L2TP без доступа в локальные сети клиентов

Обсуждение ПО и его настройки
Ответить
arcsinx
Сообщения: 4
Зарегистрирован: 05 окт 2017, 18:30

Добрый день!
1) Есть L2TP сервер на базе R951-2Hnd.
2) Есть клиенты также на базе R951-2Hnd.
3) За каждым из роутеров, как клиентов, так и сервера есть локальные сети.
4) Для IPSec все настройки по умолчанию, в конфигурации серверов и клиентов указан параметр Use IPSec и установлен pre-shared-key.
Требуется решить такую задачу:
Нужно чтобы все клиенты сервера могли видеть только друг-друга и сервер.
Сервер соответственно должен видеть всех клиентов.
Но при этом ни один из клиентов не должен видеть сети за другими клиентами. Сеть за сервером также не должна быть видна.
Доступ к определенным сервисам в локальных сетях клиентах должен обеспечиваться через проброс портов.

Подскажите как можно это реализовать?
Использование IPSec не обязательно.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Если честно - то ничего не понятно из того, что вы написали. Нужна либо схема, либо более конкретные вопросы.

Прочитайте вот эту тему, возможно все вопросы отпадут viewtopic.php?f=15&t=6572


arcsinx
Сообщения: 4
Зарегистрирован: 05 окт 2017, 18:30

Схема сети вот такая https://drive.google.com/open?id=0B1QHkloERLEVR0lTd0xQa0duQkk.
Необходимо чтобы с ноутбука 10.8.0.4 можно было постучаться на определенный порт других клиентов L2TP сети, по адресам 10.8.0.2, 10.8.0.3 и т.д.
Но чтобы нельзя было стучаться напрямую на машины из локальных подсетей клиентов 192.168.1.Х, 192.168.2.X и т.д.
Каждый из клиентов имеет собственный выход в интернет -> обеспечивать доступ в интернет через L2TP туннель не нужно.

В общем виде задача такая:
Есть сервер со статическим белым IP.
Есть машины подключенные через Mikrotik'и, которые в свою очередь не имеют белых IP адресов.
Нужно чтобы был доступ к определенным портам этих машин.
В принципе, если есть способы решить эту задачу без L2TP туннелей, то их тоже можно рассмотреть.

Заранее спасибо!


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

На микротиках-клиентах разрешить доступ из L2TP только к одному IP на конкретный порт в своей сети. Остальное запретить.


arcsinx
Сообщения: 4
Зарегистрирован: 05 окт 2017, 18:30

Дело в том что при поднятии туннеля, автоматически создаются маршруты к локальным сетям спрятанным за клиентами.
В итоге получается что любой компьютер из любой подсети видит все чужие подсети за другими клиентами туннеля, и всех клиентов L2TP сервера.

Как я понял рекомендуется дропать определенный трафик файрволом.
Но может быть можно не допускать создания ненужных маршрутов?

Сервер:
/ip pool
add name=l2tp-pool ranges=10.8.0.2-10.8.0.254
/ppp profile
add change-tcp-mss=yes local-address=10.8.0.1 name=l2tp remote-address=l2tp-pool
/ppp secret
add name=<username> password=<password> profile=l2tp service=l2tp
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418

Клиент:
/interface l2tp-client
add allow=mschap2 connect-to=<ServerAddr> disabled=no max-mru=1418 max-mtu=1418 name=l2tp-to-m1 user=<username> password=<password> profile=default
Последний раз редактировалось arcsinx 06 окт 2017, 16:07, всего редактировалось 1 раз.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Схема такая.
Маршруты создаются, а по правилам firewall по ним никто не ходит, кроме того, кому положено.


arcsinx
Сообщения: 4
Зарегистрирован: 05 окт 2017, 18:30

Erik_U писал(а):Схема такая.
Маршруты создаются, а по правилам firewall по ним никто не ходит, кроме того, кому положено.


Понял. Попробую настроить. По результатам отпишусь.


Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

ээээм.... а снять галку add defauil route не пробовали? ммм?


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Ответить