l2tp vpn 2 сети

Обсуждение ПО и его настройки
Ответить
eduardoeres
Сообщения: 1
Зарегистрирован: 18 ноя 2017, 10:11

День добрый. Есть два микротика, один l2tp сервер, один клиент. коннект устанавливает, шлюзы пингуются, а что за шлюзом нет. А точнее пинг доходит до цели, цель отвечает, а понг уже не доходит до источника. Может в нат заворачивается ?


hitman
Сообщения: 38
Зарегистрирован: 29 апр 2017, 23:20

Самое, что первым у тебя должно быть правильно настроено для достижения цели, это:
1. Правильно должны быть указаны IP адреса для VPN туннеля (Local Address и Remote Address)
2. Указаны маршруты на обеих концах:
Допустим у тебя адреса Local Address - 192.168.10.1 а Remote Address 192.168.10.2
10.10.10.0/24 - внутренняя сеть, где сервер
10.10.20.0/24 - внутренняя сеть, где клиент
то на сервере добавляешь маршрут

Код: Выделить всё

ip route add dst-address=10.10.20.0/24 gateway=192.168.10.2

на клиенте :

Код: Выделить всё

ip route add dst-address=10.10.10.0/24 gateway=192.168.10.1


tony_copper
Сообщения: 1
Зарегистрирован: 25 апр 2018, 17:53

Что бы не создавать новую тему напишу здесь, имеется также 2 сети которые нужно связать между собой по средством VPN L2TP ipsec, На одном устройстве был создан сервер, на другом клиент, в подключениях вижу что связь установлена, сам маршрутизатор может пинговать удаленную сеть и машины внутри нее, но с локальных машин пинги не идут, настраивал по инструкции найденной на просторах интернета, полагаю ошибка где-то в nat или нет как-го то маршрута еще, прошу подскажите где что не так.
Головной офис А
внешний статический адресс
192.168.131.0/24 лок. сеть
192.168.131.1 - шлюз (микротик)

Доп. офис Б
внешний стат. адрес
лок. сеть 192.168.132.0./24
шлюз 192.168.132.2
При подключении по ВПН микротик Б, получает в маршрутизаторе А адрес 192.168.131.198. Прилагаю експорт настроек с А и Б
 
HQ офис А
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:01 arp=proxy-arp auto-mac=no fast-forward=no name=bridge-local
add fast-forward=no name=bridge-td
/interface ethernet
set [ find default-name=ether1 ] comment=ISP2
set [ find default-name=ether2 ] comment=ISP1
/interface l2tp-server
add name=nevskogo user=nevskogo
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
set [ find default=yes ] name=policy_group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,3des
/ip pool
add name=dhcp ranges=192.168.131.139-192.168.131.189
add name=vpn_pool ranges=192.168.131.190-192.168.131.199
add name=dhcp_pool2 ranges=192.168.132.2-192.168.132.254
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge-local name=default
add address-pool=dhcp_pool2 disabled=no interface=bridge-td lease-time=3d10m name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=vpn_pool name=l2tp_profile remote-address=vpn_pool
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/interface bridge port
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-td interface=ether3
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=XXXXXX use-ipsec=yes
/ip address
add address=185.23.81.191/24 interface=ether2 network=185.23.81.0
add address=192.168.1.149/24 interface=ether1 network=192.168.1.0
add address=192.168.131.1/24 comment="default configuration" interface=bridge-local network=192.168.131.0
add address=192.168.132.1/24 interface=bridge-td network=192.168.132.0
/ip dhcp-server lease
add address=192.168.131.189 client-id=1:9c:93:4e:70:b3:5 mac-address=9C:93:4E:70:B3:05 server=default
add address=192.168.131.188 client-id=1:9c:93:4e:61:d1:60 mac-address=9C:93:4E:61:D1:60 server=default
/ip dhcp-server network
add address=192.168.131.0/24 gateway=192.168.131.1
add address=192.168.132.0/24 gateway=192.168.132.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=accept chain=forward comment="allow vpn to lan" in-interface=!ether2 out-interface=bridge-local src-address=\
192.168.131.190-192.168.131.199
add action=drop chain=output dst-address=8.8.4.4 out-interface=ether1
add action=accept chain=input comment="default configuration" protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=ether1
add action=accept chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=\
ether1
add action=drop chain=input dst-port=53 in-interface=ether2 log-prefix=query_in_drop protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether2 log-prefix=query_in_drop protocol=udp
add action=accept chain=input disabled=yes protocol=ipsec-esp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=masquerade chain=srcnat out-interface=ether2
add action=masquerade chain=srcnat comment="VPN masq" disabled=yes out-interface=all-ppp
/ip ipsec peer
add address=0.0.0.0/24 dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=\
port-override passive=yes secret=xxxxxx
/ip route
add comment=ISP1 distance=1 gateway=185.23.81.1
add comment=ISP2 disabled=yes distance=1 gateway=192.168.1.1
add distance=1 dst-address=8.8.4.4/32 gateway=185.23.81.1
add distance=1 dst-address=192.168.132.0/24 gateway=192.168.131.198 pref-src=192.168.131.199 target-scope=1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.131.0/24
set ssh disabled=yes
/ppp secret
add name=vpn_user2 password=xxxxxx profile=l2tp_profile service=l2tp
add name=vpn_user3 password=xxxxxx profile=l2tp_profile service=l2tp
add local-address=192.168.131.199 name=nevskogo password=xxxxxx profile=l2tp_profile remote-address=192.168.131.198 \
service=l2tp
add name=tanya password=xxxxxx profile=l2tp_profile service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=13.74.149.188 secondary-ntp=85.254.216.1

