Использование интернета l2tp клиента

Обсуждение ПО и его настройки
tatalin
Сообщения: 15
Зарегистрирован: 27 янв 2023, 21:15

Есть 2 микротика между ними настроен l2tp+IPsec. Все сети пингуются и все компы и клиенты видят друг друга. Не получается настроить, что-бы интернет сервера шел через клиента. На клиенте настроен маскарад на src. address впн_сети_сервера. На сервере настроен route 0.0.0.0/24 с gateway ип_клиента_впн_сети. Стандартный route который создается wan подключением сервера понижен до distance=2. Так же на сервере сделан маскарад через ppp. При этих настройках на устройствах за микротик сервером пропадает инет. Не понимаю, где нужно докрутить и что я упускаю.
P.S. фаерволы на обоих микротиках пустые. Тестовый стенд.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Суть маскарадов на туннеле не понятна, но вообще-то они и не нужны.
Маршрут до IP клиента на сервере в каком-то виде должен быть - иначе сам туннель развалится.
Либо в виде статического маршрута.
Либо, если адрес динамический, то тогда маршрут через впн нужно выносить в отдельную таблицу и трафик в нее заворачивать через /ip route rule.


Telegram: @thexvo
tatalin
Сообщения: 15
Зарегистрирован: 27 янв 2023, 21:15

Я вроде бы и пытаюсь через /ip route rule прописать маршрут 0.0.0.0/0 на шлюз l2tp клиента.
Вот скрин рулей сервера:
Изображение
Вот клиента:
Изображение

Так вот если я убираю опцию создания дефолтного маршрута на wan интерфейсе сервера и сам его прописываю с дистанцией 2 то инет не пашет.


tatalin
Сообщения: 15
Зарегистрирован: 27 янв 2023, 21:15

Немного опишу схему IP для понимания:
Сервер:
Wan получаю по DHCP: IP-192.168.186.60 GW-192.168.186.1
LAN внутренняя: 192.168.88.0/24
LAN VPN: 192.168.22.0/24
IP VPN: 192.168.22.1
Клиент:
Wan получаю по DHCP: IP-192.168.36.241 GW-192.168.36.140
LAN внутренняя: 192.168.77.0/24
LAN VPN: 192.168.22.0/24
IP VPN: 192.168.22.8


tatalin
Сообщения: 15
Зарегистрирован: 27 янв 2023, 21:15

Т.е. маскарад для PPP интерфейса вообще не нужно ни на сервере ни на клиенте?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

tatalin писал(а): 27 янв 2023, 23:46 Так вот если я убираю опцию создания дефолтного маршрута на wan интерфейсе сервера и сам его прописываю с дистанцией 2 то инет не пашет.
Разумеется не пашет: туннель поднимается, дефолтным становится маршрут через туннель, туннель тут же падает, дефолтным становится маршрут в обычный WAN, туннель поднимается - и так по кругу.

Ещё раз:
- либо добавьте в основную таблицу маршрут до адреса впн-клиента;
- либо переместите дефолтный маршрут через впн в другую таблицу.
tatalin писал(а): 27 янв 2023, 23:46 Я вроде бы и пытаюсь через /ip route rule прописать маршрут 0.0.0.0/0 на шлюз l2tp клиента.


Через route rule прописываются не маршруты, а правила их использования.
tatalin писал(а): 28 янв 2023, 00:15 Т.е. маскарад для PPP интерфейса вообще не нужно ни на сервере ни на клиенте?
В туннель?
Не нужны.
Только дефолтые маскарады в WAN.


Telegram: @thexvo
tatalin
Сообщения: 15
Зарегистрирован: 27 янв 2023, 21:15

Вынужден признать, что после дня ковыряния в интернете и изучения материалов на тему статической маршрутизации и таблиц маршрутизации ничего для себя не прояснил. Обе сети видят друг друга и проблем с маршрутизацией внутри обеих сетей нет. Попробовал при помощи мэнгл и роутинг марк пустить запрос на 195.201.201.32 (2ip.ru) через vpn. Все получилось, в ту сторону идет через мост и провайдера клиента. Но в браузере крутится окошко и страничка 2ip не открывается. Может вопрос с днс или как мне кажется туда запрос уходит а назад на локальный айпишник компа запрос не возвращается, поэтому браузер не открывает страничку?


tatalin
Сообщения: 15
Зарегистрирован: 27 янв 2023, 21:15

Я выше не правильно написал. Я настраивать пытаюсь в ip-routes-route list, а не через ip-routes-rules. Или как раз в rules нужно добавить маршрут? Спасибо за терпение!


tatalin
Сообщения: 15
Зарегистрирован: 27 янв 2023, 21:15

xvo писал(а): 27 янв 2023, 23:18 Суть маскарадов на туннеле не понятна, но вообще-то они и не нужны.
Маршрут до IP клиента на сервере в каком-то виде должен быть - иначе сам туннель развалится.
Либо в виде статического маршрута.
Либо, если адрес динамический, то тогда маршрут через впн нужно выносить в отдельную таблицу и трафик в нее заворачивать через /ip route rule.
Адрес vpn сервера и клиента статические. У меня ни в одну сторону не получается настроить работу интернета через vpn ни с клиента через сервер ни обратно. Перекопал кучу примеров решения данного вопроса но ни один не сработал.


tatalin
Сообщения: 15
Зарегистрирован: 27 янв 2023, 21:15

Опять же читаю что если создать ppp на клиенте с опцией add-default-route=yes то трафик должен идти через vpn, но он не идет и как я понимаю конфликтует с default-route который создает wan от провайдера? Днс на клиенте раздается автоматом с wan нужно ли в моем случае добавлять руками 1.1.1.1 или 8.8.8.8?


Ответить