l2tp vpn 2 сети
-
- Сообщения: 1
- Зарегистрирован: 18 ноя 2017, 10:11
День добрый. Есть два микротика, один l2tp сервер, один клиент. коннект устанавливает, шлюзы пингуются, а что за шлюзом нет. А точнее пинг доходит до цели, цель отвечает, а понг уже не доходит до источника. Может в нат заворачивается ?
-
- Сообщения: 38
- Зарегистрирован: 29 апр 2017, 23:20
Самое, что первым у тебя должно быть правильно настроено для достижения цели, это:
1. Правильно должны быть указаны IP адреса для VPN туннеля (Local Address и Remote Address)
2. Указаны маршруты на обеих концах:
Допустим у тебя адреса Local Address - 192.168.10.1 а Remote Address 192.168.10.2
10.10.10.0/24 - внутренняя сеть, где сервер
10.10.20.0/24 - внутренняя сеть, где клиент
то на сервере добавляешь маршрут
на клиенте :
1. Правильно должны быть указаны IP адреса для VPN туннеля (Local Address и Remote Address)
2. Указаны маршруты на обеих концах:
Допустим у тебя адреса Local Address - 192.168.10.1 а Remote Address 192.168.10.2
10.10.10.0/24 - внутренняя сеть, где сервер
10.10.20.0/24 - внутренняя сеть, где клиент
то на сервере добавляешь маршрут
Код: Выделить всё
ip route add dst-address=10.10.20.0/24 gateway=192.168.10.2
на клиенте :
Код: Выделить всё
ip route add dst-address=10.10.10.0/24 gateway=192.168.10.1
-
- Сообщения: 1
- Зарегистрирован: 25 апр 2018, 17:53
Что бы не создавать новую тему напишу здесь, имеется также 2 сети которые нужно связать между собой по средством VPN L2TP ipsec, На одном устройстве был создан сервер, на другом клиент, в подключениях вижу что связь установлена, сам маршрутизатор может пинговать удаленную сеть и машины внутри нее, но с локальных машин пинги не идут, настраивал по инструкции найденной на просторах интернета, полагаю ошибка где-то в nat или нет как-го то маршрута еще, прошу подскажите где что не так.
Головной офис А
внешний статический адресс
192.168.131.0/24 лок. сеть
192.168.131.1 - шлюз (микротик)
Доп. офис Б
внешний стат. адрес
лок. сеть 192.168.132.0./24
шлюз 192.168.132.2
При подключении по ВПН микротик Б, получает в маршрутизаторе А адрес 192.168.131.198. Прилагаю експорт настроек с А и Б
Головной офис А
внешний статический адресс
192.168.131.0/24 лок. сеть
192.168.131.1 - шлюз (микротик)
Доп. офис Б
внешний стат. адрес
лок. сеть 192.168.132.0./24
шлюз 192.168.132.2
При подключении по ВПН микротик Б, получает в маршрутизаторе А адрес 192.168.131.198. Прилагаю експорт настроек с А и Б
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Совет общего плана (конфиги почти не смотрел):
1) уберите(не юзайте) в L2TP Ваши (локальные) сети, то есть у Вас 131 и 132 сети, для L2TP используйте просто
другую сеть, скажем 192.168.6.0/30 (Вам же два адреса то надо).
2) Уберите НАТ - то есть, создав туннель(связь) через промежуточную сеть, надо чтобы
сеть А знала как дойти до сети В, а В знала как дойти до сети А. НАТА в этом случаи
Вам (и в обычном взаимодействии двух сетей/филиалов) не нужен.
NB:
Поэтому через промежуточную сеть (6.0/30) делается связь, делаете на каждом
роутере маршрутизацию через сетку 6.0/30 и отключаете НАТ (а точнее,
надо сделать так, что если локальный клиент запросил внешний адрес,
то при выходе на провайдера, надо его НАТить, а когда он будет идти
в другую сеть локальную, тут НАТ не надо для этих пакетов ключать)
Поэтому НАТ должен быть утончённым и явным. (НЕ обобщённым)
1) уберите(не юзайте) в L2TP Ваши (локальные) сети, то есть у Вас 131 и 132 сети, для L2TP используйте просто
другую сеть, скажем 192.168.6.0/30 (Вам же два адреса то надо).
