Настройка VPN L2TP для подключения клинтов к сети

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

Доброго времени суток!

Я понимаю что тема скорее всего уже заезженная, но никак не могу решить проблему с VPN,
во всех статьях в интернете написано одно и тоже, уже часов 5 пытаюсь понять где проблема.
Прошу помощи..

На роутере имеем LAN сеть 10.10.0./23 и WAN 88.66.89.241 настраиваю VPN:
 
/ip pool add name=POOL-VPN ranges=10.10.1.100-10.10.1.125
/ip pool add name=POOL-REMOTE ranges=20.20.1.100-20.20.1.125

/ppp profile add change-tcp-mss=yes dns-server=88.66.89.200,88.66.89.201 local-address=POOL-VPN name=L2TP-PROFILE remote-address=POOL-REMOTE use-encryption=yes

/interface l2tp-server server set authentication=mschap2 default-profile=L2TP-PROFILE enabled=yes ipsec-secret=************** use-ipsec=yes

/ppp secret add name=user1 password=user1 profile=L2TP-PROFILE service=l2tp

/ip firewall filter add action=accept chain=input comment=Port_Access_VPN dst-port=500,1701,4500 in-interface=WAN2 protocol=udp
Клинт на машине с Win подключается к роутеру, соединение устанавливается.
Машина клиента получает IP адрес 20.20.1.118, маска 255.255.255.255, шлюз не отображается,
DNS-ы 88.66.89.200 и 88.66.89.201. Интернет на машине клиента работает и имеет внешний адрес роутера 88.66.89.241

С машины клиента роутер пингуется по адресу 10.10.0.1,
из локальной сети где стоит роутер, пинг на адрес 20.20.1.118 тоже идет.
Так-же из локальной сети где стоит роутер могу зайти на машину клиента по адресу \\20.20.1.118\

А вот с машины клиента ни один хост в локальной сети роутера не пингуется, соответственно нет и доступа к серверам в сети роутера.
В чем может быть проблема?


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Firewall?
Неправильно настроен NAT?


Telegram: @thexvo
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

xvo писал(а): 26 янв 2023, 09:39 Firewall?
Неправильно настроен NAT?
Кстати сетевые устройства в локальной сети роутера пингуются с машины которая подключена по VPN,
а даже интерфейсы некоторых открываются, а вот доступа к компьютерам в сети нет.
 
/ip firewall filter
add action=accept chain=input comment=Port_Access_VPN dst-port=500,1701,4500 in-interface=WAN2 protocol=udp
add action=accept chain=input comment=VPN_Users src-address=20.20.1.0/24
add action=drop chain=input comment=Block_Access_to_router src-address=0.0.0.0/0

/ip firewall mangle
add action=mark-packet chain=prerouting comment="NAT Loopback detect LAN2" connection-state=new dst-address=89.107.98.241 in-interface=LAN2 new-packet-mark=NAT-LB-241 passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN2

add action=dst-nat chain=dstnat comment=WEB dst-port=80 in-interface=WAN2 protocol=tcp to-addresses=10.10.0.10 to-ports=80
add action=dst-nat chain=dstnat comment=SHTTP dst-port=443 in-interface=WAN2 protocol=tcp to-addresses=10.10.0.10 to-ports=443

add action=masquerade chain=srcnat comment="NAT Loopback replace address LAN2" packet-mark=NAT-LB-241
add action=dst-nat chain=dstnat dst-address=89.107.98.241 dst-port=80,443 protocol=tcp to-addresses=10.10.0.10
Что-то терзают меня смутные сомнения, что проблема именно в машинах
локальной сети, не хотят себя показывать и не дают себя пинговать.
Если отключить антивирус и брандмауер на одной из машин, то
начинает пинговаться...
Но ранее был VPN от роутера TP-Link TL-ER6020 тоже по протоколу l2tp был настроен,
и таких проблем не было...


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Andrey_Ak писал(а): 26 янв 2023, 10:14 Что-то терзают меня смутные сомнения, что проблема именно в машинах
локальной сети, не хотят себя показывать и не дают себя пинговать.
Если отключить антивирус и брандмауер на одной из машин, то
начинает пинговаться...
Но ранее был VPN от роутера TP-Link TL-ER6020 тоже по протоколу l2tp был настроен,
и таких проблем не было...
Обычное дело.
А ТП-линк наверняка адреса ВПН-клиентам выдавал из того же пула, что и локалка, и включал proxy-arp.


