Как правильно настроить доступ в локальную сеть на MikroTik'e для VPN клиентов?

Обсуждение ПО и его настройки
Ответить
maksim.kosolapov
Сообщения: 4
Зарегистрирован: 20 сен 2018, 11:50

Здравствуйте, столкнулся со следующей проблемой при получении доступа от VPN клиентов, которые подключаются в локальную сеть, Суть вопроса в следующем, на Mikrotik приходят 2 провайдера, для работы в локальной сети настроено 2 шлюза. Первый порт шлюза входит в бридж, второй порт шлюза работает отдельно, оба адреса шлюзов входят в одну подсеть. Пользователи получают интернет от первого провайдера провайдера через первый шлюз, от второго провайдера посредством routing mark на второй шлюз, VPN подключение происходит через первого провайдера, но когда VPN пользователи пытаются получить доступ к локальным ресурсам, то не маркированный трафик от клиентов Mikrotik по своему алгоритму делит между этими двумя шлюзами и если запрос от клиента пришел через второй шлюз, то доступ он получить не может, так как второй шлюз обрабатывается вторым провайдером, который не задействован в подключении по VPN, можно ли сделать так чтобы все входящие запросы приходили на первый шлюз первого провайдера который входит в bridge?


SergeyZ
Сообщения: 111
Зарегистрирован: 10 сен 2018, 09:07
Откуда: Санкт-Петербург

Что-то намудрено..
Если два локальных шлюза, то делайте 2 подсети и не нужна маркировка маршрута.
Если маршрут маркируете, то делайте один локальный шлюз, а за шлюзом отправляйте трафик на нужный маршрут в соответствии с маркировкой.

А вообще - выкладывайте конфиг. Так будет быстрее и проще.


vbsev
Сообщения: 84
Зарегистрирован: 19 авг 2018, 09:35

Из описания я понял, что по vpn подключаются через 1 шлюз и должны туда же уходить. Через второй шлюз ходят маркированные пакеты.

Тогда ваша задача сделать так, чтобы впн-овские соединения не маркировались.
В правилах маркировки поставить исключение в виде ! и указать критерий относящийся к впн. Или сеть или адреса или интерфейсы или еще что-нибудь.


maksim.kosolapov
Сообщения: 4
Зарегистрирован: 20 сен 2018, 11:50

/interface bridge
add fast-forward=no name=LAN
add fast-forward=no name=TCBrige
/interface ethernet
set [ find default-name=ether1 ] comment="WAN KvantTelecom" speed=100Mbps
set [ find default-name=ether2 ] comment="WAN Rostelecom" speed=100Mbps
set [ find default-name=ether3 ] comment="LAN Rostelekom" speed=100Mbps
set [ find default-name=ether4 ] comment="Wi-Fi Router" speed=100Mbps
set [ find default-name=ether5 ] comment="\C8\E3\F0\EE\E2\FB\E5 TCBridge" speed=100Mbps
set [ find default-name=ether6 ] comment="\D2\E5\F5\D6\E5\ED\F2\F0 TCBridge" speed=100Mbps
set [ find default-name=ether7 ] comment="LAN Kvant-Telekom" speed=100Mbps
set [ find default-name=ether8 ] comment="KvantTelekom \CC\E5\E6\EE\F4\E8\F1\ED\E0\FF" loop-protect=off name="ether8 KVANT LAN" speed=100Mbps
set [ find default-name=ether9 ] comment=Freedom loop-protect=on name="ether9 Freedom LAN" speed=100Mbps
set [ find default-name=ether10 ] speed=100Mbps
set [ find default-name=ether11 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether12 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether13 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface pppoe-client
add comment=Rostelecom disabled=no interface=ether2 keepalive-timeout=60 name=pppoe-out1 password=xxxxxxxx user=yyyyyyyy
add name=l2tp-Kursk user=Kursk
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=TC-pool ranges=192.168.45.10-192.168.45.80
/ip dhcp-server
add address-pool=TC-pool authoritative=after-2sec-delay disabled=no interface=TCBrige name=DHCPTC
/interface bridge port
add bridge=LAN hw=no interface=ether7
add bridge=LAN hw=no interface="ether8 KVANT LAN"
add bridge=LAN hw=no interface="ether9 Freedom LAN"
add bridge=TCBrige hw=no interface=ether6
add bridge=TCBrige hw=no interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=xxxxxxx use-ipsec=yes
/interface list member
add interface=ether2 list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface="ether8 KVANT LAN" list=discover
add interface="ether9 Freedom LAN" list=discover
add interface=ether10 list=discover
add interface=ether11 list=discover
add interface=ether12 list=discover
add interface=ether13 list=discover
add interface=LAN list=discover
add interface=TCBrige list=discover
add interface=l2tp-Kursk list=discover
add interface=pppoe-out1 list=discover
add interface=ether7 list=mactel
add interface=ether7 list=mac-winbox
/ip address
add address=31.210.209.59/24 comment=WAN interface=ether1 network=31.210.209.0
add address=172.16.32.13/19 interface=ether7 network=172.16.32.0
add address=192.168.45.1/24 interface=TCBrige network=192.168.45.0
add address=192.168.20.1/30 interface=ether4 network=192.168.20.0
add address=172.16.32.8/19 interface=ether3 network=172.16.32.0
/ip dhcp-server network
add address=192.168.45.0/24 dns-server=172.16.32.10 domain=RIAN.LOCAL gateway=192.168.45.1 netmask=24
/ip dns
set servers=8.8.8.8
Последний раз редактировалось maksim.kosolapov 21 сен 2018, 12:29, всего редактировалось 1 раз.


maksim.kosolapov
Сообщения: 4
Зарегистрирован: 20 сен 2018, 11:50

Спасибо буду пробывать


vbsev
Сообщения: 84
Зарегистрирован: 19 авг 2018, 09:35

И сообщение подредактируйте - пароли поудаляйте


maksim.kosolapov
Сообщения: 4
Зарегистрирован: 20 сен 2018, 11:50

Спасибо большое за совет, с помощью настрое маркировки, проблему решил


Ответить