Настройка VPN между Mikrotik и телефоном.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
timofey
Сообщения: 16
Зарегистрирован: 30 сен 2018, 10:18

Хочу настроить l2tp-туннель между телефоном на андроид и микротике. Схема такая: Микротик-adsl модем PPPoE-интернет. А телефон к интернету будет подключаться по мобильной сети. Так вот сколько я не пытался, у меня нет коннекта. Даже сам микротик к своему vpn не подключается. Мне кажется, что дело в ADSL-модеме. Может быть он как-то мешает? Знаю, что можно его настроить как бридж и подключатся по PPPoE к провайдеру с микротика сразу, но мне это не подходит. Как мне сделать, чтобы все работало? Сразу говорю, я практически новичок в микротике.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

timofey писал(а): 06 апр 2019, 10:56 Хочу настроить l2tp-туннель между телефоном на андроид и микротике. Схема такая: Микротик-adsl модем PPPoE-интернет. А телефон к интернету будет подключаться по мобильной сети. Так вот сколько я не пытался, у меня нет коннекта. Даже сам микротик к своему vpn не подключается. Мне кажется, что дело в ADSL-модеме. Может быть он как-то мешает? Знаю, что можно его настроить как бридж и подключатся по PPPoE к провайдеру с микротика сразу, но мне это не подходит. Как мне сделать, чтобы все работало? Сразу говорю, я практически новичок в микротике.
!!! Ваша тема перенесена в другую рубрику, для Начинающих !!!

1) Во-первых, Вы бы хотя бы основы сетей прочитали.
Как Вы хотите сделать ВПН, если оба устройства не могут быть видны с Интернета?
То есть чтобы оказаться в ресторане, Вам надо знать адрес ресторана и он должен быть
реальный. Ваш ВПН -сервер имеет адрес? Он публичный с Интернета? (реальный)

2) Мне очень интересна фраза Ваша " сам микротик к своему ВПНу не смог подключиться",
очень бы хотел чтобы Вы подробно рассказали что и как Вы делали

3) Не совсем понял логики, почему Вам не выгодно чтобы РРРоЕ был на микротике, прошу именно
на этот вопрос ответить.

Вот тема, похожа на Вашу, viewtopic.php?f=1&t=9917
Прочтите её, внимательно, там лёгкий экскурс что такое доступ, адреса и так далее.
Потом жду от Вас более детальный ответов и вопросов, хотя после статьи,
процентов 85% сразу должно быть понятно



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
timofey
Сообщения: 16
Зарегистрирован: 30 сен 2018, 10:18

1) Во-первых, Вы бы хотя бы основы сетей прочитали.
Как Вы хотите сделать ВПН, если оба устройства не могут быть видны с Интернета?
То есть чтобы оказаться в ресторане, Вам надо знать адрес ресторана и он должен быть
реальный. Ваш ВПН -сервер имеет адрес? Он публичный с Интернета? (реальный)
Это обязательно, чтобы они были напрямую в интернет подключены? Адрес не публичный.
2) Мне очень интересна фраза Ваша " сам микротик к своему ВПНу не смог подключиться",
очень бы хотел чтобы Вы подробно рассказали что и как Вы делали
Настраивал микротик как клиент к своему же VPN. Если же все правильно настроено, должно подключаться, нет?
3) Не совсем понял логики, почему Вам не выгодно чтобы РРРоЕ был на микротике, прошу именно
на этот вопрос ответить.
На микротике мне не будет хватать lan-портов, конечно, можно купить коммутатор, но это деньги.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) ВПН-это служба, это сервис, чтобы ею воспользоваться - надо к ней подключиться.
Чтобы подключиться, надо чтобы ВПН-служба была доступна с Интернета,
значит у ВПН службы должен быть реальный (публичный) адрес,
так как ВПН делается на Микротике = значит адрес должен быть на микротике,
так как адрес внешний(от провайдера) появляется обычно на РРРоЕ интерфейсе,
то значит РРРоЕ должен быть также на микротике.

2) Я так и не могу Вас понять..как Вы настраивали ВПН-клиента внутри микротика
для подключения к ВПН-серверу микротика?

3) И на счёт портов, напомните мне, ибо я давно уже не использую xDSL-технологию,
но на сколько я знаю, у модемов xDSL обычно 1 порт, и всё ?
3.1) Также опишите, какой у Вас роутер (микротик я имею ввиду какая модель) и сколько у
Вас потребителей?
3.2) Обычно если требуется умное управления, контроллировать подключение,
делать пробросы, иметь реальный адрес и ряд других моментов, то только роутер
может это делать и адрес реальный и подключение к провайдеру он должен делать.
Модем xDSL это коробка для связи, она тупая, и как я уже дважды Вам показываю
на основе сетевых знаний = Ваши желания, не делая как правильно и как положено
не получиться сделать.
И как Вам не хватает портов? Если у Вас 2-3 телевизора и 3 компа то да, но тогда
проще купить свитч настольный за 400-800 руб. и туда подключить мелкие устройства,
теже телевизоры, и так далее, а уже свитч одним проводом в роутер микротик.

