L2TP-Клиент Mikrotik не пингуется остальными клиентами L2TP-VPN сервера

Обсуждение ПО и его настройки
Ответить
kidlair
Сообщения: 8
Зарегистрирован: 26 окт 2016, 11:19

Здравствуйте. Помогите, никак не могу разобраться в чем дело.
Есть VPS c поднятым на нем L2TP\IPSEC сервером.
Есть три VPN-клиента (2 ноута, и роутер Mikrotik)
Суть в том чтобы пускать два ноута на рабочие компьютеры за Микротиком путем проброса RDP. Зачем VPS? Все просто, интернет в офис приходит с 4G-модема.
А теперь проблема, которую никак не могу сообразить как мне решить.
1. С VPN-сервера до Микротика и обратно пинг идет.
2. С Микротика пинги идут до всех клиентов VPN-сервера. А вот с двух других VPN-клиентов (два ноута) не пингуется Микротик.
Набросал схему:
Изображение


Прошу помощи, есть понимание что нужно что-то настроить в Микротике, но держу его в руках в первый раз да и не являюсь сетевиком по сути.

UPD: Отключение правил firewall не помогает. Делал это в первую очередь. Микротик отвечает на пинги если пинговать с VPN сервера. Если пинговать с других VPN-клиентов - не отвечает.
Последний раз редактировалось kidlair 26 окт 2016, 13:50, всего редактировалось 1 раз.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Временно (или навсегда) выключить на Mikrotik 951 все правила фаерволла.


kidlair
Сообщения: 8
Зарегистрирован: 26 окт 2016, 11:19

gmx писал(а):Временно (или навсегда) выключить на Mikrotik 951 все правила фаерволла.


К сожалению не помогает.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

На микротике прописан маршрут для сети 172.16.1.0 в сторону VPS??? Хотя скорее всего да... Но мало-ли??

А на VPN клиентах прописан маршрут для сети 172.16.1.0??? Что это за клиенты??? Попробуйте сделать трейс, куда пошли пакеты???
Сделайте, чтобы VPN соединение было маршрутом по-умолчанию, но правда тогда всё пойдет через VPN.


kidlair
Сообщения: 8
Зарегистрирован: 26 окт 2016, 11:19

gmx писал(а):На микротике прописан маршрут для сети 172.16.1.0 в сторону VPS??? Хотя скорее всего да... Но мало-ли??

А на VPN клиентах прописан маршрут для сети 172.16.1.0??? Что это за клиенты??? Попробуйте сделать трейс, куда пошли пакеты???
Сделайте, чтобы VPN соединение было маршрутом по-умолчанию, но правда тогда всё пойдет через VPN.



Маршрут для сети 172.16.1.0 в сторону VPS на микротике есть, появился автоматически. Микротик пингует всех - и VPN-сервер, и других внешних клиентов VPN. Клиентов перепробовал разных (MacOS, WIndows, Android) - с ними все ок, они пингуют друг друга, микротик их тоже пингует. Голову сломал!). VPN соединение маршрутом по-умолчанию - никакого эффекта. Я не понимаю, почему Микротик отвечает на пинги VPN-сервера, но не отвечает на пинги VPN-клиентов. Откуда такая разборчивость.

traceroute to 172.16.1.2 (172.16.1.2), 64 hops max, 52 byte packets
1 172.16.1.1 (172.16.1.1) 50.752 ms 50.628 ms 50.807 ms
2 *


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Они до него не доходят... скорее всего.
Попробуйте винбоксом подключиться к микротику с любого VPN клиента. Скорее всего не пройдет.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Тоже согласен с коллегой gmx - что нет маршрута.
Я бы ещё явно запустил пинг с компа, и смотрел бы утилитой Torch - есть вообще что-либо на интерфейсах микротика,
и если есть, то с каким ip приходит? А если нету....то искать куда затерялись по дороге пакеты.
Ну и ещё как бы не банально было -- проверить, вдруг где перехлёст по маски сети?...Сеть указана в микротике полностью и верно?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
kidlair
Сообщения: 8
Зарегистрирован: 26 окт 2016, 11:19

Мне не совсем понятно, почему нет маршрута..
Условно - к одному серверу подключены три vpn-клиента, с адресами 172.16.2.2 (Mikrotik), 172.16.2.31, 172.16.2.33. Все прекрасно друг друга пингуют, кроме одного момента - 172.16.2.31 и 172.16.2.33 не пингуют 172.16.2.2 (Mikrotik). Сейчас посмотрел во вкладку Firewall-Connections на Mikrotik, так вот там видно что двое остальных клиентов шлют ему ICMP, видно их адреса, но толку ноль. На мой взгляд очевидно что что-то мешается на Микротике... продолжаю биться, пока безрезультатно..


kidlair
Сообщения: 8
Зарегистрирован: 26 окт 2016, 11:19

Все, удалось разобраться наконец. Дело было в MTU на клиенте Микротика. Поставил 1000, все заработало как полагается. Спасибо за поддержку ребят.


Ответить