подключение флиала через L2TP

[chip_21]

Прошу помощи. В офисе поднят L2TP/IPsec, выделена подсеть для VPN клиентов 192.168.205.0/24, далее с помощью netmap 192.168.205.100 превращается в 192.168.0.100 (сервер в локалке офиса).
Клиенты без проблем работают по VPN. Мне нужно подключить филиал по L2TP/IPsec создав на роутере филиала VPN clien. VPN Client создается и успешно подключается. Роутер филиала пингует L2TP сервер - 192.168.205.1 и пингует внутренний сервер 192.168.205.100 .
Далее добавляю на роутере филиала маршрут

/ip route
add distance=1 dst-address=192.168.205.0/24 gateway=192.168.205.1

но из локалки филиала пинги не идут.

[Ca6ko]

Задачка - угадайка

Начнем по чуть-чуть
Обратный маршрут из сети офиса в сеть филиала есть?

[chip_21]

обратный маршрут создавал, не помогло. Дело в том , что есть партнёр , который подключил свой роутер vpn клиентом без создания обратного маршрута. Из своей локалки он ходит на RDP 192.168.205.100 без обратного маршрута на роутере офиса.

[Ca6ko]

Ну тогда Вам сюда

[chip_21]

Прошу прощения )))

 

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
name=channel2,4
add extension-channel=disabled name=channel5
/interface bridge
add arp=proxy-arp name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN mac-address=30:B5:C2:42:20:BE
set [ find default-name=ether2 ] comment=LAN
/interface wireless
# managed by CAPsMAN
# channel: 2462/20/gn(30dBm), SSID: *****, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20/ac(17dBm), SSID: *******5, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik
/caps-man datapath
add bridge=bridge-local client-to-client-forwarding=yes local-forwarding=no \
name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security1 passphrase=*****
/caps-man configuration
add channel=channel2,4 datapath=datapath1 mode=ap name=cfg2,4 rx-chains=0,1,2 \
security=security1 ssid=******* tx-chains=0,1,2
add channel=channel5 datapath=datapath1 mode=ap name=cfg5 rx-chains=0,1,2 \
security=security1 ssid=**********5 tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=policy_group1
/ip pool
add name=dhcp_pool0 ranges=192.168.45.2-192.168.45.200
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-local lease-time=8h \
name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=192.168.45.1 name=l2tp_ppp_profile \
remote-address=dhcp_pool0 use-encryption=yes
add name="to office Agro" use-encryption=yes
/interface l2tp-client
add allow=mschap2 connect-to=********* disabled=no ipsec-secret=\
******** name=******* password=******* profile=\
"to office Agro" use-ipsec=yes user=*******
/caps-man manager
set enabled=yes
/caps-man manager interface
add forbid=yes interface=ether1
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
cfg2,4
add action=create-dynamic-enabled hw-supported-modes=an,ac \
master-configuration=cfg5
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp_ppp_profile enabled=yes \
ipsec-secret=****** use-ipsec=yes
/interface wireless cap
#
set discovery-interfaces=bridge-local enabled=yes interfaces=wlan1,wlan2
/ip address
add address=192.168.45.1/24 interface=bridge-local network=192.168.45.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.45.0/24 gateway=192.168.45.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=forward comment=\
"Allow 192.168.45.0/24 to 192.168.205.0/24 " disabled=yes \
dst-address=192.168.205.0/24 src-address=192.168.45.0/24
add action=drop chain=output comment=\
"disable Discavery Neibords from ether1" dst-port=5678 out-interface=\
ether1 protocol=udp
add action=accept chain=forward comment="Access to IVMS" dst-port=8888 \
in-interface=ether1 protocol=tcp
add action=accept chain=input comment=UnblockCapsman dst-address-type=local \
src-address-type=local
add action=accept chain=input comment="Allow Ping" protocol=icmp
add action=accept chain=input comment="Accept established connections" \
connection-state=established
add action=accept chain=forward connection-state=established \
src-address-list=""
add action=accept chain=input comment="Accept related connections" \
connection-state=related
add action=accept chain=forward connection-state=related
add action=accept chain=input comment="Allow L2TP" port=1701,500,4500 \
protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=drop chain=input comment="Drop invalid connections" \
connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward in-interface=all-ppp src-address=\
192.168.45.0/24
add action=accept chain=forward comment=\
"Access to Internet from local network 192.168.45.0/24" in-interface=\
!ether1 src-address=192.168.45.0/24
add action=accept chain=input comment=\
"Access to Mikrotik from network 192.168.45.0/24 " in-interface=!ether1 \
src-address=192.168.45.0/24
add action=drop chain=input comment="All other drop"
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.45.0/24
add action=netmap chain=dstnat dst-port=8888 in-interface=ether1 protocol=tcp \
to-addresses=192.168.45.220 to-ports=8888
add action=masquerade chain=srcnat disabled=yes out-interface=\
l2tp-to-office-Agro src-address=192.168.45.0/24
/ip ipsec peer
add dh-group=modp1024 enc-algorithm=aes-256,aes-192,aes-128,3des \
exchange-mode=main-l2tp generate-policy=port-override passive=yes \
policy-template-group=policy_group1 secret=*****
/ip route
add distance=1 dst-address=192.168.205.0/24 gateway=192.168.205.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.45.0/24
set api-ssl disabled=yes
/ppp secret
add name=***** password=****** profile=l2tp_ppp_profile service=l2tp
/system clock
set time-zone-name=Europe/Kiev
/system identity
set name=Router
/system routerboard settings
set silent-boot=no

[Ca6ko]

Показывайте второй конфиг, таблицы маршрутов обоих устройств, рисуйте схему. (схема это рисунок, а не словесное описание) с указанием на ней портов и адресов
Потому как пока описание в первом посте не соответствует конфигу.

PS У Вас задача сделать доступными сети филиала и офиса между собой или открыть из филиала доступ только к серверу?
Для последнего варианта можно вообще все настроить только на компьютере.

[chip_21]

Второй вариант - из филиала доступ к серверу

[Ca6ko]

К сожалению я не участник выше приведенной битвы IT экстрасенсов.
Не хотите писать дело хозяйское, тогда читайте форум. Ваша проблема описана много раз.