L2tp vpn Помогите!!!!
-
gimgad
- Сообщения: 5
- Зарегистрирован: 11 окт 2013, 19:17
Есть железка pfsense на которой поднят vpn сервер. есть микротик который выступает в качестве клиента. pfsense стоит в офисе и раздает сетку 10.1.10.0/24, у микротика локалка 10.1.7.0/24. микротик соеденяется с pfsense по тунелю 10.1.17.0/24 . VPN поднялось на микротике пинги до 10.1.10.0 идут, а вот пинги с компов в локальной сети микротика не идут. понимаю что нужно в firewall настраивать но не знаю что. интернет на компах есть.
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Код: Выделить всё
/ip firewall filter export
/ip firewall nat export
/ip route exportи результат сюда
ну еще таблицу маршрутов с pfsense
-
gimgad
- Сообщения: 5
- Зарегистрирован: 11 окт 2013, 19:17
/ip firewall filter
add chain=forward out-interface=ether2
add chain=forward disabled=yes protocol=tcp src-address=10.1.7.198 src-port=1701
add chain=forward disabled=yes protocol=udp src-address=10.1.7.198 src-port=1701
add chain=forward disabled=yes in-interface=l2tp-out1
add chain=input disabled=yes dst-port=1701 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=10.1.7.0/24
add action=masquerade chain=srcnat out-interface=l2tp-out1 src-address=10.1.7.0/24
add chain=srcnat disabled=yes dst-address=10.1.20.0/24 out-interface=l2tp-out1 src-address=10.1.7.0/24
/ip route
add distance=1 gateway=188.133.185.81
add distance=1 dst-address=10.1.0.0/16 gateway=l2tp-out1
add distance=1 dst-address=10.1.20.0/24 gateway=l2tp-out1
add disabled=yes distance=1 dst-address=188.133.185.0/30 gateway=188.133.185.81
add check-gateway=ping disabled=yes distance=1 dst-address=192.169.1.0/24 gateway=192.168.1.1
/ip route rule
add disabled=yes dst-address=10.1.20.0/24 interface=l2tp-out1 src-address=10.1.7.0/24
add chain=forward out-interface=ether2
add chain=forward disabled=yes protocol=tcp src-address=10.1.7.198 src-port=1701
add chain=forward disabled=yes protocol=udp src-address=10.1.7.198 src-port=1701
add chain=forward disabled=yes in-interface=l2tp-out1
add chain=input disabled=yes dst-port=1701 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=10.1.7.0/24
add action=masquerade chain=srcnat out-interface=l2tp-out1 src-address=10.1.7.0/24
add chain=srcnat disabled=yes dst-address=10.1.20.0/24 out-interface=l2tp-out1 src-address=10.1.7.0/24
/ip route
add distance=1 gateway=188.133.185.81
add distance=1 dst-address=10.1.0.0/16 gateway=l2tp-out1
add distance=1 dst-address=10.1.20.0/24 gateway=l2tp-out1
add disabled=yes distance=1 dst-address=188.133.185.0/30 gateway=188.133.185.81
add check-gateway=ping disabled=yes distance=1 dst-address=192.169.1.0/24 gateway=192.168.1.1
/ip route rule
add disabled=yes dst-address=10.1.20.0/24 interface=l2tp-out1 src-address=10.1.7.0/24
-
gimgad
- Сообщения: 5
- Зарегистрирован: 11 окт 2013, 19:17
default 92.255.231.254 UGS 0 6808107 1500 vr1
8.8.8.8 92.255.231.254 UGHS 0 3318919 1500 vr1
10.1.9.0/24 10.2.4.1 UGS 0 31 1500 ovpnc1
10.1.10.0/24 10.2.4.1 UGS 0 16870 1500 ovpnc1
10.1.19.0/24 10.3.1.2 UGS 0 47211 1500 ovpns2
10.1.20.0/24 link#1 U 0 252180 1500 vr0
10.1.20.1 link#1 UHS 0 0 16384 lo0
10.2.0.0/16 10.2.4.1 UGS 0 0 1500 ovpnc1
10.2.4.1 link#11 UH 0 0 1500 ovpnc1
10.2.4.2 link#11 UHS 0 0 16384 lo0
10.2.10.0/24 10.2.4.1 UGS 0 0 1500 ovpnc1
10.3.1.1 link#10 UHS 0 0 16384 lo0
10.3.1.2 link#10 UH 0 56 1500 ovpns2
85.93.44.206 link#8 UHS 0 0 16384 lo0
92.255.231.0/24 link#2 U 0 0 1500 vr1
92.255.231.1 link#2 UHS 0 0 16384 lo0
127.0.0.1 link#7 UH 0 45 16384 lo0
192.168.40.0/22 10.2.4.1 UGS 0 28760 1500 ovpnc1
217.9.147.42 217.9.147.92 UGHS 0 3283660 1492 pppoe0
217.9.147.92 link#8 UH 0 30160 1492 pppoe0
217.9.148.4 217.9.147.92 UGHS 0 3283658 1492 pppoe0
8.8.8.8 92.255.231.254 UGHS 0 3318919 1500 vr1
10.1.9.0/24 10.2.4.1 UGS 0 31 1500 ovpnc1
