Доброго времени суток!
Проблема: На микротике поднял l2tp server, подключение извне происходит, корпоративные шары вижу, все машины пингую. А вот из корпоративной сети пинги наружу не проходят.
Локалка в bridge1 - 192.168.3.11 - шлюз корпоративной сети, он же local address для l2tp
192.168.3.186 - назначается пиру
При подключении создается маршрут: 192.168.3.186 через шлюз "l2tp_interface_name", pref. source - 192.168.3.11
Правило chain=forward action=accept src-address=192.168.3.180-192.168.3.190 dst-address=192.168.3.0/24 in-interface=!ether1-wan
out-interface=bridge1 log=no log-prefix=""
С самого микротика пинги до 192.168.3.186 через интерфейс "l2tp_interface_name" тоже не идут
Не пингуются удаленные хосты с сервера l2tp
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Не особо понятна Ваша конфигуация.
По хорошему клиентов vpn надо выводить в отдельную подсеть, а далее настраивать понятно маршруты:
dst-address: сеть vpn gateway: интерфейс l2tp
а маршрут по умолчанию используется для всего остального
По хорошему клиентов vpn надо выводить в отдельную подсеть, а далее настраивать понятно маршруты:
dst-address: сеть vpn gateway: интерфейс l2tp
а маршрут по умолчанию используется для всего остального
Vlad_45 писал(а): ↑07 май 2020, 10:25 Доброго времени суток!
Проблема: На микротике поднял l2tp server, подключение извне происходит, корпоративные шары вижу, все машины пингую. А вот из корпоративной сети пинги наружу не проходят.
Локалка в bridge1 - 192.168.3.11 - шлюз корпоративной сети, он же local address для l2tp
192.168.3.186 - назначается пиру
При подключении создается маршрут: 192.168.3.186 через шлюз "l2tp_interface_name", pref. source - 192.168.3.11
Правило chain=forward action=accept src-address=192.168.3.180-192.168.3.190 dst-address=192.168.3.0/24 in-interface=!ether1-wan
out-interface=bridge1 log=no log-prefix=""
С самого микротика пинги до 192.168.3.186 через интерфейс "l2tp_interface_name" тоже не идут
-
- Сообщения: 19
- Зарегистрирован: 16 апр 2020, 10:51
Эксперимента ради создал новый профиль для подключения с пулом выдаваемых адресов из другой подсети (192.168.5.0/24).
Устанавливается соединение. На стороне клиента всё работает, локалка доступна. (так как подсети не совпадают, у клиента прописал один маршрут)
Со стороны сервера пинг до клиента все равно не доходит. Пингую с микротика, интерфейс выбираю автоматически созданный для данного подключения.
Какие еще нужно выложить конфиги, чтоб хоть кто-то смог направить куда копать?
-
- Сообщения: 84
- Зарегистрирован: 19 авг 2018, 09:35
Пинг элементарно может не ходить, т.к. его виндовый фаирвол на клиенте блокирует.
-
- Сообщения: 19
- Зарегистрирован: 16 апр 2020, 10:51
-
- Сообщения: 84
- Зарегистрирован: 19 авг 2018, 09:35
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Нужны настройки l2tp, и таблица маршрутов хотя бы.
Vlad_45 писал(а): ↑12 май 2020, 11:54Эксперимента ради создал новый профиль для подключения с пулом выдаваемых адресов из другой подсети (192.168.5.0/24).
Устанавливается соединение. На стороне клиента всё работает, локалка доступна. (так как подсети не совпадают, у клиента прописал один маршрут)
Со стороны сервера пинг до клиента все равно не доходит. Пингую с микротика, интерфейс выбираю автоматически созданный для данного подключения.
Какие еще нужно выложить конфиги, чтоб хоть кто-то смог направить куда копать?
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Делайте трассировку до 8.8.8.8 например и смотрите куда идут пакеты. Доходят ли они вообще до шлюза провайдера или вообще никуда не идут. Вообщем смотрите ..
У Вас простейшая конфигурация, с ней проблем не бывает. Криво настроен l2tp и маршрутизация где то.