Telegram: @thexvo
Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

Заработало при такой конфигурации:
 
/ip pool add name=POOL-VPN ranges=10.10.1.100-10.10.1.125
/ip pool add name=POOL-REMOTE ranges=100.100.0.100-100.100.0.125

/ppp profile add change-tcp-mss=yes dns-server=89.107.96.200,89.107.96.201 local-address=POOL-VPN name=L2TP-PROFILE remote-address=POOL-REMOTE use-encryption=yes use-upnp=yes


/interface l2tp-server server set authentication=mschap2 default-profile=L2TP-PROFILE enabled=yes ipsec-secret=************ use-ipsec=yes

/ppp secret add name=user1 password=user1 profile=L2TP-PROFILE service=l2tp

/ip firewall filter add action=accept chain=input comment=Port_Access_VPN dst-port=500,1701,4500 in-interface=WAN2 protocol=udp
/ip firewall filter add action=accept chain=input comment=VPN_Users src-address=100.100.0.0/24
/ip firewall filter add action=drop chain=input comment=Block_Access_to_router src-address=0.0.0.0/0

Странно, вроде только сеть удаленных клиентов поменял с 20.20.1.0/24 на 100.100.0.0/24


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Заработало - это, конечно, хорошо. Но пока ваши действия хаотичные и необдуманные. Прежде, чем назначать IP адреса надо подумать, собраться и сделать правильно.

Рекомендую прочитать про немаршрутизируемые адреса: https://www.securitylab.ru/news/536088.php


Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

gmx писал(а): 26 янв 2023, 14:10 Заработало - это, конечно, хорошо. Но пока ваши действия хаотичные и необдуманные. Прежде, чем назначать IP адреса надо подумать, собраться и сделать правильно.

Рекомендую прочитать про немаршрутизируемые адреса: https://www.securitylab.ru/news/536088.php
А в чем моя ошибка, укажите пожалуйста? По ссылке новости всякие не по теме..


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да, по ссылке полная фигня. Виноват.
https://progler.ru/blog/nemarshrutiziru ... i281582989

Вы назначаете адреса из общего диапазона для клиентов vpn. Вот как назло, завтра, нужный вам адрес в интернете совпадет с адресом клиента VPN. И ведь потом всю голову поломаешь, почему так?


Аватара пользователя
Andrey_Ak
Сообщения: 23
Зарегистрирован: 28 дек 2021, 09:27
Откуда: СССР, Алма-Ата
Контактная информация:

gmx писал(а): 28 янв 2023, 16:04 Вы назначаете адреса из общего диапазона для клиентов vpn. Вот как назло, завтра, нужный вам адрес в интернете совпадет с адресом клиента VPN. И ведь потом всю голову поломаешь, почему так?
Вы имеете ввиду диапазон 100.100.0.0/24 (т.е. 100.100.0.0-100.100.0.255) ?

Если честно, я знаю только, что IP диапазон клиента VPN должен быть в другой подсети,
отличной от сети к которой подключается VPN. Ранее так и использовал с другими железками,
локальная сеть 10.10.0.0/23 и адреса клиентов из 100.100.0.0/24. Решил
попробовать взять 20.20.0.0/24 для клиентов, но оно почему-то нормально не захотело работать.

А вот почему должны быть из разных подсетей понять не могу.
Сейчас к примеру в локальной сети 10.10.0.0/23 на роутере поднят VPN,
клиенту при подключении выдается два адреса, один например 10.10.0.121 и этот адрес
находиться как бы на стороне локальной сети, и второй адрес 100.100.0.111, который клиента,
причем что интересно, адрес 100.100.0.111 пингуется из локальной сети 10.10.0.0/23.
Вообще не понимаю к сожалению как это работает. Логичнее было-бы если клиенту
выдавалось бы два адреса из сегмента основной сети.. Пытаюсь понять уж простите..


ICQ: 345-005-908 Mail: admin@tis.kz Fido: 2:5083/1 Radio: UN7GKQ
Коллекционирую старую вычислительную технику и ЭВМ.
Ответить