Маршрутизатор Б
# model = RouterBOARD 941-2nD
# serial number = 5B3205AFXXX
/interface bridge
add arp=proxy-arp fast-forward=no name=bridge1-lan
add arp=reply-only fast-forward=no name=bridge_guest
/interface ethernet
set [ find default-name=ether1 ] comment=WAN mac-address=E8:37:7A:9B:75:XX
set [ find default-name=ether3 ] comment=LAN
set [ find default-name=ether4 ] comment=LAN
/interface l2tp-client
add connect-to=185.23.81.191 ipsec-secret=XXXXXX name=l2tp-to-Office password=XXXXXX use-ipsec=yes user=nevskogo
/ip pool
add name=dhcp-pc ranges=192.168.132.139-192.168.132.189
add name=dhcp-guest ranges=10.11.12.2-10.11.12.30
/ip dhcp-server
add address-pool=dhcp-pc authoritative=after-2sec-delay disabled=no interface=bridge1-lan lease-time=8h name=dhcp-pc
add add-arp=yes address-pool=dhcp-guest authoritative=after-2sec-delay disabled=no interface=bridge_guest lease-time=8h name=dhcp-guest
/queue simple
add burst-limit=10M/10M burst-threshold=4M/4M burst-time=10s/10s max-limit=5M/5M name=wifi_guest_limit target=10.11.12.0/24
/interface bridge port
add bridge=bridge1-lan interface=wlan1
add bridge=bridge1-lan interface=ether4
add bridge=bridge_guest interface=wlan2
add bridge=bridge1-lan interface=ether3
/ip address
add address=185.23.80.202/24 interface=ether1 network=185.23.80.0
add address=192.168.132.2/24 interface=bridge1-lan network=192.168.132.0
add address=10.11.12.1/24 interface=bridge_guest network=10.11.12.0
/ip dhcp-server network
add address=10.11.12.0/24 dns-server=10.11.12.1,8.8.8.8 gateway=10.11.12.1 netmask=24
add address=192.168.132.0/24 dns-server=192.168.132.2 gateway=192.168.132.2 netmask=24
/ip dns
set allow-remote-requests=yes servers=185.23.80.3,185.23.81.3
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input connection-state=new dst-port=80,82,91,22 in-interface=bridge1-lan protocol=tcp src-address=192.168.132.0/24
add action=accept chain=input connection-mark=allow_in connection-state=new dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=input connection-state=new dst-port=53,12,3 in-interface=bridge1-lan protocol=udp src-address=192.168.132.0/24
add action=accept chain=input connection-state=established,related
add action=accept chain=input comment=winbox dst-port=8291 protocol=tcp
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=bridge1-lan out-interface=ether1 src-address=192.168.132.0/24
add action=accept chain=forward connection-state=established,related dst-address=192.168.132.0/24 in-interface=ether1 out-interface=bridge1-lan
add action=reject chain=input reject-with=icmp-network-unreachable
add action=reject chain=output reject-with=icmp-network-unreachable
add action=reject chain=forward reject-with=icmp-network-unreachable
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp src-address-list="dns flood"
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-port=9999 in-interface=ether1 new-connection-mark=allow_in passthrough=yes \
protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.132.0/24
add action=redirect chain=dstnat dst-port=9999 in-interface=ether1 protocol=tcp to-ports=80
add action=masquerade chain=srcnat disabled=yes out-interface=l2tp-to-Office
add action=netmap chain=dstnat comment=NVR dst-port=554 in-interface=ether1 protocol=tcp to-addresses=192.168.131.40 to-ports=554
add action=netmap chain=dstnat dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.131.40
add action=netmap chain=dstnat dst-port=5000 in-interface=ether1 protocol=tcp to-addresses=192.168.131.4 to-ports=5000
/ip firewall raw
add action=add-src-to-address-list address-list="dns flood" address-list-timeout=14w1d chain=prerouting dst-port=53 in-interface=ether1 protocol=\
udp
/ip ipsec peer
add address=192.168.131.199/32 dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=port-strict secret=\
XXXXXX
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=192.168.131.199 sa-src-address=192.168.131.198 src-address=192.168.132.0/24 tunnel=yes
/ip route
add check-gateway=ping distance=1 gateway=185.23.80.1
add distance=1 dst-address=192.168.131.0/24 gateway=192.168.131.199 pref-src=192.168.131.198
/ip route rule
add action=unreachable dst-address=10.11.12.0/24 src-address=192.168.132.0/24
add action=unreachable dst-address=192.168.132.0/24 src-address=10.11.12.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.132.0/24,192.168.131.0/24,185.23.81.191/32
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=bridge1-lan type=internal
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=213.109.127.82 secondary-ntp=193.225.126.76


