l2tp+ipsec клиент не видит локальную сеть

11 ноя 2016, 14:10

sachaff писал(а):осталось понять какой маршрут........
как я начинаю ценить такие вещи как впн клиент. (cisco,kerio.)
mikrotik настроить не 2 минуты если не выбирать быструю настройку, так еще как понимаю каждый шаг через те еще терни.

Не знаю, я так и не понял почему у Вас проблемы, вроде там всё просто, я лично делаю так:
1) создаю пул небольшой (скажем /29 или /28)
2) настраиваю РРР-профиль для конкретной задачи (либо профиль для работы в инете, либо к доступу к сети какой то, и т.д.)
3) в РРР-профиле задаю микротику адрес(он будет для сети шлюзом) ...близко к адресации в рамках пула оговоренного в пункте 1
(пример: маленький пул, для друга и доступа его к моему безлимиту через меня, пул у меня 192.168.29.40/29, но в профиле 192.168.29.8,
и да, адрес в профиле не попадает в пул, и чуть позже поясню почему так я делаю)
4) соответственно заводим юзера и привязываем его к профилю нужному
5) проверяем что коннект есть и юзер цепляется...

а вот дальше уже маршруты и более интересное...
а) я беру сетку которую я закрепил за нужным профилем и маршрутизирую(а скорее всего удобнее мне - я её NAT'ирую)
в нужное место, через нужный интерфейс и с нужным адресом (или Маскарайдинг)
(возможно что правил будет не одно и не два даже)
б) пул мне ещё нужен отдельный, чтобы не важно будет 1,2 или 3 юзера работать, я сетку выданную на профиль (в данном примере 192.168.29.40/29)
я ограничиваю в шейпере всю сразу..и сколько юзеров и как качают - главное мне чтоб не мешали :)
в) я (если надо) "заворачиваю" трафик этой сети (/29) в другой канал

По такой схеме всё работает, я удалённо подключался...видел и сети,был доступ и интернет даже был...

sachaff · 14 ноя 2016, 14:44

Vlad-2 писал(а):.

Не знаю, я так и не понял почему у Вас проблемы, вроде там всё просто, я лично делаю так:
1) создаю пул небольшой (скажем /29 или /28)
2) настраиваю РРР-профиль для конкретной задачи (либо профиль для работы в инете, либо к доступу к сети какой то, и т.д.)
3) в РРР-профиле задаю микротику адрес(он будет для сети шлюзом) ...близко к адресации в рамках пула оговоренного в пункте 1
(пример: маленький пул, для друга и доступа его к моему безлимиту через меня, пул у меня 192.168.29.40/29, но в профиле 192.168.29.8,
и да, адрес в профиле не попадает в пул, и чуть позже поясню почему так я делаю)
4) соответственно заводим юзера и привязываем его к профилю нужному
5) проверяем что коннект есть и юзер цепляется...

а вот дальше уже маршруты и более интересное...
а) я беру сетку которую я закрепил за нужным профилем и маршрутизирую(а скорее всего удобнее мне - я её NAT'ирую)
в нужное место, через нужный интерфейс и с нужным адресом (или Маскарайдинг)
(возможно что правил будет не одно и не два даже)
б) пул мне ещё нужен отдельный, чтобы не важно будет 1,2 или 3 юзера работать, я сетку выданную на профиль (в данном примере 192.168.29.40/29)
я ограничиваю в шейпере всю сразу..и сколько юзеров и как качают - главное мне чтоб не мешали :)
в) я (если надо) "заворачиваю" трафик этой сети (/29) в другой канал

По такой схеме всё работает, я удалённо подключался...видел и сети,был доступ и интернет даже был...[/quote]

мне нужно ,чтобы инет у пользователя шел Не через впн.
поскольку впн-в предстоит настроить больше 10, то не очень хотелось бы мудрить с ручной настройкой ip.
другу вы указываете ip в строке local adress?
благодарю.

14 ноя 2016, 16:01

sachaff писал(а):мне нужно ,чтобы инет у пользователя шел Не через впн.

Ну тут либо одно из двух:
а) подключать клиентов так, чтобы подключение не было как "дефолтное" (может ли это винда) и так далее
б) проще давать интернет подключившимся по ВПН, чем пытаться это обойти...
В целом ещё проще показать юзверям где снять галочку в винде, и тогда ВПН подключение (да и любое подключение)
не будет работать как шлюзом по-умолчанию.

sachaff писал(а):поскольку впн-в предстоит настроить больше 10, то не очень хотелось бы мудрить с ручной настройкой ip.

Понимаю, поэтому либо давать или делать так,как я выше написал, ещё добавлю такую идею,
интересно можно ли передавать через PPTP/L2TP маршруты,но без дефолтного?
Хотя почему вопрос - Билайн то по L2TP терминирует пользователей и передаёт пачку маршрутов,
значит и Вы можете так сделать, правда я не знаю в каком даже направлении это искать и как делать.
Я в своё время в протоколе DHCP повозился изрядно, но научился делать так,чтобы с
выдачей IP-адреса, и маршруты выдавались, и как раз без дефолт-гетвея.

sachaff писал(а):другу вы указываете ip в строке local adress?

