Настройка маршрута из одного туннеля в другой

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
amiton
Сообщения: 16
Зарегистрирован: 08 ноя 2017, 19:45

Добрый день, коллеги
Чувствую, что вопрос глупый, но никак не могу сообразить, как сделать.
Есть 2 Микротика (см. схему):
Изображение
Микр1, лок IP:192.168.3.1, vpn 10.189.3.100
Микр2, лок IP: 192.168.6.1, vpn 10.189.3.101
Между ними поднят туннель по L2TP+IPSEC, в маршрутах на Микр1 и Микр2 созданы правила для доступа в сети друг друга (см. рис 1 и 2)
Изображение
Изображение
с компьютера №1, который непосредственно подключен к Микр1 я имею свободный доступ к Микр2 и к компьютерам за ним и наоборот.
но с компьютера №3, который подключен к Микр1 по L2TP+IPSEC (из дома) я не имею доступа к Микр2 и компьютерам за ним.
на компьютере №3 я добавил 2 маршрута для доступа к 3 подсети и к 6 подсети.
Изображение
но например ping 192.168.6.1 или к 6.11 не работает.
tracert 192.168.6.1 затыкается на 10.189.3.100
больше я ничего не прописывал в правилах.
подскажите пожалуйста, как получить доступ с компьютера №3 к Микр2 и к компьютерам за ним.


Вернуться к началу
gmx
Модератор
Сообщения: 3305
Зарегистрирован: 01 окт 2012, 14:48

А не проще ли компьютеру, который поключается по VPN дать адрес из подсети 192.168.3.0/24?
То есть сделать так, чтобы микротик 1 думал, что это его локальный компьютер? Но, в таком случае, если ничего не менять на компе, весь трафик пойдет через Микротик 1. Если нужно разруливать подсети и интеренет, то используйте команду route на компе.

Если уж совсем паравильно делать, то ставьте дома еще один микротик и прописывайте на нем постоянный vpn коннект и необходимые маршруты, и ограничения. А еще, делайте на каждое vpn подключение, где клиент и сервер роутеры, отдельные подсети, потом будет проще понять, что к чему и маршрутизировать.


Вернуться к началу
mafijs
Сообщения: 536
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Опять будет старый трюк с Windows Firewall.
Надо разрешить ICMPv4 в Firewall


Вернуться к началу
Erik_U
Сообщения: 1770
Зарегистрирован: 09 июл 2014, 12:33

На сервере VPN (микротик1) для всех L2TP клиентов создаете в интерфейсах L2TP Server Binding. По вашей схеме должно их быть 2. Для каждого User.
В PPP.Secrets на микротик1 создаете этих 2-х юзеров. Для каждого прописываете Local Address (он будет на L2TP интерфейсе со стороны микротик1) и Remote Address (он будет у L2TP клиента на интерфейсе L2TP).
В PPP.Profiles создаете для этих 2-х юзеров профиль. В котором Local Address и Remote Address не заполняете, и обязательно ставите Only One - Yes.
На микротике2 прописываете маршрут до Remote Address PC3
На микротике 1 маршруты до сети 192.168.6.х и до Remote Address микротик2.


Вернуться к началу
Аватара пользователя
amiton
Сообщения: 16
Зарегистрирован: 08 ноя 2017, 19:45

Коллеги спасибо за ответы
gmx писал(а): 29 янв 2020, 08:51 А не проще ли компьютеру, который поключается по VPN дать адрес из подсети 192.168.3.0/24?
Такой вариант конечно работает. Убрал галку со шлюза по умолчанию в Виндоус, прописал маршруты вручную - всё норм.
Но этот вариант мне кажется не очень правильный. Оставлю его на крайний случай ) Спасибо )
mafijs писал(а): 29 янв 2020, 09:28 Надо разрешить ICMPv4 в Firewall
ICMP разрешен. Дело не в этом.
Erik_U писал(а): 29 янв 2020, 09:50 На сервере VPN (микротик1) для всех L2TP клиентов создаете в интерфейсах L2TP Server Binding
Я обычно создаю только для туннелей Микротик-Микротик. Думал это используется для более понятного отображения информации. У этого есть ещё какая функция?