2) Уберите НАТ - то есть, создав туннель(связь) через промежуточную сеть, надо чтобы
сеть А знала как дойти до сети В, а В знала как дойти до сети А. НАТА в этом случаи
Вам (и в обычном взаимодействии двух сетей/филиалов) не нужен.
NB:
Поэтому через промежуточную сеть (6.0/30) делается связь, делаете на каждом
роутере маршрутизацию через сетку 6.0/30 и отключаете НАТ (а точнее,
надо сделать так, что если локальный клиент запросил внешний адрес,
то при выходе на провайдера, надо его НАТить, а когда он будет идти
в другую сеть локальную, тут НАТ не надо для этих пакетов ключать)
Поэтому НАТ должен быть утончённым и явным. (НЕ обобщённым)
-
- Сообщения: 9
- Зарегистрирован: 09 ноя 2020, 08:28
Здравствуйте. Два офиса, в обоих микротики. VPN l2pt+ipsec, внешние ip статические
Local Address - 172.16.45.1 а Remote Address 172.16.45.2
192.168.1.0/24 - внутренняя сеть, где клиент
192.0.1.0/24 - внутренняя сеть, где сервер
Соединение установлено, основные шлюзы пингуются, а до компьютеров в локальных сетях не достучаться.
Подскажите, пожалуйста, что не так... Пробовал советы из разных статей, мог уже и лишнего начудить
# nov/09/2020 11:39:54 by RouterOS 6.44.5
# software id = 9H0G-D7JS
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00B6F3FA2
/interface bridge
add arp=proxy-arp name=bridge1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=9b5x7..... use-peer-dns=yes user=9256
/interface l2tp-server
add name=l2tp-vodoley-in1 user=vodoley
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=my_policy
/ip pool
add name=dhcp ranges=192.0.1.101-192.0.1.200
add name=L2TP-Client ranges=172.16.25.2-172.16.25.10
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=172.16.45.1 name=site-to-site only-one=\
no remote-address=172.16.45.2 use-encryption=yes
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan2
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=site-to-site enabled=yes \
ipsec-secret=.... use-ipsec=yes
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge1 list=LAN
/interface ovpn-server server
set certificate=ServerOVPN cipher=blowfish128,aes128,aes256 enabled=yes \
require-client-certificate=yes
/ip address
add address=192.0.1.1/24 interface=bridge1 network=192.0.1.0
/ip dhcp-server network
add address=192.0.1.0/24 gateway=192.0.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.0.1.203 name=buhserv
add address=192.0.1.222 name=Server_1C
add address=192.0.1.28 name=Ryabova
/ip firewall filter
add action=accept chain=input comment="Accept L2TP" connection-state=new \
dst-port=1701 protocol=udp
add action=accept chain=input comment="Accept IPSec" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="Accept IPSec" protocol=ipsec-esp
add action=accept chain=input comment="Accept esteblished & related" \
connection-state=established,related
add action=drop chain=input comment="Drop invalide" connection-state=invalid
add action=accept chain=input comment="Accept ICMP (ping)" protocol=icmp
add action=accept chain=input comment="Accept WinBox" dst-port=8291 protocol=\
tcp
add action=accept chain=input comment="Accept https://" dst-port=443 \
protocol=tcp
add action=drop chain=input comment="Drop all not LAN" in-interface=!bridge1
add action=accept chain=forward comment="Accept esteblished & related" \
connection-state=established,related
add action=drop chain=forward comment="Drop invalide" connection-state=\
invalid
add action=drop chain=forward comment="Drop all from LAN not dstnat" \
connection-nat-state=dstnat in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.45.2 pref-src=\
192.0.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set www-ssl certificate=https-access
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add name=vodoley password=3XA... profile=site-to-site service=l2tp
/system clock
set time-zone-name=Europe/Moscow
Local Address - 172.16.45.1 а Remote Address 172.16.45.2
192.168.1.0/24 - внутренняя сеть, где клиент
192.0.1.0/24 - внутренняя сеть, где сервер
Соединение установлено, основные шлюзы пингуются, а до компьютеров в локальных сетях не достучаться.
