L2TP и общие вопросы.

Обсуждение ПО и его настройки
Ответить
PetrT
Сообщения: 11
Зарегистрирован: 12 дек 2017, 13:11

Доброго времени суток, форумчане.

Прошу помощи в разъяснении некоторых вопросов по настройке Микротик. Инструкции для начинающих многие прочитаны, но не все понятно =(

Что есть.
Mikrotik
Аппарат. RB750Gr3
Прошивка 6.40.5 (stable)
Конфиг во вложении.

Вопрос 1.
IP Firewall, Filter Rules.
В поле chain можно указать input (трафик для маршрутизатора), output (трафик от маршрутизатора) и forward (проходящий). Вопрос. Если у меня к микротику подключено 2 разные подсети 192.168.1.1/24 и 192.168.2.1/24 то пинг из устройства из одной сети в другу будет считаться трафиком forward (проходящий), каким будет считаться трафик до интернета?

Вопрос 2.
Был настроен L2TP сервер на микротик по некой инструкции в интернет, при подключении к нему клиента маршрут до интернета начинает идти через VPN соединение. Как сделать так, чтобы трафик до интернета ходил через провайдера клиента, а доступ к "корпоративным ресурсам" шел через vpn подключение?

Код: Выделить всё

# dec/12/2017 14:13:13 by RouterOS 6.40.5
# software id = 54Z1-DBR7
#
# model = RouterBOARD 750G r3
# serial number = ********
/interface bridge
add mtu=1500 name=local-bridge
/interface ethernet
set [ find default-name=ether1 ] name=Eth1-ext
set [ find default-name=ether2 ] name=Eth2_Master
set [ find default-name=ether3 ] master-port=Eth2_Master name=Eth3
set [ find default-name=ether4 ] master-port=Eth2_Master name=Eth4
set [ find default-name=ether5 ] master-port=Eth2_Master name=Eth5
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=DHCP_POOL_LOCAL ranges=172.16.0.5-172.16.0.200
add name=VPN_POOL_CToS ranges=172.16.254.2-172.16.254.254
/ip dhcp-server
add address-pool=DHCP_POOL_LOCAL disabled=no interface=local-bridge \
    lease-time=23h59m59s name=DHCP_SERVER
/ppp profile
add change-tcp-mss=yes local-address=172.16.254.1 name=L2TP_SRV_CToS \
    remote-address=VPN_POOL_CToS use-compression=no use-encryption=yes \
    use-mpls=yes
/interface bridge port
add bridge=local-bridge interface=Eth2_Master
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=CM_IPSec2017
/ip address
add address=172.16.0.1/24 interface=local-bridge network=172.16.0.0
/ip dhcp-client
add dhcp-options=hostname disabled=no interface=Eth1-ext
/ip dhcp-server network
add address=172.16.0.0/24 dns-server=8.8.8.8 gateway=172.16.0.1 netmask=24
/ip firewall filter
add action=accept chain=input disabled=yes protocol=icmp
add action=accept chain=forward disabled=yes protocol=icmp
add action=accept chain=input in-interface=Eth1-ext port=1701,500,4500 \
    protocol=udp
add action=accept chain=input in-interface=Eth1-ext protocol=ipsec-esp
add action=drop chain=input in-interface=Eth1-ext
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Eth1-ext
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh address=10.0.0.0/8
/ppp secret
add name=гuser password=***** profile=L2TP_SRV_CToS service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system routerboard mode-button
set enabled=no on-event=""


Прошу не ругать сильно, только учусь =)


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. Forward - не важно куда, важно что через... Хотя может я не совсем понял, что вы спрашиваете.
2. Снимать галочку "Маршрут по-умолчанию" на подключении клиента.

Предвосхищая события: разрулить трафик на VPN и интернет простым способом не получится. Для windows клиентов есть много разных способов, самый простой - это bat файл, который будет добавлять нужные маршруты, но пользователь должен его запускать сам, после установки VPN соединения. Также для вин клиентов есть специальная утилита CMAK, но она не работает на win10, а может на win8, фиг ее знает и не сильно проста в установке и настройке.
Есть вариант не давать интернет VPN клиентам совсем. Пока подключен - нет интернета, делайте свои дела в корпоративной сети, нужен интернет - отключайся.


PetrT
Сообщения: 11
Зарегистрирован: 12 дек 2017, 13:11

Спасибо. Пошел читать документацию дальше.


Ответить