L2TP в LAN должна РОУТИТСЯ или НАТИТСЯ ???

chip_21 · 26 янв 2018, 11:44

Добрый день, бьюсь над проблемой как рыба об лед. Создал L2TP/IPSEC по инструкции https://bozza.ru/art-248.html, сеть L2TP 192.168.205.0 , для LAN 192.168.0.0. Некоторые пишут в комментария что без проблем пингуют сеть LAN за роутером.
У меня не получается , я не могу понять - сеть L2TP в сеть LAN должна РОУТИТСЯ или НАТИТСЯ ???????
Если у людей получается без NATа , значит у них сеть роутится, у меня даже с галочкой «Использовать основной шлюз в удаленной сети» не выходит. Но получается если запихнуть впн пользователей в пул LAN и включить фокус Proxy-arp.
Также добился успеха в пинговании сети за роутером (сети LAN и L2TP разные) прописав NAT для сети L2TP
chain=srcnat action=masquerade src-address=192.168.205.0/24 dst-address=192.168.0.0/24 out-interface=all-ethernet
192.168.205.0/24 – сеть L2TP, 192.168.0.0/24- сеть LAN.

В идеале нужно чтобы пользователи из сети L2TP при обращении на 192.168.205.205 попадали в сель LAN на 192.168.0.250. Я так понимаю что NETMAP мне поможет , но знаний не хватает ).

enzain · 26 янв 2018, 13:27

Конфиг выложите.

Сеть за ВПН надо роутить, в данном случае, это нормально.
Прокси арп выключите, диапахон адресов у вас РАЗНЫЙ, так что не нужно это.

chip_21 · 26 янв 2018, 14:12

enzain писал(а):Конфиг выложите.

Сеть за ВПН надо роутить, в данном случае, это нормально.

Тоесть нужем маршрут в ВПН сеть ???
ip route add dst-address=192.168.250.0/24 gateway=192.168.205.1
где 192.168.205.1 Local adress в PPP профиле

config

enzain · 26 янв 2018, 15:06

маршруты там прописаны будут автоматом, не надо ничего ручками добавлять, они коннектед.

у вас роутер 1?
Или несколько?

И какие адреса получают у вас клиенты?
Вы это проверили?

chip_21 · 26 янв 2018, 15:20

один роутер , нужно клиентам ВПН смотреть в ЛАН

enzain · 26 янв 2018, 15:25

chip_21 писал(а):один роутер , нужно клиентам ВПН смотреть в ЛАН

Почему у вас в профиле нет ремот адреса? Прописан в пользователях?

Когда коннектится пользователь - у вас появляется маршрут автоматически. В приведенном списке он у вас есть, с маской /32

Так что нат убирайте в обе стороны. Он не нужен

И смотрите правила файрвола. А лучше для теста потушите все их

на клиентах или дефолт роут у ВПН или маршрут в локалку прописан ручками?

chip_21 · 26 янв 2018, 15:50

ремоут адрес есть, не все скопировал
/ppp profile
add change-tcp-mss=yes local-address=192.168.205.1 name=L2TP-PROFILE \
remote-address=POOL-VPN use-encryption=yes
/ip pool
add name=POOL-LAN ranges=192.168.0.2-192.168.0.199
add name=POOL-VPN ranges=192.168.205.3-192.168.205.10
в настройках пользователей РРР Secret выбран профиль L2TP-PROFILE и все

enzain · 26 янв 2018, 16:15

чистите нат, и показывайте настройки файрвола (фильтров)

chip_21 · 26 янв 2018, 16:18

в подключении клиента стоит галочка «Использовать основной шлюз в удаленной сети»

маршрут то создается к впн юзеру, и в ЛАН я так понимаю есть маршрут, firewall вырубаю

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.8.1 0
1 DC 172.16.44.0/24 172.16.44.1 ether10 255
2 ADC 192.168.0.0/24 192.168.0.1 ether3 0
3 ADC 192.168.8.0/24 192.168.8.107 ether1 0
4 ADC 192.168.205.10/32 192.168.205.1 VPNюзерBinding 0

chip_21 · 26 янв 2018, 16:24

пингую я 192.168.0.1 из клиента ВПН
интересно что в из ЛАНА я могу пинговать Remote Address (192,168,205,10)клиента ВПН :sh_ok:

и по IР 192,168,205,10 могу зайти на комп клиента ВПН
но не наоборот - не могу из клиента ВПН пинговать ЛАН :ps_ih:

L2TP в LAN должна РОУТИТСЯ или НАТИТСЯ ???

Вход • Регистрация