Добрый день!
1) Есть L2TP сервер на базе R951-2Hnd.
2) Есть клиенты также на базе R951-2Hnd.
3) За каждым из роутеров, как клиентов, так и сервера есть локальные сети.
4) Для IPSec все настройки по умолчанию, в конфигурации серверов и клиентов указан параметр Use IPSec и установлен pre-shared-key.
Требуется решить такую задачу:
Нужно чтобы все клиенты сервера могли видеть только друг-друга и сервер.
Сервер соответственно должен видеть всех клиентов.
Но при этом ни один из клиентов не должен видеть сети за другими клиентами. Сеть за сервером также не должна быть видна.
Доступ к определенным сервисам в локальных сетях клиентах должен обеспечиваться через проброс портов.
Подскажите как можно это реализовать?
Использование IPSec не обязательно.
L2TP без доступа в локальные сети клиентов
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Если честно - то ничего не понятно из того, что вы написали. Нужна либо схема, либо более конкретные вопросы.
Прочитайте вот эту тему, возможно все вопросы отпадут viewtopic.php?f=15&t=6572
Прочитайте вот эту тему, возможно все вопросы отпадут viewtopic.php?f=15&t=6572
-
- Сообщения: 4
- Зарегистрирован: 05 окт 2017, 18:30
Схема сети вот такая https://drive.google.com/open?id=0B1QHkloERLEVR0lTd0xQa0duQkk.
Необходимо чтобы с ноутбука 10.8.0.4 можно было постучаться на определенный порт других клиентов L2TP сети, по адресам 10.8.0.2, 10.8.0.3 и т.д.
Но чтобы нельзя было стучаться напрямую на машины из локальных подсетей клиентов 192.168.1.Х, 192.168.2.X и т.д.
Каждый из клиентов имеет собственный выход в интернет -> обеспечивать доступ в интернет через L2TP туннель не нужно.
В общем виде задача такая:
Есть сервер со статическим белым IP.
Есть машины подключенные через Mikrotik'и, которые в свою очередь не имеют белых IP адресов.
Нужно чтобы был доступ к определенным портам этих машин.
В принципе, если есть способы решить эту задачу без L2TP туннелей, то их тоже можно рассмотреть.
Заранее спасибо!
Необходимо чтобы с ноутбука 10.8.0.4 можно было постучаться на определенный порт других клиентов L2TP сети, по адресам 10.8.0.2, 10.8.0.3 и т.д.
Но чтобы нельзя было стучаться напрямую на машины из локальных подсетей клиентов 192.168.1.Х, 192.168.2.X и т.д.
Каждый из клиентов имеет собственный выход в интернет -> обеспечивать доступ в интернет через L2TP туннель не нужно.
В общем виде задача такая:
Есть сервер со статическим белым IP.
Есть машины подключенные через Mikrotik'и, которые в свою очередь не имеют белых IP адресов.
Нужно чтобы был доступ к определенным портам этих машин.
В принципе, если есть способы решить эту задачу без L2TP туннелей, то их тоже можно рассмотреть.
Заранее спасибо!
-
- Сообщения: 1755
- Зарегистрирован: 09 июл 2014, 12:33
На микротиках-клиентах разрешить доступ из L2TP только к одному IP на конкретный порт в своей сети. Остальное запретить.
-
- Сообщения: 4
- Зарегистрирован: 05 окт 2017, 18:30
Дело в том что при поднятии туннеля, автоматически создаются маршруты к локальным сетям спрятанным за клиентами.
В итоге получается что любой компьютер из любой подсети видит все чужие подсети за другими клиентами туннеля, и всех клиентов L2TP сервера.
Как я понял рекомендуется дропать определенный трафик файрволом.
Но может быть можно не допускать создания ненужных маршрутов?
Сервер:
/ip pool
add name=l2tp-pool ranges=10.8.0.2-10.8.0.254
/ppp profile
add change-tcp-mss=yes local-address=10.8.0.1 name=l2tp remote-address=l2tp-pool
/ppp secret
add name=<username> password=<password> profile=l2tp service=l2tp
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418
Клиент:
/interface l2tp-client
add allow=mschap2 connect-to=<ServerAddr> disabled=no max-mru=1418 max-mtu=1418 name=l2tp-to-m1 user=<username> password=<password> profile=default
В итоге получается что любой компьютер из любой подсети видит все чужие подсети за другими клиентами туннеля, и всех клиентов L2TP сервера.
Как я понял рекомендуется дропать определенный трафик файрволом.
Но может быть можно не допускать создания ненужных маршрутов?
Сервер:
/ip pool
add name=l2tp-pool ranges=10.8.0.2-10.8.0.254
/ppp profile
add change-tcp-mss=yes local-address=10.8.0.1 name=l2tp remote-address=l2tp-pool
/ppp secret
add name=<username> password=<password> profile=l2tp service=l2tp
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418
Клиент:
/interface l2tp-client
add allow=mschap2 connect-to=<ServerAddr> disabled=no max-mru=1418 max-mtu=1418 name=l2tp-to-m1 user=<username> password=<password> profile=default
Последний раз редактировалось arcsinx 06 окт 2017, 16:07, всего редактировалось 1 раз.
-
- Сообщения: 1755
- Зарегистрирован: 09 июл 2014, 12:33
Схема такая.
Маршруты создаются, а по правилам firewall по ним никто не ходит, кроме того, кому положено.
Маршруты создаются, а по правилам firewall по ним никто не ходит, кроме того, кому положено.
-
- Сообщения: 4
- Зарегистрирован: 05 окт 2017, 18:30
Erik_U писал(а):Схема такая.
Маршруты создаются, а по правилам firewall по ним никто не ходит, кроме того, кому положено.
Понял. Попробую настроить. По результатам отпишусь.