Проброс трафика клиентов L2TP через IPSEC тунель

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
AlexZhukov
Сообщения: 17
Зарегистрирован: 27 авг 2022, 17:48

Добрый день.

Ребята, прошу помочи разобраться!

Есть Микротик (RB1100AHx – Офис1) и виртуальный маршрутизатор в облачном решении (VK Cloud – Офис2).

Между ними настроен IPSec-туннель.

За виртуальным маршрутиком есть сервер (файловое хранилище)

Между офисами все работает нормально, но встала задача подключить к маршрутизатору в Офисе 1 пользователя через L2TP-VPN и как-то дать ему доступ к файловому серверу пробросив трафик через IPSEC-туннель

Подскажите это можно реализовать и как?


Схему прилагаю (во вложении).
Спасибо!
Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Добавить политики аналогичные существующим между 10.7.1.0/24 и 172.16.0.0/24, но теперь для 192.168.0.0/24 и 172.16.0.0/24.

А ещё лучше заменить IPSec на GRE внутри IPSec, и забыть про все эти пляски с политиками при каждом добавлении/изменении подключенных сетей.


Telegram: @thexvo
AlexZhukov
Сообщения: 17
Зарегистрирован: 27 авг 2022, 17:48

Доброе утро!

У меня на данный момент настроен IPSec Site-To-Site между Офис1 и Офис 2

Офис 1:

Изображение

Изображение

Изображение

Для сети 192.168.0.0/24 (которую используют клиенты L2TP) делал аналогичные правила как для forwrad, так и для nat

Офис 2:

Изображение

Он функционирует нормально, доступы между сетями 10.7.1.0/24 и 172.16.0.0/24 есть

Но как только я подключаю клиента L2TP (использую форточку) к микротик, то этот клиент видит соответственно сеть 10.7.1.0/24 но ни как не хочет пролазить в сеть 172.16.0.0/24

Настройки L2TP (Офис 1):

Изображение

Изображение

Изображение

Изображение

В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены):

route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

AlexZhukov писал(а): 28 авг 2022, 08:07 У меня на данный момент настроен IPSec Site-To-Site между Офис1 и Офис 2
Настройки политик IPSec на стороне микротика покажите.


Telegram: @thexvo
AlexZhukov
Сообщения: 17
Зарегистрирован: 27 авг 2022, 17:48

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну вот перечитайте мой первый ответ и добавьте аналогичную политику для новой подсети.


Telegram: @thexvo
AlexZhukov
Сообщения: 17
Зарегистрирован: 27 авг 2022, 17:48

Совершенно верно!
Огромное спасибо, совершенно упустил, что политики для 192.168.0.0/24 со стороны Микротика не было, сейчас добавил и все заработало!!



Еще раз большое спасибо!
Изображение


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

:co_ol:


Telegram: @thexvo
Ответить