Помощь в настройке L2TP+IPsec site to site для корпоративной сети

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
NoobAdmin
Сообщения: 8
Зарегистрирован: 23 мар 2023, 12:14

xvo писал(а): 27 мар 2023, 17:30 Так а на что вы его там изменяли?
Учитывали, что там у вас pppoe, а не ether1?
Действительно, по невнимательности указал для ether1. Переделал на pppoe от ростелекома, конфиг теперь:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=rostelecom
Интернет на хостах заработал. Однако первоначальная проблема сохраняется, пинги из сети GW1 на хосты GW2 не идут, обратно пингуется всё, кроме веб-сервера, по днс именам пинги не проходят никуда.


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

По доменным именам доступа никогда и не будет - сети то разные.
Почему не пингуется сеть второго микротика - проверяйте ещё раз firewall'ы на самих машинах.
Если с одной стороны все нормально пингуется и NAT поправили - то проблема не в туннелях или маршрутизации, а именно в разрешении на доступ.


Telegram: @thexvo
Вернуться к началу
NoobAdmin
Сообщения: 8
Зарегистрирован: 23 мар 2023, 12:14

xvo писал(а): 27 мар 2023, 18:51 По доменным именам доступа никогда и не будет - сети то разные.
Почему не пингуется сеть второго микротика - проверяйте ещё раз firewall'ы на самих машинах.
Если с одной стороны все нормально пингуется и NAT поправили - то проблема не в туннелях или маршрутизации, а именно в разрешении на доступ.
Спасибо, создал правило в брандмауэре на входящие пинги (протокол ICMP), пинги пошли. В настройки веб сервера (сеть GW1) у меня нет доступа, поэтому там ничего изменить не смогу. Из сети GW2 он недоступен, неужели нет способа к нему достучаться?
По домену получается нужно создавать второй контроллер домена в сети GW2 и настраивать репликацию чтобы домен там заработал?


Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

NoobAdmin писал(а): 28 мар 2023, 07:05 По домену получается нужно создавать второй контроллер домена в сети GW2 и настраивать репликацию чтобы домен там заработал?
Не совсем так.
Если надо, чтобы заработало "сетевое окружение" и все компы автоматом видели друг друга, тогда да, нужен сервер WINS во второй сети.

А если достаточно, чтобы можно было просто использовать доменные имена - то достаточно либо сделать, чтобы вторая сеть тоже использовала DNS сервер домена.
Ну либо можно и руками какие-то записи на микротике создать.
NoobAdmin писал(а): 28 мар 2023, 07:05 Из сети GW2 он недоступен, неужели нет способа к нему достучаться?
Не, ну так то можно - сделать избирательный src-nat (макскарад) при обращении к этому серверу на GW1.
Но сервер тогда будет видеть все подключения, как-будто они приходят от самого GW1.
Так что правильнее конечно попасть на сервер и настроить там политики доступа.


Telegram: @thexvo
Вернуться к началу
NoobAdmin
Сообщения: 8
Зарегистрирован: 23 мар 2023, 12:14

xvo писал(а): 28 мар 2023, 10:21
NoobAdmin писал(а): 28 мар 2023, 07:05 По домену получается нужно создавать второй контроллер домена в сети GW2 и настраивать репликацию чтобы домен там заработал?
Не совсем так.
Если надо, чтобы заработало "сетевое окружение" и все компы автоматом видели друг друга, тогда да, нужен сервер WINS во второй сети.

А если достаточно, чтобы можно было просто использовать доменные имена - то достаточно либо сделать, чтобы вторая сеть тоже использовала DNS сервер домена.
Ну либо можно и руками какие-то записи на микротике создать.
NoobAdmin писал(а): 28 мар 2023, 07:05 Из сети GW2 он недоступен, неужели нет способа к нему достучаться?
Не, ну так то можно - сделать избирательный src-nat (макскарад) при обращении к этому серверу на GW1.
Но сервер тогда будет видеть все подключения, как-будто они приходят от самого GW1.
Так что правильнее конечно попасть на сервер и настроить там политики доступа.
В целом ясно, спасибо за помощь!


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»