Подскажите, пожалуйста, что не так... Пробовал советы из разных статей, мог уже и лишнего начудить
# nov/09/2020 11:39:54 by RouterOS 6.44.5
# software id = 9H0G-D7JS
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00B6F3FA2
/interface bridge
add arp=proxy-arp name=bridge1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=9b5x7..... use-peer-dns=yes user=9256
/interface l2tp-server
add name=l2tp-vodoley-in1 user=vodoley
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=my_policy
/ip pool
add name=dhcp ranges=192.0.1.101-192.0.1.200
add name=L2TP-Client ranges=172.16.25.2-172.16.25.10
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=172.16.45.1 name=site-to-site only-one=\
no remote-address=172.16.45.2 use-encryption=yes
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan2
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=site-to-site enabled=yes \
ipsec-secret=.... use-ipsec=yes
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge1 list=LAN
/interface ovpn-server server
set certificate=ServerOVPN cipher=blowfish128,aes128,aes256 enabled=yes \
require-client-certificate=yes
/ip address
add address=192.0.1.1/24 interface=bridge1 network=192.0.1.0
/ip dhcp-server network
add address=192.0.1.0/24 gateway=192.0.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.0.1.203 name=buhserv
add address=192.0.1.222 name=Server_1C
add address=192.0.1.28 name=Ryabova
/ip firewall filter
add action=accept chain=input comment="Accept L2TP" connection-state=new \
dst-port=1701 protocol=udp
add action=accept chain=input comment="Accept IPSec" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="Accept IPSec" protocol=ipsec-esp
add action=accept chain=input comment="Accept esteblished & related" \
connection-state=established,related
add action=drop chain=input comment="Drop invalide" connection-state=invalid
add action=accept chain=input comment="Accept ICMP (ping)" protocol=icmp
add action=accept chain=input comment="Accept WinBox" dst-port=8291 protocol=\
tcp
add action=accept chain=input comment="Accept https://" dst-port=443 \
protocol=tcp
add action=drop chain=input comment="Drop all not LAN" in-interface=!bridge1
add action=accept chain=forward comment="Accept esteblished & related" \
connection-state=established,related
add action=drop chain=forward comment="Drop invalide" connection-state=\
invalid
add action=drop chain=forward comment="Drop all from LAN not dstnat" \
connection-nat-state=dstnat in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.45.2 pref-src=\
192.0.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set www-ssl certificate=https-access
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add name=vodoley password=3XA... profile=site-to-site service=l2tp
/system clock
set time-zone-name=Europe/Moscow
-
- Сообщения: 1
- Зарегистрирован: 10 ноя 2020, 03:41
я так понимаю 172.16.45.1 это ip клиента, а 45.2 сервера. Если так?Local Address - 172.16.45.1 а Remote Address 172.16.45.2
192.168.1.0/24 - внутренняя сеть, где клиент
192.0.1.0/24 - внутренняя сеть, где сервер
Тогда получается на клиентском микротике:
add distance=1 dst-address=192.0.1.0/24 gateway=172.16.45.2
На стороне сервера:
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.45.1
Если всё сделано правильно то в винбоксе IP - Routes зайдя в созданное правило, напротив gateway будет reachable, если unreachable смотрите на правильность ip в l2tp
-
- Сообщения: 9
- Зарегистрирован: 09 ноя 2020, 08:28
наоборот- 172.16.45.2 это ip клиента, а 45.1 сервера
На клиентском микротике:
add distance=1 dst-address=192.0.1.0/24 gateway=172.16.45.1
На стороне сервера:
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.45.2
напротив gateway- reachable
Соединение установлено, основные шлюзы пингуются, а до компьютеров в локальных сетях не достучаться
На клиентском микротике:
add distance=1 dst-address=192.0.1.0/24 gateway=172.16.45.1
На стороне сервера:
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.45.2
напротив gateway- reachable
Соединение установлено, основные шлюзы пингуются, а до компьютеров в локальных сетях не достучаться
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Так а firewall'ы на этих компьютерах разрешают к ним стучаться не из своих подсетей?
Плюс вижу здесь конфиг только одной стороны.
Плюс вижу здесь конфиг только одной стороны.
Telegram: @thexvo
-
- Сообщения: 9
- Зарегистрирован: 09 ноя 2020, 08:28
Несколько раз до этого проверял соединение отключая firewall'ы, ни чего не менялось. Я и думать про них перестал. А сейчас помогло, большое спасибо.
Видимо до этого еще что то не правильно делал
Видимо до этого еще что то не правильно делал