l2tp+ipsec клиент не видит локальную сеть

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Spyatil
Сообщения: 0
Зарегистрирован: 23 июл 2016, 13:43

Добрый день. Обращаюсь за помощью, так как google не помог(

Удаленный пользователь не видит сеть за портом lan, tracert соответственно идет до 192.168.90.1, при этом в интернет доступ есть.
Все правила фаервола убрал, думал что он блокирует... Не помогло.
На клиете (Windows 7) стоит галка использовать удаленный шлюз сети.
Железо RB2011UiAS RouterOS 6.36

export

Код: Выделить всё

/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp name=lan
set [ find default-name=ether10 ] name=wan poe-out=off
/ip ipsec policy group
set
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,aes-128-ctr
/ip pool
add name=l2tp_pool1 ranges=192.168.90.2-192.168.90.50
/ppp profile
add local-address=192.168.90.1 name=l2tp_profile1 remote-address=l2tp_pool1 use-upnp=yes
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=avz451 use-ipsec=yes
/ip address
add address=192.168.9.200/24 interface=lan network=192.168.9.0
add address=x.x.x.x/29 interface=wan network=y.y.y.y
/ip dns
set servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat log-prefix="" out-interface=wan
add action=dst-nat chain=dstnat dst-port=3058 in-interface=wan log=yes log-prefix="" protocol=tcp to-addresses=192.168.9.162 to-ports=3058
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override secret=avz451
/ip route
add distance=1 gateway=z.z.z.z
/ppp secret
add local-address=192.168.90.1 name=user1 password=user1new profile=l2tp_profile1 remote-address=192.168.90.20 service=l2tp


Spyatil
Сообщения: 0
Зарегистрирован: 23 июл 2016, 13:43

На микротике маршрут динамически поднимается, в таблице роутов семерки также дефолтный маршрут появляется, запрещающих правил нет...


Spyatil
Сообщения: 0
Зарегистрирован: 23 июл 2016, 13:43

Вопрос совсем чайника, что ни кто не подскажет? :-(


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

c 7 покажи ipconfig /all и route print ,это у тебя какойто один клиент не подключается ?или ты просто строить начал


Spyatil
Сообщения: 0
Зарегистрирован: 23 июл 2016, 13:43

evgeniy7676 писал(а):c 7 покажи ipconfig /all и route print ,это у тебя какойто один клиент не подключается ?или ты просто строить начал

route print

Код: Выделить всё

===========================================================================
Список интерфейсов
 32...........................VPN-подключение
 16...d0 53 49 d1 7f 9c ......Устройства Bluetooth (личной сети) #2
 14...68 f7 28 9c 0d 53 ......Realtek PCIe GBE Family Controller
 11...d0 53 49 d1 7f 9b ......Qualcomm Atheros AR956x Wireless Network Adapter
  1...........................Software Loopback Interface 1
 19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
 21...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 20...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 17...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 22...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.34   4250
          0.0.0.0          0.0.0.0         On-link     192.168.90.20     26
        127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
        127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
  127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
   176.192.98.204  255.255.255.255      192.168.1.1     192.168.1.34   4251
      192.168.1.0    255.255.255.0         On-link      192.168.1.34   4506
     192.168.1.34  255.255.255.255         On-link      192.168.1.34   4506
    192.168.1.255  255.255.255.255         On-link      192.168.1.34   4506
    192.168.90.20  255.255.255.255         On-link     192.168.90.20    281
        224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
        224.0.0.0        240.0.0.0         On-link      192.168.1.34   4507
        224.0.0.0        240.0.0.0         On-link     192.168.90.20     26
  255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
  255.255.255.255  255.255.255.255         On-link      192.168.1.34   4506
  255.255.255.255  255.255.255.255         On-link     192.168.90.20    281
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    306 ::1/128                  On-link
  1    306 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует


ipconfig /all

Код: Выделить всё



Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : nout
   Основной DNS-суффикс  . . . . . . :
   Тип узла. . . . . . . . . . . . . : Смешанный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет

Адаптер PPP VPN-подключение:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : VPN-подключение
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.90.20(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0
   DNS-серверы. . . . . . . . . . . : 8.8.8.8
   NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Сетевое подключение Bluetooth 2:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Устройства Bluetooth (личной сети) #2
   Физический адрес. . . . . . . . . : D0-53-49-D1-7F-9C
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Ethernet adapter Подключение по локальной сети:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 68-F7-28-9C-0D-53
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Адаптер беспроводной локальной сети Беспроводное сетевое соединение:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Qualcomm Atheros AR956x Wireless Network Adapter
   Физический адрес. . . . . . . . . : D0-53-49-D1-7F-9B
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.34(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Аренда получена. . . . . . . . . . : 26 июля 2016 г. 10:18:25
   Срок аренды истекает. . . . . . . . . . : 26 июля 2016 г. 20:48:24
   Основной шлюз. . . . . . . . . : 192.168.1.1
   DHCP-сервер. . . . . . . . . . . : 192.168.1.1
   DNS-серверы. . . . . . . . . . . : 192.168.1.1
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{7A8CCCB9-F75D-44FA-B8B3-BA9FF849B238}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{AB20AB0C-1DDE-4201-96A0-13E657D53895}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{59CFC653-A9FB-4185-9403-5D7107BCF286}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{55D1767A-EBE9-4A66-947F-3090F0D1AAA8}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #4
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да



evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

попробуй вместо
/ip firewall nat
add action=masquerade chain=srcnat log-prefix="" out-interface=wan
add action=dst-nat chain=dstnat dst-port=3058 in-interface=wan log=yes log-prefix="" protocol=tcp to-addresses=192.168.9.162 to-ports=3058

пропиши
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.9.0/24
add action=masquerade chain=srcnat src-address=192.168.90.0/24


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

А что-то на вашей семерке маршрута в сеть за микротиком-то не видно, вот оно и не работает.
Попробовал на своем - если не ставлю галку "использовать основной шлюз в удаленной сети", то маршрут появляется, если ставлю, то все как у вас, инет есть а маршрута нет и сеть не доступна.


Spyatil
Сообщения: 0
Зарегистрирован: 23 июл 2016, 13:43

evgeniy7676 писал(а):попробуй вместо
/ip firewall nat
add action=masquerade chain=srcnat log-prefix="" out-interface=wan
add action=dst-nat chain=dstnat dst-port=3058 in-interface=wan log=yes log-prefix="" protocol=tcp to-addresses=192.168.9.162 to-ports=3058

пропиши
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.9.0/24
add action=masquerade chain=srcnat src-address=192.168.90.0/24



Заработало, с моими правилами. Хм, вероятно это какое то разумеющееся знание что его не описывают в howto. Спасибо!


Spyatil
Сообщения: 0
Зарегистрирован: 23 июл 2016, 13:43

KARaS'b писал(а):А что-то на вашей семерке маршрута в сеть за микротиком-то не видно, вот оно и не работает.
Попробовал на своем - если не ставлю галку "использовать основной шлюз в удаленной сети", то маршрут появляется, если ставлю, то все как у вас, инет есть а маршрута нет и сеть не доступна.


Если клиент использует основной шлюз в удаленной сети то по моему разумению нет необходимости описывать какие конкретно сети там должны быть, на то он и по умолчанию, если нет конкретного маршрута то он отправляет запрос на шлюз по умолчанию, который знает где...
и не понятно как у вас тогда появляется сам маршрут без галки "использовать основной шлюз в удаленной сети"


Аватара пользователя
Mapcer
Сообщения: 38
Зарегистрирован: 25 фев 2016, 08:16

Народ, такая же беда. поднял L2TP -IPsec, на микротике.
С клиента подключаюсь, заведомо убрал галочку "использовать основной шлюз удаленной сети" и клиент локалку не видит.
Только после добавления ручками маршрута на клиенте: route add и так далее у клиента все начинает работать.
Подскажите. как сделать так, чтобы клиенту не пришлось прописывать маршрут руками?
Мне предстоит поставить железку на удаленной точке, а данные по VPN директор сам будет решать кому выдавать. Неужели придется объяснять как на компе маршрут прописывать? микротик сам не может назначить вместе с выдачей ip-шника?


Ответить