Не пингуются удаленные хосты с сервера l2tp

Обсуждение ПО и его настройки
Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

Доброго времени суток!
Проблема: На микротике поднял l2tp server, подключение извне происходит, корпоративные шары вижу, все машины пингую. А вот из корпоративной сети пинги наружу не проходят.
Локалка в bridge1 - 192.168.3.11 - шлюз корпоративной сети, он же local address для l2tp
192.168.3.186 - назначается пиру
При подключении создается маршрут: 192.168.3.186 через шлюз "l2tp_interface_name", pref. source - 192.168.3.11
Правило chain=forward action=accept src-address=192.168.3.180-192.168.3.190 dst-address=192.168.3.0/24 in-interface=!ether1-wan
out-interface=bridge1 log=no log-prefix=""
С самого микротика пинги до 192.168.3.186 через интерфейс "l2tp_interface_name" тоже не идут


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Не особо понятна Ваша конфигуация.
По хорошему клиентов vpn надо выводить в отдельную подсеть, а далее настраивать понятно маршруты:
dst-address: сеть vpn gateway: интерфейс l2tp
а маршрут по умолчанию используется для всего остального
Vlad_45 писал(а): 07 май 2020, 10:25 Доброго времени суток!
Проблема: На микротике поднял l2tp server, подключение извне происходит, корпоративные шары вижу, все машины пингую. А вот из корпоративной сети пинги наружу не проходят.
Локалка в bridge1 - 192.168.3.11 - шлюз корпоративной сети, он же local address для l2tp
192.168.3.186 - назначается пиру
При подключении создается маршрут: 192.168.3.186 через шлюз "l2tp_interface_name", pref. source - 192.168.3.11
Правило chain=forward action=accept src-address=192.168.3.180-192.168.3.190 dst-address=192.168.3.0/24 in-interface=!ether1-wan
out-interface=bridge1 log=no log-prefix=""
С самого микротика пинги до 192.168.3.186 через интерфейс "l2tp_interface_name" тоже не идут


Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

imaoskol писал(а): 07 май 2020, 14:31 Не особо понятна Ваша конфигуация.
По хорошему клиентов vpn надо выводить в отдельную подсеть, а далее настраивать понятно маршруты:
dst-address: сеть vpn gateway: интерфейс l2tp
а маршрут по умолчанию используется для всего остального
Эксперимента ради создал новый профиль для подключения с пулом выдаваемых адресов из другой подсети (192.168.5.0/24).
Устанавливается соединение. На стороне клиента всё работает, локалка доступна. (так как подсети не совпадают, у клиента прописал один маршрут)
Со стороны сервера пинг до клиента все равно не доходит. Пингую с микротика, интерфейс выбираю автоматически созданный для данного подключения.
Какие еще нужно выложить конфиги, чтоб хоть кто-то смог направить куда копать?


vbsev
Сообщения: 84
Зарегистрирован: 19 авг 2018, 09:35

Пинг элементарно может не ходить, т.к. его виндовый фаирвол на клиенте блокирует.


Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

vbsev писал(а): 12 май 2020, 12:20 Пинг элементарно может не ходить, т.к. его виндовый фаирвол на клиенте блокирует.
Брендмауэр управляется касперским. Касперского вырубил.


vbsev
Сообщения: 84
Зарегистрирован: 19 авг 2018, 09:35

Vlad_45 писал(а): 12 май 2020, 12:55
Брендмауэр управляется касперским. Касперского вырубил.
А теперь фаирвол отключайте, там ещё помимо этого защитник какой-то есть.
Если микротик под рукой есть - подключите его в качестве клиента и проверьте хождение icmp и всего остального.


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Нужны настройки l2tp, и таблица маршрутов хотя бы.
Vlad_45 писал(а): 12 май 2020, 11:54
imaoskol писал(а): 07 май 2020, 14:31 Не особо понятна Ваша конфигуация.
По хорошему клиентов vpn надо выводить в отдельную подсеть, а далее настраивать понятно маршруты:
dst-address: сеть vpn gateway: интерфейс l2tp
а маршрут по умолчанию используется для всего остального
Эксперимента ради создал новый профиль для подключения с пулом выдаваемых адресов из другой подсети (192.168.5.0/24).
Устанавливается соединение. На стороне клиента всё работает, локалка доступна. (так как подсети не совпадают, у клиента прописал один маршрут)
Со стороны сервера пинг до клиента все равно не доходит. Пингую с микротика, интерфейс выбираю автоматически созданный для данного подключения.
Какие еще нужно выложить конфиги, чтоб хоть кто-то смог направить куда копать?


imaoskol
Сообщения: 132
Зарегистрирован: 11 янв 2019, 14:48

Делайте трассировку до 8.8.8.8 например и смотрите куда идут пакеты. Доходят ли они вообще до шлюза провайдера или вообще никуда не идут. Вообщем смотрите ..
У Вас простейшая конфигурация, с ней проблем не бывает. Криво настроен l2tp и маршрутизация где то.
У вас должен быть маршрут по умолчанию через провайдера и маршрут в удаленную сеть через l2tp
Ну и файрвол на обоих устройствах смотрите. Так как у вас соединение проходит, Вас интересует только цепочка Forward. Сделайте для теста микротиках правило forward-accept и засуньте вверх самый.


Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

imaoskol писал(а): 12 май 2020, 14:44 Нужны настройки l2tp, и таблица маршрутов хотя бы.

Код: Выделить всё

/ppp profile> print
name="Kronos_VPN" local-address=192.168.5.11 remote-address=VPN_pool use-mpls=no use-compression=no use-encryption=yes only-one=default change-tcp-mss=yes 
     use-upnp=no address-list="" on-up="" on-down="" 

/ppp active> print
test         l2tp    109.174.113.103   192.168.5.187   5m57s    cbc(aes) + hmac(sha1)

/ip ipsec peer> print
0   R name="peer1" passive=yes profile=profile_1 exchange-mode=main send-initial-contact=no

/ip ipsec profile> print
Flags: * - default 
 0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m 
     dpd-maximum-failures=5 

 1   name="profile_1" hash-algorithm=sha1 enc-algorithm=3des dh-group=modp1024 lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=15s 
     dpd-maximum-failures=2 

/ip route> print
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          109.202.21.129            1
 1 ADC  10.100.95.0/24     10.100.95.252   bridge2_cisco             0
 2 ADC  109.202.23.128/25  109.202.23.190  ether1-wan                0
 3 ADC  192.168.1.0/24     192.168.1.65    ether3                    0
 4 ADC  192.168.3.0/24     192.168.3.11    bridge1                   0
 5 ADC  192.168.5.187/32   192.168.5.11    <l2tp-test>               0


Vlad_45
Сообщения: 19
Зарегистрирован: 16 апр 2020, 10:51

imaoskol писал(а): 12 май 2020, 14:48 Делайте трассировку до 8.8.8.8 например и смотрите куда идут пакеты. Доходят ли они вообще до шлюза провайдера или вообще никуда не идут. Вообщем смотрите ..
с этим проблем нет. Клиенты уходят через своего провайдера, офис - через своего.
imaoskol писал(а): 12 май 2020, 14:48 У вас должен быть маршрут по умолчанию через провайдера и маршрут в удаленную сеть через l2tp
Клиент:

Код: Выделить всё

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.141     35
   109.202.23.190  255.255.255.255      192.168.1.1    192.168.1.141     36
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
      192.168.1.0    255.255.255.0         On-link     192.168.1.141    291
    192.168.1.141  255.255.255.255         On-link     192.168.1.141    291
    192.168.1.255  255.255.255.255         On-link     192.168.1.141    291
    192.168.5.0    255.255.255.0     192.168.5.11    192.168.5.187     36
    192.168.5.187  255.255.255.255         On-link     192.168.5.187    291
  192.168.122.192  255.255.255.240         On-link   192.168.122.193   5256
  192.168.122.193  255.255.255.255         On-link   192.168.122.193   5256
  192.168.122.207  255.255.255.255         On-link   192.168.122.193   5256
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link   192.168.122.193   5256
        224.0.0.0        240.0.0.0         On-link     192.168.1.141    291
        224.0.0.0        240.0.0.0         On-link     192.168.5.187    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link   192.168.122.193   5256
  255.255.255.255  255.255.255.255         On-link     192.168.1.141    291
  255.255.255.255  255.255.255.255         On-link     192.168.5.187    291
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.3.0    255.255.255.0     192.168.5.11       1
      
      C:\WINDOWS\system32>ping 192.168.3.11

Обмен пакетами с 192.168.3.11 по с 32 байтами данных:
Ответ от 192.168.3.11: число байт=32 время=2мс TTL=64
Ответ от 192.168.3.11: число байт=32 время=3мс TTL=64
Ответ от 192.168.3.11: число байт=32 время=3мс TTL=64
Ответ от 192.168.3.11: число байт=32 время=3мс TTL=64

Статистика Ping для 192.168.3.11:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 2мсек, Максимальное = 3 мсек, Среднее = 2 мсек
Здесь трабл - после отключения, при повторном подключении, трафик не проходит. Приходится удалить постоянный маршрут и прописать его снова. Хватает ровно до следующего подключения.
imaoskol писал(а): 12 май 2020, 14:48 Сделайте для теста микротиках правило forward-accept и засуньте вверх самый.
Не могу поймать правилом этот пинг...

Вот правила для соединения и трафика в локал:

Код: Выделить всё

1    ;;; allow VPN to LAN
      chain=forward action=accept src-address=192.168.5.180-192.168.5.195 dst-address=192.168.3.0/24 in-interface=!ether1-wan out-interface=bridge1 log=no 
      log-prefix="" 

 2    chain=input action=accept protocol=udp port=1701,500,4500 log=no log-prefix="" 


Ответить