Ещё раз, я не хочу вытягивать информацию, мы на техническром форуме,
где описание Вашей сети, кто провайдер, сколько портов, как подключено,
сколько клиентов, какой роутер модели, и прочее....
Представьте что Вы у терапевта = рассказывайте, но с цифрами, с деталями.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
andrey.nekto
Сообщения: 1
Зарегистрирован: 22 сен 2022, 09:04

ВПН-это служба, это сервис, чтобы ею воспользоваться - надо к ней подключиться.
Согласен.
Чтобы подключиться, надо чтобы ВПН-служба была доступна с Интернета
Обязательно ли ? Не соглашусь с Вами. Вы вводите людей в заблуждение.


lemark710
Сообщения: 4
Зарегистрирован: 04 июл 2022, 13:38

Всем добрый день.
Буду благодарен если подскажите.
Микротик1 на нем поднят l2tp ipsec с белым ip. Все ip клиентов прописаны в ручную локалный 50,50,50,1 удаленный 50.50.50.10 ну и т.д.
Почти все подключения по l2tp настроены как микротикN к микроту1 создана локалка, клиенты впн в фаерволе могут ходить только на два определенных Ip в локалке микрота1 локалка в 192.168.1.0/24 все организовано в фаерволе правилами forward input и foraward drop с используемым листами доступа ip.
В случае локалки все работает как нужно. Все машины удаленые видят два Ip по определенным портам, а эти две машины видят все компы удаленные. (интернет через впн не гуляет)
Теперь понадобилось одного клиента с телефона билайн через впн пустить в интернет.
у клиента Ip по впн 50,50,50,10 интерфейс l2tp_vpn в сервербиндинг прописан, соединение vpn есть, трафик глуляет.
создаю правило в NAT scrnat src adres 50.50.50.10 на актион масгарад
Далее в route создаю маршур 0,0,0,0 шлюз l2tp_vpn дистанци 1 помимо созданного маршрута автоматом 50,50,50,50 шлюз l2tp_vpn локал адрес 50,50,50,1
Пробовал через мангл маркирвоать трафик HTTP
Пробовал прописывать маршруты через маркировку трафика.
Но на телефоне интернет не заводится.
Причем вижу как с телефона идут запросы, соединение впн есть. А интернета нет совсем.


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

lemark710 писал(а): 22 сен 2022, 10:21 Всем добрый день.
Буду благодарен если подскажите.
Микротик1 на нем поднят l2tp ipsec с белым ip. Все ip клиентов прописаны в ручную локалный 50,50,50,1 удаленный 50.50.50.10 ну и т.д.
Почти все подключения по l2tp настроены как микротикN к микроту1 создана локалка, клиенты впн в фаерволе могут ходить только на два определенных Ip в локалке микрота1 локалка в 192.168.1.0/24 все организовано в фаерволе правилами forward input и foraward drop с используемым листами доступа ip.
В случае локалки все работает как нужно. Все машины удаленые видят два Ip по определенным портам, а эти две машины видят все компы удаленные. (интернет через впн не гуляет)
Теперь понадобилось одного клиента с телефона билайн через впн пустить в интернет.
у клиента Ip по впн 50,50,50,10 интерфейс l2tp_vpn в сервербиндинг прописан, соединение vpn есть, трафик глуляет.
создаю правило в NAT scrnat src adres 50.50.50.10 на актион масгарад
Далее в route создаю маршур 0,0,0,0 шлюз l2tp_vpn дистанци 1 помимо созданного маршрута автоматом 50,50,50,50 шлюз l2tp_vpn локал адрес 50,50,50,1
Пробовал через мангл маркирвоать трафик HTTP
Пробовал прописывать маршруты через маркировку трафика.
Но на телефоне интернет не заводится.
Причем вижу как с телефона идут запросы, соединение впн есть. А интернета нет совсем.
нужна отдельная таблица маршрутизации+ту же марку в нат правиле
или создать адрес лист для интернета в src


lemark710
Сообщения: 4
Зарегистрирован: 04 июл 2022, 13:38

KaNelam писал(а): 22 сен 2022, 18:38
lemark710 писал(а): 22 сен 2022, 10:21 Всем добрый день.
Буду благодарен если подскажите.
Микротик1 на нем поднят l2tp ipsec с белым ip. Все ip клиентов прописаны в ручную локалный 50,50,50,1 удаленный 50.50.50.10 ну и т.д.
Почти все подключения по l2tp настроены как микротикN к микроту1 создана локалка, клиенты впн в фаерволе могут ходить только на два определенных Ip в локалке микрота1 локалка в 192.168.1.0/24 все организовано в фаерволе правилами forward input и foraward drop с используемым листами доступа ip.
В случае локалки все работает как нужно. Все машины удаленые видят два Ip по определенным портам, а эти две машины видят все компы удаленные. (интернет через впн не гуляет)
Теперь понадобилось одного клиента с телефона билайн через впн пустить в интернет.
у клиента Ip по впн 50,50,50,10 интерфейс l2tp_vpn в сервербиндинг прописан, соединение vpn есть, трафик глуляет.
создаю правило в NAT scrnat src adres 50.50.50.10 на актион масгарад
Далее в route создаю маршур 0,0,0,0 шлюз l2tp_vpn дистанци 1 помимо созданного маршрута автоматом 50,50,50,50 шлюз l2tp_vpn локал адрес 50,50,50,1
Пробовал через мангл маркирвоать трафик HTTP
Пробовал прописывать маршруты через маркировку трафика.
Но на телефоне интернет не заводится.
Причем вижу как с телефона идут запросы, соединение впн есть. А интернета нет совсем.
нужна отдельная таблица маршрутизации+ту же марку в нат правиле
или создать адрес лист для интернета в src
Не особо понял.
У меня интернет раздается только ip адресам которые в группе internet
IP vpn Добавлен в эту группу


Ответить