я не очень понял вот эту вашу фразу:
Erik_U писал(а): 29 янв 2020, 09:50 В PPP.Secrets на микротик1 создаете этих 2-х юзеров. Для каждого прописываете Local Address (он будет на L2TP интерфейсе со стороны микротик1) и Remote Address (он будет у L2TP клиента на интерфейсе L2TP)
Про Secrets понятно - иначе бы пользователи не авторизовались бы вообще и соединения бы не устанавливалось.
В данный момент в Secrets на Микротик1 прописано:
для 2 микротика: name: vpn-tun-mikr2, Local Address - 10.189.3.100, Remote Address - 10.189.3.101
Для пользователя который подключается по vpn (PC3): name: vpnuser, Local Address - 10.189.3.100, Remote Address - 10.189.3.3
Если я правильно понял, у меня было всё сделано по вашей инструкции

Сейчас на Микротик2 добавил маршрут
dst.add - 10.189.3.0/24, gateway - 10.189.3.100 и всё заработало.
Как-то пропустил, что Микротику2 нужно куда-то возвращать пакеты
Спасибо большое!!


Вернуться к началу
Erik_U
Сообщения: 1770
Зарегистрирован: 09 июл 2014, 12:33

amiton писал(а): 30 янв 2020, 17:40 quote=Erik_U post_id=68317 time=1580280628 user_id=8391]
На сервере VPN (микротик1) для всех L2TP клиентов создаете в интерфейсах L2TP Server Binding
Я обычно создаю только для туннелей Микротик-Микротик. Думал это используется для более понятного отображения информации. У этого есть ещё какая функция?[/quote]

Для того, чтобы прописывать маршрут через интерфейс, например. Или использовать его имя в фильтрах и правилах. Или в OSPF. Или в интерфейс-листах.
amiton писал(а): 30 янв 2020, 17:40я не очень понял вот эту вашу фразу:
Erik_U писал(а): 29 янв 2020, 09:50 В PPP.Secrets на микротик1 создаете этих 2-х юзеров. Для каждого прописываете Local Address (он будет на L2TP интерфейсе со стороны микротик1) и Remote Address (он будет у L2TP клиента на интерфейсе L2TP)
Про Secrets понятно - иначе бы пользователи не авторизовались бы вообще и соединения бы не устанавливалось.
В данный момент в Secrets на Микротик1 прописано:
для 2 микротика: name: vpn-tun-mikr2, Local Address - 10.189.3.100, Remote Address - 10.189.3.101
Для пользователя который подключается по vpn (PC3): name: vpnuser, Local Address - 10.189.3.100, Remote Address - 10.189.3.3
Если я правильно понял, у меня было всё сделано по вашей инструкции
Не правильно у вас настроено. У вас у обоих одинаковый Local Address. Сделайте разными.


Вернуться к началу
Аватара пользователя
amiton
Сообщения: 16
Зарегистрирован: 08 ноя 2017, 19:45

Erik_U писал(а): 31 янв 2020, 08:18 Не правильно у вас настроено. У вас у обоих одинаковый Local Address. Сделайте разными.
Если я правильно понял, для каждого клиента должна быть уникальная пара Local/Remote Address?
То есть для клиента1 - Loc.Add 10.189.3.100, Remote - 10.189.3.200
клиент2 - Loc.Add 10.189.3.101, Remote - 10.189.3.201 и т.д.
или вообще использовать разные подсети?
я просто всегда думал, что local address в этой связке это VPN адрес сервера, к которому я подключаюсь
и в этой инструкции вроде как loc.add для всех клиентов один и тот же:
http://mikrotik.vetriks.ru/wiki/VPN:L2T ... %82%D0%B2)


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»