настройка l2tp с нуля

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

vladimir.kolesnikov писал(а): 12 фев 2021, 15:33 назначил для
Local Address 192.168.0.1
Remote Address 192.168.0.2
соответственно при подключении l2tp получаю адрес 192.168.0.2.
теперь чтобы получить доступ к сегменту (video) - 192.168.1.0
нужно:
Чтобы у всех хостов в этом сегменте дефолт роутер был 192.168.1.201
Как в этом сегмента адреса назначаются?


vladimir.kolesnikov
Сообщения: 12
Зарегистрирован: 19 окт 2018, 20:22

Erik_U писал(а): 15 фев 2021, 10:27
vladimir.kolesnikov писал(а): 12 фев 2021, 15:33 назначил для
Local Address 192.168.0.1
Remote Address 192.168.0.2
соответственно при подключении l2tp получаю адрес 192.168.0.2.
теперь чтобы получить доступ к сегменту (video) - 192.168.1.0
нужно:
Чтобы у всех хостов в этом сегменте дефолт роутер был 192.168.1.201
Как в этом сегмента адреса назначаются?
спасибо! заработало
в совокупности с
исправил маршрут на АРМ
route add 192.168.0.0 mask 255.255.253.0 192.168.0.1 if 38
 
[admin@MikroTik] >> /export hide-sensitive
# jul/31/1970 00:53:01 by RouterOS 6.48
# software id = MNX0-X2U2
#
# model = CRS112-8P-4S
# serial number = 9B2007FF7A45
/interface l2tp-server
add name=l2tp-in1 user=user
/interface bridge
add name=br-lan protocol-mode=none
add name=br-video protocol-mode=none
/interface list
add name=list1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=vpn-pool ranges=192.168.1.202,192.168.1.203
/ppp profile
add change-tcp-mss=no name=l2tp only-one=yes use-compression=yes use-encryption=yes use-mpls=no use-upnp=no
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=br-video interface=ether4
add bridge=br-lan interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes use-ipsec=yes
/ip address
add address=192.168.1.201 interface=ether4 network=255.255.255.0
/ip dhcp-client
add add-default-route=no disabled=no interface=br-lan
/ip route
add distance=1 dst-address=192.168.0.0/23 gateway=l2tp-in1
add distance=1 dst-address=192.168.1.0/24 gateway=br-video
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add local-address=192.168.0.1 name=user profile=l2tp remote-address=192.168.0.2
[admin@MikroTik] >>


vladimir.kolesnikov
Сообщения: 12
Зарегистрирован: 19 окт 2018, 20:22

я так понимаю , что CRS112-8P-4S достаточно чахлый под мою задачу.
при открытии сеанса RDP на сервер СВН через l2tp туннель, и открытии на сервере видео на весь экран, загрузка процессора прыгает до 92-100%.
Что можно отключить, чтобы снизить нагрузку?
 
[admin@MikroTik] >> /export hide-sensitive
# jul/31/1970 00:53:01 by RouterOS 6.48
# software id = MNX0-X2U2
#
# model = CRS112-8P-4S
# serial number = 9B2007FF7A45
/interface l2tp-server
add name=l2tp-in1 user=user
/interface bridge
add name=br-lan protocol-mode=none
add name=br-video protocol-mode=none
/interface list
add name=list1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=vpn-pool ranges=192.168.1.202,192.168.1.203
/ppp profile
add change-tcp-mss=no name=l2tp only-one=yes use-compression=yes use-encryption=yes use-mpls=no use-upnp=no
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=br-video interface=ether4
add bridge=br-lan interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes use-ipsec=yes
/ip address
add address=192.168.1.201 interface=ether4 network=255.255.255.0
/ip dhcp-client
add add-default-route=no disabled=no interface=br-lan
/ip route
add distance=1 dst-address=192.168.0.0/23 gateway=l2tp-in1
add distance=1 dst-address=192.168.1.0/24 gateway=br-video
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add local-address=192.168.0.1 name=user profile=l2tp remote-address=192.168.0.2
[admin@MikroTik] >>


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Отключить IPSEC.
Вы же фактически по локальной сети подключаетесь. Зачем еще и шифрование?


vladimir.kolesnikov
Сообщения: 12
Зарегистрирован: 19 окт 2018, 20:22

use-encryption=yes
уже отключил , не сильно легче стало.
завожу вторую сеть на микротик. тут все сложнее
сеть 198.25.0.0/16
внутри она бьётся на подсети типа 198.25.1.0/29......198.25.136.0/29
в каждой подсети шлюз соответственно 198.25.1.1 ...............198.25.136.1
не могу сообразить как тут поступить если я не могу у устройств прописать шлюзом адрес микротика


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

vladimir.kolesnikov писал(а): 15 фев 2021, 15:42 use-encryption=yes
уже отключил , не сильно легче стало.
завожу вторую сеть на микротик. тут все сложнее
сеть 198.25.0.0/16
внутри она бьётся на подсети типа 198.25.1.0/29......198.25.136.0/29
в каждой подсети шлюз соответственно 198.25.1.1 ...............198.25.136.1
не могу сообразить как тут поступить если я не могу у устройств прописать шлюзом адрес микротика
Либо прописывать маршруты на роутере, который у этих устройств стоит как дефолтный, либо на микротике поднимать НАТ


Ответить