10.1.10.0/24 10.2.4.1 UGS 0 16870 1500 ovpnc1
10.1.19.0/24 10.3.1.2 UGS 0 47211 1500 ovpns2
10.1.20.0/24 link#1 U 0 252180 1500 vr0
10.1.20.1 link#1 UHS 0 0 16384 lo0
10.2.0.0/16 10.2.4.1 UGS 0 0 1500 ovpnc1
10.2.4.1 link#11 UH 0 0 1500 ovpnc1
10.2.4.2 link#11 UHS 0 0 16384 lo0
10.2.10.0/24 10.2.4.1 UGS 0 0 1500 ovpnc1
10.3.1.1 link#10 UHS 0 0 16384 lo0
10.3.1.2 link#10 UH 0 56 1500 ovpns2
85.93.44.206 link#8 UHS 0 0 16384 lo0
92.255.231.0/24 link#2 U 0 0 1500 vr1
92.255.231.1 link#2 UHS 0 0 16384 lo0
127.0.0.1 link#7 UH 0 45 16384 lo0
192.168.40.0/22 10.2.4.1 UGS 0 28760 1500 ovpnc1
217.9.147.42 217.9.147.92 UGHS 0 3283660 1492 pppoe0
217.9.147.92 link#8 UH 0 30160 1492 pppoe0
217.9.148.4 217.9.147.92 UGHS 0 3283658 1492 pppoe0
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
gimgad писал(а):Есть железка pfsense на которой поднят vpn сервер. есть микротик который выступает в качестве клиента. pfsense стоит в офисе и раздает сетку 10.1.10.0/24, у микротика локалка 10.1.7.0/24. микротик соеденяется с pfsense по тунелю 10.1.17.0/24 . VPN поднялось на микротике пинги до 10.1.10.0 идут, а вот пинги с компов в локальной сети микротика не идут. понимаю что нужно в firewall настраивать но не знаю что. интернет на компах есть.
Какой ip у pfsense ?
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
gimgad писал(а):Есть железка pfsense на которой поднят vpn сервер. есть микротик который выступает в качестве клиента. pfsense стоит в офисе и раздает сетку 10.1.10.0/24, у микротика локалка 10.1.7.0/24. микротик соеденяется с pfsense по тунелю 10.1.17.0/24 . VPN поднялось на микротике пинги до 10.1.10.0 идут, а вот пинги с компов в локальной сети микротика не идут. понимаю что нужно в firewall настраивать но не знаю что. интернет на компах есть.
с pfsense по тунелю 10.1.17.0/24 ... Какой адрес у VPN Сервера 10.1.17.1 ?
-
gimgad
- Сообщения: 5
- Зарегистрирован: 11 окт 2013, 19:17
10.1.17.2 у сервера на pfsense, клиент получает адрес 10.1.17.10, это на микротике
по идее могу доступ дать к микротику, на микротике удаленную сетку вижу пинги бегают а вот с локальных компов на микротике нет. все останавливается на микротике.
по идее могу доступ дать к микротику, на микротике удаленную сетку вижу пинги бегают а вот с локальных компов на микротике нет. все останавливается на микротике.
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
gimgad писал(а):10.1.17.2 у сервера на pfsense, клиент получает адрес 10.1.17.10, это на микротике
по идее могу доступ дать к микротику, на микротике удаленную сетку вижу пинги бегают а вот с локальных компов на микротике нет. все останавливается на микротике.
с компа пинг до 10.1.17.2 есть ?
если нет
то на миротике сделай
/ip route add disabled=no distance=1 dst-address=10.1.10.0/24 gateway=10.1.17.10 \
scope=30 target-scope=10
если есть то
/ip route add disabled=no distance=1 dst-address=10.1.10.0/28 gateway=10.1.17.2 \
scope=30 target-scope=10
-
gimgad
- Сообщения: 5
- Зарегистрирован: 11 окт 2013, 19:17
Спасибо, все получилось. из локальной сети микротика вижу удаленную сеть, а вот обратно нет(((( и еще проблемка.
теперь картина такова. есть микротик на котором локалка 10.1.7.0 подключается к pfsense через l2tp 10.1.17.0 сервер l2tp поднят на pfsense, локальная сеть на pfsense 10.1.20.0. pfsense в свою очередь как клиент цепляется к другой железке pfsense2 через туцнель 10.2.4.0, на pfsense2 локалка 10.1.10.0/ как сделать чтобы микротик видел локалку pfsense 2
теперь картина такова. есть микротик на котором локалка 10.1.7.0 подключается к pfsense через l2tp 10.1.17.0 сервер l2tp поднят на pfsense, локальная сеть на pfsense 10.1.20.0. pfsense в свою очередь как клиент цепляется к другой железке pfsense2 через туцнель 10.2.4.0, на pfsense2 локалка 10.1.10.0/ как сделать чтобы микротик видел локалку pfsense 2