как в настройках л2тп
2. там без разницы. С адресами и без них проблема не решается (настройку брал с вики по микротику)
3. маскарад для впн разнесен на разные подсети.

можете скинуть настройки вашего ipsec ?
ipsec настраивали как то ?


Вернуться к началу
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

supermicro писал(а): 30 мар 2020, 16:45
supermicro писал(а): 30 мар 2020, 16:01
imaoskol писал(а): 30 мар 2020, 15:33 Во-первых у Вас в настройках l2tp стоит один профиль, а в настройках пользователя другой.
Во вторых в настройках профиля шифрования никакие адреса не нужны!!!
В третьих с маскарадом не понятно... что там в dst address??? зачем вам столько маскарадов?
1. дефолт. У других пользователей стоит такой же как в настройках л2тп
2. там без разницы. С адресами и без них проблема не решается (настройку брал с вики по микротику)
3. маскарад для впн разнесен на разные подсети.

можете скинуть настройки вашего ipsec ?
ipsec настраивали как то ?
Выше я привел картинки.
Ipsec настраивался. Есть галка use ipsec.


Вернуться к началу
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Мы ставим галку ipsec
Микротик сам генерит политики ipsec.
Если нужны специфические настройки ipsec, можете поправить дефолтный proporsal


Вернуться к началу
supermicro
Сообщения: 7
Зарегистрирован: 30 мар 2020, 07:01

imaoskol писал(а): 30 мар 2020, 15:46 Давайте на пальцах.

Предварительные условия:
1) Микротик имеет доступ в инет
2) настроен как то файрвол, по дефолту или нет.
3) настройки профилей шифрования по умолчанию

Настройка:

1) L2TP



Изображение


2) secret


Изображение

3) Профиль ( нам нужен только ОДИН параметр тут)


Изображение


Изображение

4) Нужно правило в цепочке input в файрволе. Для чистоты эксперимента откроем пока что весь INPUT ( временно)
Добавляем правило chain = input action = accept в самый вверх

5) Этих настроек достаточно чтобы клиент уже мог законектиться. Проверяем.
6) Трафик также должен ходить, так как мы добавляли параметр Routes в настройках Secrets.
Если не ходим смотрим файрвол, разрешаем форвард из лок сети в впн
проблем с коннектом нет никаких
проблемы возникают если открыть пару картинок на удаленном пк .
пинг высокий и пакеты начинают теряться.
как только картинки закроем все нормально.


Вернуться к началу
imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

C коннектом проблем и не будет.
Но как у Вас настроена маршрутизация??? Законектились нормально, а как только пытаетесь куда то зайти наинаются обрывы.
Предположу что процессор очень сильно нагружен шифрованием-расшифровкой пакетов.
Настройте так как я Вам описал Выше с картинками. Уберите непонятные правила маскарадинга.


Вернуться к началу
easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

запускайте wireshark на win клиенте и смотрите что у вас с tcp происходит, когда картинку качаете.


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»