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Совет общего плана (конфиги почти не смотрел):

1) уберите(не юзайте) в L2TP Ваши (локальные) сети, то есть у Вас 131 и 132 сети, для L2TP используйте просто
другую сеть, скажем 192.168.6.0/30 (Вам же два адреса то надо).

2) Уберите НАТ - то есть, создав туннель(связь) через промежуточную сеть, надо чтобы
сеть А знала как дойти до сети В, а В знала как дойти до сети А. НАТА в этом случаи
Вам (и в обычном взаимодействии двух сетей/филиалов) не нужен.

NB:
Поэтому через промежуточную сеть (6.0/30) делается связь, делаете на каждом
роутере маршрутизацию через сетку 6.0/30 и отключаете НАТ (а точнее,
надо сделать так, что если локальный клиент запросил внешний адрес,
то при выходе на провайдера, надо его НАТить, а когда он будет идти
в другую сеть локальную, тут НАТ не надо для этих пакетов ключать)
Поэтому НАТ должен быть утончённым и явным. (НЕ обобщённым)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Gorbunov M
Сообщения: 9
Зарегистрирован: 09 ноя 2020, 08:28

Здравствуйте. Два офиса, в обоих микротики. VPN l2pt+ipsec, внешние ip статические
Local Address - 172.16.45.1 а Remote Address 172.16.45.2
192.168.1.0/24 - внутренняя сеть, где клиент
192.0.1.0/24 - внутренняя сеть, где сервер
Соединение установлено, основные шлюзы пингуются, а до компьютеров в локальных сетях не достучаться.
Подскажите, пожалуйста, что не так... Пробовал советы из разных статей, мог уже и лишнего начудить