У вас должен быть маршрут по умолчанию через провайдера и маршрут в удаленную сеть через l2tp
Ну и файрвол на обоих устройствах смотрите. Так как у вас соединение проходит, Вас интересует только цепочка Forward. Сделайте для теста микротиках правило forward-accept и засуньте вверх самый.
У Вас простейшая конфигурация, с ней проблем не бывает. Криво настроен l2tp и маршрутизация где то.
У вас должен быть маршрут по умолчанию через провайдера и маршрут в удаленную сеть через l2tp
Ну и файрвол на обоих устройствах смотрите. Так как у вас соединение проходит, Вас интересует только цепочка Forward. Сделайте для теста микротиках правило forward-accept и засуньте вверх самый.
-
- Сообщения: 19
- Зарегистрирован: 16 апр 2020, 10:51
Код: Выделить всё
/ppp profile> print
name="Kronos_VPN" local-address=192.168.5.11 remote-address=VPN_pool use-mpls=no use-compression=no use-encryption=yes only-one=default change-tcp-mss=yes
use-upnp=no address-list="" on-up="" on-down=""
/ppp active> print
test l2tp 109.174.113.103 192.168.5.187 5m57s cbc(aes) + hmac(sha1)
/ip ipsec peer> print
0 R name="peer1" passive=yes profile=profile_1 exchange-mode=main send-initial-contact=no
/ip ipsec profile> print
Flags: * - default
0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m
dpd-maximum-failures=5
1 name="profile_1" hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=15s
dpd-maximum-failures=2
/ip route> print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 109.202.21.129 1
1 ADC 10.100.95.0/24 10.100.95.252 bridge2_cisco 0
2 ADC 109.202.23.128/25 109.202.23.190 ether1-wan 0
3 ADC 192.168.1.0/24 192.168.1.65 ether3 0
4 ADC 192.168.3.0/24 192.168.3.11 bridge1 0
5 ADC 192.168.5.187/32 192.168.5.11 <l2tp-test> 0
-
- Сообщения: 19
- Зарегистрирован: 16 апр 2020, 10:51
с этим проблем нет. Клиенты уходят через своего провайдера, офис - через своего.
Клиент:
Код: Выделить всё
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.141 35
109.202.23.190 255.255.255.255 192.168.1.1 192.168.1.141 36
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.141 291
192.168.1.141 255.255.255.255 On-link 192.168.1.141 291
192.168.1.255 255.255.255.255 On-link 192.168.1.141 291
192.168.5.0 255.255.255.0 192.168.5.11 192.168.5.187 36
192.168.5.187 255.255.255.255 On-link 192.168.5.187 291
192.168.122.192 255.255.255.240 On-link 192.168.122.193 5256
192.168.122.193 255.255.255.255 On-link 192.168.122.193 5256
192.168.122.207 255.255.255.255 On-link 192.168.122.193 5256
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.122.193 5256
224.0.0.0 240.0.0.0 On-link 192.168.1.141 291
224.0.0.0 240.0.0.0 On-link 192.168.5.187 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.122.193 5256
255.255.255.255 255.255.255.255 On-link 192.168.1.141 291
255.255.255.255 255.255.255.255 On-link 192.168.5.187 291
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
192.168.3.0 255.255.255.0 192.168.5.11 1
C:\WINDOWS\system32>ping 192.168.3.11
Обмен пакетами с 192.168.3.11 по с 32 байтами данных:
Ответ от 192.168.3.11: число байт=32 время=2мс TTL=64
Ответ от 192.168.3.11: число байт=32 время=3мс TTL=64
Ответ от 192.168.3.11: число байт=32 время=3мс TTL=64
Ответ от 192.168.3.11: число байт=32 время=3мс TTL=64
Статистика Ping для 192.168.3.11:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 2мсек, Максимальное = 3 мсек, Среднее = 2 мсек
Не могу поймать правилом этот пинг...
Вот правила для соединения и трафика в локал:
Код: Выделить всё
1 ;;; allow VPN to LAN
chain=forward action=accept src-address=192.168.5.180-192.168.5.195 dst-address=192.168.3.0/24 in-interface=!ether1-wan out-interface=bridge1 log=no
log-prefix=""
2 chain=input action=accept protocol=udp port=1701,500,4500 log=no log-prefix=""