expressvpn l2tp заворачивание трафика в vpn

[mitsu13]

1. Делаю подключение через l2tp.
/interface l2tp-client
add add-default-route=yes connect-to=italy1-ubuntu-l2tp.expressprovider.com disabled=no ipsec-secret=12345678 max-mru=1460 max-mtu=1460 name=l2tp-out1 password=pass profile=default use-ipsec=yes user=login

2. Делаю нат на интерфейс.
/ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-out1 src-address=192.168.88.0/24

далее у меня ступор. и ничего не работатет.
почему не заворачивается все в ВПН?.

 export

# jun/05/2019 15:06:09 by RouterOS 6.43.4
# software id = 77I8-PCTN
#
# model = RouterBOARD 750G r3
# serial number = 6F38067EA0ED
/interface bridge
add admin-mac=6C:3B:6B:44:DE:D7 auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface l2tp-client
add add-default-route=yes connect-to=italy1-ubuntu-l2tp.expressprovider.com disabled=no ipsec-secret=12345678 max-mru=1460 max-mtu=1460 name=l2tp-out1 password=pass profile=default use-ipsec=yes user=login
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-out1 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN src-address=!192.168.88.0/24
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Erik_U]

Чтобы заворачивалось, нужно чтобы соединение было установлено.
Оно установлено?

[mitsu13]

статус подключен




попробовал через winndows 10 подключиться. Работает.
То есть логин и пароль правильные.
Значит что то докрутить нужно у микротика.

[mitsu13]

еще попытка была сделать через маркирвоание трафика. но тоже что то не пошло (((.

 export

/interface bridge
add admin-mac=6C:3B:6B:44:DE:D7 auto-mac=no comment=defconf name=bridge
/interface l2tp-client
add connect-to=italy1-ubuntu-l2tp.expressprovider.com disabled=no ipsec-secret=12345678 max-mru=1460 max-mtu=1460 name=l2tp-out1 password=pass use-ipsec=yes user=login
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=192.168.88.254 list=VPN
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=VPN new-routing-mark=vpn
/ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-out1
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=l2tp-out1 routing-mark=vpn
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Erik_U]

На сервере, к которому вы подключаетесь нет ли каких ограничений? К нему можно легально подключать подсети? Или он строго для инивидуального клиента?

С самого микротика сделайте Tools:Traceroute до до какого нибудь 8.8.8.8
А потом с компьютера туда же.

Увидите, где заканчивается сказка.

Если это оно = https://www.expressvpn.com/vpn-software
там есть разные "продукты".

Ддя подключения роутеров - продукт VPN for Wi-Fi router
https://www.expressvpn.com/vpn-software/vpn-router

У вас какой?

[mitsu13]

"Вы можете установить приложения ExpressVPN на неограниченное количество устройств и одновременно подключить до 3 из них."

К примеру инструкция на dlink совсем простая. https://www.expressvpn.com/support/vpn- ... with-l2tp/

Может у меня какой то фильтр давит?

[Erik_U]

Тогда это.

С самого микротика сделайте Tools:Traceroute до до какого нибудь 8.8.8.8
А потом с компьютера туда же.

Ну и отключите временно все дропы в фильтрах. Если сомневаетесь.

[mitsu13]

1. максимум облегчил конфигурацию.

 export

/interface bridge
add admin-mac=6C:3B:6B:44:DE:D7 auto-mac=no comment=defconf name=bridge
/interface l2tp-client
add add-default-route=yes connect-to=uk1-ubuntu-l2tp.expressprovider.com disabled=no ipsec-secret=12345678 max-mru=1460 max-mtu=1460 name=l2tp-out1 password=pass use-ipsec=yes user=login
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=!192.168.88.0/24
/system clock
set time-zone-name=Europe/Moscow

1. если я в строчке add action=masquerade chain=srcnat src-address=192.168.88.0/24 прописываю out-interface=l2tp-out1 сразу пропадает интернет на компьютере. нет пинга. нет трасиировки.
2. Пинг и трассировка на самом роутере работает постоянно. Почему?


до out-inte...
C:\Users\admin>tracert ya.ru

Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.88.1
2 <1 мс <1 мс <1 мс 172.16.100.1
3 <1 мс <1 мс <1 мс 5-101-12-254.umnyeseti.ru [5.101.12.254]
4 * * * Превышен интервал ожидания для запроса.
5 1 ms 1 ms 1 ms 185-17-155-129.umnyeseti.ru [185.17.155.129]
6 13 ms 17 ms 25 ms dante.yndx.net [195.208.208.93]
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 7 ms 7 ms 7 ms ya.ru [87.250.250.242]

Трассировка завершена.

после. включения явно интерфейса...

C:\Users\admin>tracert ya.ru

Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.88.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * ^C






http://www.decker.su/2015/10/vpn-mikrot ... setup.html

попытка прикрутить через маркирование.
опять глухо. интернет теперь на устройстве не отваливается но и в впн не идет (((.

 export

/interface bridge
add admin-mac=6C:3B:6B:44:DE:D7 auto-mac=no comment=defconf name=bridge
/interface l2tp-client
add connect-to=uk1-ubuntu-l2tp.expressprovider.com disabled=no ipsec-secret=12345678 max-mru=1460 max-mtu=1460 name=l2tp-out1 password=\
pass use-ipsec=yes user=login
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.88.254 list=vpn-out
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=vpn-out new-routing-mark=vpn-out passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-out1
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=l2tp-out1 routing-mark=vpn-out
/system clock
set time-zone-name=Europe/Moscow

[Erik_U]

Когда L2TP подключен какие IP есть в IP.Adresses (интересно, какие адреса назначаются L2TP соединению)?

1. А если не прописывать подсеть?

Это правило отключите

Код: Выделить всё

add action=masquerade chain=srcnat out-interface=ether1 src-address=!192.168.88.0/24

Или уберите ! у адреса. Не понятно, зачем такое правило.

Предполагаю, что пропадает пинг при добавлении out-interface потому, что не работает маршрутизация. Без out-interface=l2tp-out1 все идет через ether1, значит именно туда ведер дефолтный маршрут.

Сделайте скриншот IP.Routes. (то, что автоматически создается не попадает в экспорт)

2. у роутера всегда есть соединение, или через ether1 или через l2tp-out1, это у клиентов проблемы. Так и должно быть.

Попробуйте выключить add default route в dhcp клиенте на ether1 и в l2tp-out1. Чтобы ничего не добавлялось автоматом.

А в IP.Routes добавьте маршрут на 0.0.0.0/0 через интерфейс ether1 с метрикой 2
и маршрут на 0.0.0.0/0 через интерфейс l2tp-out1 с метрикой 1.

[mitsu13]

А в IP.Routes добавьте маршрут на 0.0.0.0/0 через интерфейс ether1 с метрикой 2
и маршрут на 0.0.0.0/0 через интерфейс l2tp-out1 с метрикой 1.

 export

/interface bridge
add admin-mac=6C:3B:6B:44:DE:D7 auto-mac=no comment=defconf name=bridge
/interface l2tp-client
add connect-to=uk1-ubuntu-l2tp.expressprovider.com disabled=no ipsec-secret=12345678 max-mru=1460 max-mtu=1460 name=vpn-out password=loguse-ipsec=yes user=pass
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add add-default-route=no comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=vpn-out
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=vpn-out
add distance=2 gateway=172.16.100.1
/system clock
set time-zone-name=Europe/Moscow

ситуация в следующем. роутер загружается и работает. основной провайдер работает. далее л2тп подключается и интернет пропадает. через минуту л2тп заново переподключается так как основной инет отваливается в момент подключения л2тп. и так покругу.