Да вроде подробно описал в своём посте, давайте так:
1) заходим в IP-Pool и там создаём пул адресов для РРР-профиля и ВПН-щиков
2) заходим в РРР и в закладку Profiles и там я создаю профиль и в этом профиле я подключаю созданный пул-адресов нужный мне
3) заводим юзера для РРТР/L2TP и т.д., и в настройках создания юзера я указываю ТОЛЬКО профиль РРР,
и юзер подключаясь, берёт настройки профиля, а так как в профиле подвязан пул адресов то и айпи выделяется автоматом(из этого пула).
И если уж совсем быть педатном и ответить на явно поставленный вопрос - я юзеру локальный адрес не задаю! Всё через профиль!!

sachaff писал(а):благодарю.

Не за что!

sachaff · 15 ноя 2016, 18:17

В целом ещё проще показать юзверям где снять галочку в винде, и тогда ВПН подключение (да и любое подключение)
не будет работать как шлюзом по-умолчанию.

если снять галку, то локальные ресурсы/рдп не доступны.

интересно можно ли передавать через PPTP/L2TP маршруты,но без дефолтного?

выше в этой теме шла речь о волшебном батнике, прописывающем маршрут. я есс-но не понял что да как........ :ps_ih:

1) заходим в IP-Pool и там создаём пул адресов для РРР-профиля и ВПН-щиков

РРР - это пул адресов для локальных польователей, тех, кто в офисе за микротиком?

2) заходим в РРР и в закладку Profiles и там я создаю профиль и в этом профиле я подключаю созданный пул-адресов нужный мне

у меня подключен там пул для впн, т.е отличный от локального пула.

3) заводим юзера для РРТР/L2TP и т.д., и в настройках создания юзера я указываю ТОЛЬКО профиль РРР,

а зачем тады профиль для впн-щиков?
т.е получается одно адресное пространство для локальных и удаленных? (про разграничение первые адреса выдаем локальным, а остальные удаленным это вроде понятно)

а) я беру сетку которую я закрепил за нужным профилем и маршрутизирую(а скорее всего удобнее мне - я её NAT'ирую)

в принципе любую сетку можно натировать? у меня самое простое правило ната. в нем не указано какую сеть натировать, надо просто в самой фаерволе сделать еще пару правил типо из сети (пул впн)наружу аксетр можно все или конкретные протоколы?

или чето-то я не понял.....

благодарю.

15 ноя 2016, 19:41

Как то Вы слишком плаваете... :sh_ok:

Я вроде Вам дал пошаговую инструкцию, осталось только сделать и попробовать.
Итак, уточняемся:

1) Микротик - как конструктор ЛЕГО, можно лепить многое и много раз (два раза говорю) :smu:sche_nie:

2) Пулы - во-первых, их может быть много, они могут быть разные, делать их можно для чего либо,
то есть у меня есть пулы адресов для локальной сети (и эти пулы через DHCP) раздаются в локалке,
есть пулы для разных профилей РРР (то есть один профиль - это для доступа скажем к безлимиту,
второй пул - для захода в сеть другого провайдера и так далее).
Поэтому шире смотрите. Пулы можете на создавать много, хоть целую кучу, и не обязательно их все использовать,
пулы - как переменные в скрипте, описаны и ладно.

3) Теперь о профилях, ещё раз - разные права,надстройки, действия для ВПН-щиков - всё это и требуют разные профиля,
логика удалённого подключения у меня сделана на профилях, то есть, если я Васю засовываю (в свойствах его, выбираю
профиль например VPN-3, то он будет получать адресацию которая закреплена за профилем этим,
в пуле у меня этот пул помечен тоже как Pool-VPN3 и соответственно выдаётся из этого пула только тем,
кто имеет право под/или в рамках профиля работать. Можно выдавать в профиле и локальную адресацию (Ваше право),
гибкость у микротика огромна, задача Ваша сначала понять основы, поиграться на простом, а уж потом
создавать и "лепить" что-то сложное.

4) Теперь о сетях, сетку(сетки) брать можно любые, главное с разумных подходом и с правильно рассчитанной маской сети,
чтобы не было сюрпризов. Я делаю так, чтобы ВПН-щики НЕ ПЕРЕСЕКАЛИСЬ с моей локальной сетью, так и безопаснее,
гибче подход, можно манипулировать доступами, да и зачем мне в мою сеть удалённый пользователь. А вдруг у него вирус?

5) НАТить Вам по любому придётся(наличие белых адресов не берём в расчёт :hi_hi_hi:

), и тут есть тоже масса вариантов,
можно натить от вашего внутреннего айпи локальной сети (например чтобы внутри сети файрволы или что-то ещё работало,
NAS-ы пропускали, и так далее), можно натить от сессии Вашего провайдера, какая разница какую сеть/пул/адрес НАТить
наружу, одну сеть (только локальную) или две-три. НАТ делается естественно в файрволле, естественно надо правило
для ВПН-щиков сделать как можно более корректное, максимально описывающее что и куда им и через какой интерфейс.
Напоминаю, что правила НАТ также имеют приоритетность, а это означает что если Вы проНАТите в одном (в узком направлении),
то в другом клиент или ВПН-щик может не получить доступ.
У меня да, все сети которые я закрепил за профилями - проНАЧены, одна подсеть с доступпом к безлимиту соответственно проНАЧена для этого пула
явно, плюс указан исходящий интерфейс провайдера-безлимита. Есть профиль созданный для входа в серую сеть другого провайдера,
там много вкусного (фильмы,сериалы), и как раз отдельный профиль НАТит ВПН-щиков этого настроенного профиля от адреса этого провайдера,
и исходящий интерфейс - конечно сессия на этого провайдера.