# nov/09/2020 11:39:54 by RouterOS 6.44.5
# software id = 9H0G-D7JS
#
# model = RBD52G-5HacD2HnD
# serial number = B4A00B6F3FA2
/interface bridge
add arp=proxy-arp name=bridge1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=9b5x7..... use-peer-dns=yes user=9256
/interface l2tp-server
add name=l2tp-vodoley-in1 user=vodoley
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=my_policy
/ip pool
add name=dhcp ranges=192.0.1.101-192.0.1.200
add name=L2TP-Client ranges=172.16.25.2-172.16.25.10
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=172.16.45.1 name=site-to-site only-one=\
no remote-address=172.16.45.2 use-encryption=yes
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan2
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=site-to-site enabled=yes \
ipsec-secret=.... use-ipsec=yes
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge1 list=LAN
/interface ovpn-server server
set certificate=ServerOVPN cipher=blowfish128,aes128,aes256 enabled=yes \
require-client-certificate=yes
/ip address
add address=192.0.1.1/24 interface=bridge1 network=192.0.1.0
/ip dhcp-server network
add address=192.0.1.0/24 gateway=192.0.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.0.1.203 name=buhserv
add address=192.0.1.222 name=Server_1C
add address=192.0.1.28 name=Ryabova
/ip firewall filter
add action=accept chain=input comment="Accept L2TP" connection-state=new \
dst-port=1701 protocol=udp
add action=accept chain=input comment="Accept IPSec" dst-port=500,4500 \
protocol=udp
add action=accept chain=input comment="Accept IPSec" protocol=ipsec-esp
add action=accept chain=input comment="Accept esteblished & related" \
connection-state=established,related
add action=drop chain=input comment="Drop invalide" connection-state=invalid
add action=accept chain=input comment="Accept ICMP (ping)" protocol=icmp
add action=accept chain=input comment="Accept WinBox" dst-port=8291 protocol=\
tcp
add action=accept chain=input comment="Accept https://" dst-port=443 \
protocol=tcp
add action=drop chain=input comment="Drop all not LAN" in-interface=!bridge1
add action=accept chain=forward comment="Accept esteblished & related" \
connection-state=established,related
add action=drop chain=forward comment="Drop invalide" connection-state=\
invalid
add action=drop chain=forward comment="Drop all from LAN not dstnat" \
connection-nat-state=dstnat in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.45.2 pref-src=\
192.0.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set www-ssl certificate=https-access
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add name=vodoley password=3XA... profile=site-to-site service=l2tp
/system clock
set time-zone-name=Europe/Moscow


d3ndy
Сообщения: 1
Зарегистрирован: 10 ноя 2020, 03:41

Local Address - 172.16.45.1 а Remote Address 172.16.45.2
192.168.1.0/24 - внутренняя сеть, где клиент
192.0.1.0/24 - внутренняя сеть, где сервер
я так понимаю 172.16.45.1 это ip клиента, а 45.2 сервера. Если так?



Тогда получается на клиентском микротике:
add distance=1 dst-address=192.0.1.0/24 gateway=172.16.45.2

На стороне сервера:
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.45.1

Если всё сделано правильно то в винбоксе IP - Routes зайдя в созданное правило, напротив gateway будет reachable, если unreachable смотрите на правильность ip в l2tp


Gorbunov M
Сообщения: 9
Зарегистрирован: 09 ноя 2020, 08:28

наоборот- 172.16.45.2 это ip клиента, а 45.1 сервера

На клиентском микротике:
add distance=1 dst-address=192.0.1.0/24 gateway=172.16.45.1

На стороне сервера:
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.45.2

напротив gateway- reachable

Соединение установлено, основные шлюзы пингуются, а до компьютеров в локальных сетях не достучаться


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Так а firewall'ы на этих компьютерах разрешают к ним стучаться не из своих подсетей?

Плюс вижу здесь конфиг только одной стороны.


Telegram: @thexvo
Gorbunov M
Сообщения: 9
Зарегистрирован: 09 ноя 2020, 08:28

Несколько раз до этого проверял соединение отключая firewall'ы, ни чего не менялось. Я и думать про них перестал. А сейчас помогло, большое спасибо.
Видимо до этого еще что то не правильно делал


Ответить