VPN l2tp маршруты

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Mikhail
Сообщения: 11
Зарегистрирован: 11 дек 2016, 19:26

Доброго дня!

Микротик RB750Gr3.
Настроил l2tp ipsec сервер для доступа в локальную сеть офиса. Удаленные клиенты конектятся, видят локальную сеть, но есть проблема-
-- они ходят в интернет теперь через соединение л2тп. Маршруты прописывать на клиентах нет возможности.
Мануалов по настройке л2тп полно, но ни в одном не описана данная проблема.
Может кто знает?


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Если клиенты на Windows, в свойствах подключения откройте Свойства протокола TCP/IPv4 - Дополнительно - Использовать основной шлюз в удалённой сети. Параметр отключить. Повторить для TCP/IPv6.
Последний раз редактировалось DmNuts 11 дек 2016, 21:17, всего редактировалось 1 раз.


Mikhail
Сообщения: 11
Зарегистрирован: 11 дек 2016, 19:26

Клиенты разные. Айфоны, мак осы, андройды... да что угодно может быть. Возможность настройки клиентов отсутсвует ( нанятые , постоянно меняющиеся фрилансеры).
Да и для своего развития не плохо было бы узнать решение.
До этого было решено цисковским аниконнектом на АСАв.
Как на л2тп сделать...?


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Рекомендую выполнить п.5 правил текущего подфорума.
А пока попробуем сеанс телепатии:
1) Раздайте клиентам инструкцию по правильной настройке подключения, раз они сами его создают.
2) На Микротике в правиле маскарадинга добавьте параметр src-address=!диапазон_IP-адресов_клиентов_l2tp. Или добавьте в файрвол правило

Код: Выделить всё

add action=reject chain=forward src-address=диапазон_IP-адресов_клиентов_l2tp dst-address=!офисная_подсеть reject-with=icmp-admin-prohibited

В этом случае даже те, кто неправильно настроил своё подключение, инет через ваш шлюз не получат.


Mikhail
Сообщения: 11
Зарегистрирован: 11 дек 2016, 19:26

1. Инструкция не спасет отца русской демократии( Айфоны от этого не заработают....
2. В таком варианте пропадает вообще интернет у удаленных клиентов пока они подключены по впн.

 
# dec/12/2016 03:33:24 by RouterOS 6.38rc46

# software id = 3Z1E-AEG3

#

/interface ethernet

set [ find default-name=ether2 ] name=ether2-master

set [ find default-name=ether3 ] master-port=ether2-master

set [ find default-name=ether4 ] master-port=ether2-master

set [ find default-name=ether5 ] master-port=ether2-master

/ip neighbor discovery

set ether1 discover=no

/ip hotspot profile

set [ find default=yes ] html-directory=flash/hotspot

/ip ipsec proposal

set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,3des

/ip pool

add name=dhcp ranges=172.16.5.10-172.16.5.100

add name=vpn ranges=192.168.89.2-192.168.89.255

add name=l2tp_ipsec ranges=172.16.6.1-172.16.6.20

/ip dhcp-server

add address-pool=dhcp disabled=no interface=ether2-master name=defconf

/ppp profile

add change-tcp-mss=yes local-address=l2tp_ipsec name=l2tp_profile \

remote-address=l2tp_ipsec

set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn

/interface l2tp-server server

set authentication=mschap2 default-profile=default enabled=yes ipsec-secret=\

******* use-ipsec=yes

/interface pptp-server server

set default-profile=default

/ip address

add address=172.16.5.1/24 comment=defconf interface=ether2-master network=\

172.16.5.0

/ip cloud

set ddns-enabled=yes

/ip dhcp-client

add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1

/ip dhcp-server network

add address=172.16.5.0/24 comment=defconf gateway=172.16.5.1 netmask=24

/ip dns

set allow-remote-requests=yes

/ip dns static

add address=172.16.5.1 name=router

/ip firewall filter

add action=accept chain=input port=1701,500,4500 protocol=udp

add action=accept chain=input protocol=ipsec-esp

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp

add action=accept chain=input comment="defconf: accept established,related" \

connection-state=established,related

add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp

add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp

add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp

add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\

ether1

add action=reject chain=forward disabled=yes dst-address=!192.168.0.0/24 \

reject-with=icmp-admin-prohibited src-address=172.16.6.0/24

add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \

connection-state=established,related

add action=accept chain=forward comment="defconf: accept established,related" \

connection-state=established,related

add action=drop chain=forward comment="defconf: drop invalid" connection-state=\

invalid

add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \

connection-nat-state=!dstnat connection-state=new in-interface=ether1

add action=accept chain=forward

/ip firewall nat

add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\

ether1

add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\

0.89.168.192-255.89.168.192

add action=masquerade chain=srcnat out-interface=<l2tp-******>

/ip ipsec peer

add dh-group=modp2048,modp1024 disabled=yes enc-algorithm=aes-256,aes-128,3des \

exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=\

******

/ip route

add distance=1 dst-address=192.168.0.0/24 gateway=<l2tp-******> pref-src=\

172.16.5.1

add disabled=yes distance=1 dst-address=192.168.0.0/24 gateway=<l2tp-******> \

pref-src=172.16.6.15

/ip service

set telnet disabled=yes

set ssh disabled=yes

/ppp secret

add disabled=yes name=vpn password=*******

add name=******** password=******** profile=l2tp_profile service=l2tp

add local-address=172.16.6.15 name=****** password=******* profile=l2tp_profile \

remote-address=172.16.6.16 service=l2tp

add name=****** password=****** profile=l2tp_profile

/system clock

set time-zone-name=Asia/Krasnoyarsk

/system package update

set channel=release-candidate

/system routerboard settings

# Warning: memory overclocked

set memory-frequency=1200DDR

/tool mac-server

set [ find default=yes ] disabled=yes

add interface=ether2-master

/tool mac-server mac-winbox

set [ find default=yes ] disabled=yes

add interface=ether2-master


Ответить