Здравствуйте
Помогите разобраться с настройкой L2TP-сервера на mikrotik CCR1009-7G-1C-1S+
Есть три офиса - центральный и 2 филиала.
В центральном стоит mikrotik, в филиалах - kerio. Мне надо все три офиса объединить в одну сеть и настроить L2TP-сервер для удаленной работы из дома (при этом в роли центра и VPN-сервера выступает mikrotik в центральном офисе).
Первоначально был такой конфиг
Если кратко - порты combo и ether1 это 2 провайдера и объединены в WAN_LIST. Порты ether2-ether7 объединены в бридж и добавлены в LAN_LIST. Настроен нормально закрытый фаервол. Вроде бы все работает - по крайней мере тестовый компьютер, расположенный за микротом, в интернет ходит.
Добавляю в общую сеть офисы 2 и 3.
Для этого создаю свой PPP профиль и с ним активирую L2TP сервер.
После этого vpn-туннель (тип IPsec) со стороны обоих kerio переходит в статус "Подключен", а в микроте в разделе IP - IPsec - Active Peers появляются 2 подключения.
Но надо еще добавить
перед последним правилом, чтобы ПК в офисах 2 и 3 могли видеть ПК в центральном офисе и
чтобы ПК в центральном офисе видели ПК в офисах 2 и 3
Подключаю VPN-клиентов.
Для этого создаю пользователя
Создаю на смартфоне VPN-соединение:
И подключение не создается - сбой
И в стандартных логах пусто (critical, error, info,warning), хотя при подключении с kerio записи в логах есть.
И вообще - можно ли на одном микроте одновременно создавать подключения L2TP типа site-to-site и client-to-site? Или надо выбрать разные виды VPN?
А вторая проблема заключается в том, что с микрота не проходят пинги в сторону филиалов - timeout (хоть на kerio, хоть на ПК за ними).
Где я ошибся в настройках?
Спасибо
Настройка L2TP сервера
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Пинги не ходят, вероятно потому что в firewall'ах на kerio у вас ничего их разрешающего нет.
Они же в туннель уходят с туннельного адреса микротика, а не с какого-то из смотрящих в локалку.
Например на самом микроте логичнее вообще в firewall'е поменять все правила касательно туннелей на три правила:
- разрешать все из локалки в туннели;
- разрешать все из туннелей в локалку;
- разрешать все из туннелей в туннели.
Касательно того, почему не подключаются мобильные клиенты - если в логах пусто, значит надо смотреть что там со со стороны клиента.
Разумеется, никаких ограничений на то, что именно за клиенты будут подключаться к серверу, нет.
Они же в туннель уходят с туннельного адреса микротика, а не с какого-то из смотрящих в локалку.
Например на самом микроте логичнее вообще в firewall'е поменять все правила касательно туннелей на три правила:
- разрешать все из локалки в туннели;
- разрешать все из туннелей в локалку;
- разрешать все из туннелей в туннели.
Касательно того, почему не подключаются мобильные клиенты - если в логах пусто, значит надо смотреть что там со со стороны клиента.
Разумеется, никаких ограничений на то, что именно за клиенты будут подключаться к серверу, нет.
Telegram: @thexvo
-
- Сообщения: 20
- Зарегистрирован: 17 май 2022, 08:27
По поводу того, что не ходят пинги с микротика. Я создал на kerio правило "разрешить любой источник, любое назначение, любая служба" и размеcтил его первым, пинги с микротика все равно не идут.
По поводу туннелей. Я правильно понимаю - когда между керио и микротиком будет установлена связь, то на микротике в разделе Interfces-Interface должен появиться новый интерфейс, в который я и должен завернуть трафик между сетями? Так у меня нет новых интерфейсов при соединении с керио. У меня изначально трафик из офисов 2 и 3 в офис 1 резался правилом
По поводу подключения прочих VPN-клиентов к L2TP-серверу на микротике. Я нашел ошибку - неправильно прописал правила, разрешающие L2TP-соединения, IKE и IPsec. После исправления получилось так:
Пока вроде бы работает.
И еще.
Если в свойствах PPP-профиля указать IP-адрес (или пул адресов) и в свойствах пользователя (в PPP Secrets) указать IP-адреса, то у кого приоритет выше? IP-адрес клиент получит по профилю или по пользователю?
Спасибо
По поводу туннелей. Я правильно понимаю - когда между керио и микротиком будет установлена связь, то на микротике в разделе Interfces-Interface должен появиться новый интерфейс, в который я и должен завернуть трафик между сетями? Так у меня нет новых интерфейсов при соединении с керио. У меня изначально трафик из офисов 2 и 3 в офис 1 резался правилом
Код: Выделить всё
;;; Drop WAN to LAN
chain=forward action=drop connection-nat-state=!dstnat in-interface-list=WAN_List log=no log-prefix=""
И еще.
Если в свойствах PPP-профиля указать IP-адрес (или пул адресов) и в свойствах пользователя (в PPP Secrets) указать IP-адреса, то у кого приоритет выше? IP-адрес клиент получит по профилю или по пользователю?
Спасибо
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если у вас l2tp используется - должны быть новые интерфейсы при установлении туннеля.
Но вообще для site-to-site лучше сделать статические binding’и.
Приоритет так возрастает:
Дефолтный профиль для сервера -> профиль для пользователя -> настройки в самом пользователе.
Но вообще для site-to-site лучше сделать статические binding’и.
Приоритет так возрастает:
Дефолтный профиль для сервера -> профиль для пользователя -> настройки в самом пользователе.
Telegram: @thexvo
-
- Сообщения: 20
- Зарегистрирован: 17 май 2022, 08:27
Со стороны mikrotik задействован L2TP сервер, но новых туннелей нет :(
При настройке соединения со стороны mikrotik я создал PPP-профиль, в котором требую шифрование и включил L2TP сервер с этим профилем и требованием шифрования.
Со стороны kerio создал VPN-туннель типа IPsec, в котором указывается внешний адрес mirotik, пароль IPsec (как при включении L2TP сервера на mikrotik) и адреса удаленных и локальных сетей.
Все - после этого связь между kerio и mikrotik устанавливается, но нового интерфейса в PPP - Interface не создается. Это что в итоге - L2TP с IPsec или чистый IPsec?
При настройке соединения со стороны mikrotik я создал PPP-профиль, в котором требую шифрование и включил L2TP сервер с этим профилем и требованием шифрования.
Со стороны kerio создал VPN-туннель типа IPsec, в котором указывается внешний адрес mirotik, пароль IPsec (как при включении L2TP сервера на mikrotik) и адреса удаленных и локальных сетей.
Все - после этого связь между kerio и mikrotik устанавливается, но нового интерфейса в PPP - Interface не создается. Это что в итоге - L2TP с IPsec или чистый IPsec?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Так у вас получается со сторны kerio только ipsec, он и устанавливается.
А нужен l2tp шифрованный ipsec’ом.
А нужен l2tp шифрованный ipsec’ом.
Telegram: @thexvo