6) ВПН-подключение или ВПН-сеть для Вас - должны быть на схеме - как сеть/квартира друга, которого Вы хотите подключить к себе,
но у него уже своё адресное пространство, свои сети и надо это корректно "подружить".
Поэтому рисуйте схему, рисуйте пулы, сети, шлюзы и постарайтесь понять....а потом и всё получиться и с ВПН.

Как-то так.......всё же пробуйте...пора от теории и вопросов - переходить к практике и к результатам, не бойтесь ошибок

sachaff · 16 ноя 2016, 10:49

Vlad-2

мне нужно было всего лишь добавить 1 правило : forward - 192.168.112.0/24 accept
инет есть.
премного благодарен. :-):

Я делаю так, чтобы ВПН-щики НЕ ПЕРЕСЕКАЛИСЬ с моей локальной сетью, так и безопаснее,
гибче подход

а как же это?

пул у меня 192.168.29.40/29, но в профиле 192.168.29.8,

и если они не будут пересекаться с локальной сетью, что им вообще надо в этой сети?

16 ноя 2016, 11:37

sachaff писал(а):мне нужно было всего лишь добавить 1 правило: forward - 192.168.112.0/24 accept
инет есть. премного благодарен.

Я рад что мои "сочинения-ответы" не прошли даром...

Теперь по поводу доступа к сети и зачем тогда подключать к сети и не давать доступ:
Давайте проведу я аллегорию: к Вам пришёл почтальон или курьер, в квартиру впустить надо,
надо принять товар и посмотреть, поэтому в коридор Вы его пустили, но по комнатам он у Вас
не бегает, ничего не видит и так далее, также и у меня:
Ко мне клиент(ы) попали на маршрутизатор, он их принял, авторизовал, и выпускает туда куда надо,
в локальную сеть мне их выпускать не надо, зачем им там делать? Я просто работаю мини-провайдером
для друзей, так скажем...

sachaff · 30 янв 2017, 10:15

и снова здрасьте. :-):

первый день работы роутера.
если при подключение почтальона по впн весь трафик будет идти через меня, то это получается торенты итд итп все ложиться на наш роутер?
ограничил несколькими протоколами.(80,443,110,3389)
почтальон жалуется на обрыв связи при передачи файла через rdp.
это особенность микротика?

30 янв 2017, 12:36

sachaff писал(а):и снова здрасьте.
первый день работы роутера.

Как-то долго запускали в работу его :-)

sachaff писал(а):если при подключение почтальона по впн весь трафик будет идти через меня, то это получается торенты итд итп все ложиться на наш роутер?

Ну на то и ВПН -чтобы затерминировать трафик клиента на нас. Увы, в большинстве случаем так и будет, весь трафик будет идти по ВПНу и соотвественно на Ваш роутер.
Выж дома когда подключаете роутер и он подключается к провайдеру - куда весь трафик бежит автоматом? Правильно, к провайдеру..

sachaff писал(а):ограничил несколькими протоколами.(80,443,110,3389)
почтальон жалуется на обрыв связи при передачи файла через rdp.
это особенность микротика?

Нет, это не особенность, тут надо проверять что Вы там заограничивали, как сделали это, что за правила файрволла,
посмотреть что с каналом, нет ли потерь пакетов и так далее...если не работает одна программа, значит в больше степени проблемы с ней,
но какой то процент косвенных настроек конечно может влиять, но тут нет совета единого, надо инженерно подходить - изучать, анализировать и смотреть.

sachaff · 30 янв 2017, 12:57

Vlad-2 писал(а):Ну на то и ВПН -чтобы затерминировать трафик клиента на нас. Увы, в большинстве случаем так и будет, весь трафик будет идти по ВПНу и соотвественно на Ваш роутер.
Нет, это не особенность, тут надо проверять что Вы там заограничивали, как сделали это, что за правила файрволла,
посмотреть что с каналом, нет ли потерь пакетов и так далее...если не работает одна программа, значит в больше степени проблемы с ней,
но какой то процент косвенных настроек конечно может влиять, но тут нет совета единого, надо инженерно подходить - изучать, анализировать и смотреть.

при подключение керио циски, вроде,такой проблемы не было. Инет был и минуя наш шлюз,если я ничего не путаю. :sh_ok:

правила для впн-щиков - разрешил (80,443,110,3389)
если начинают закачивать файл на удаленный (в офисе который)сервер - связь рвется.

l2tp+ipsec клиент не видит локальную сеть

Вход • Регистрация