L2TP Server - VPN клиент не видит локальную сеть

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
danilamoscow
Сообщения: 0
Зарегистрирован: 11 дек 2017, 03:35

11 дек 2017, 03:42

Парни, ай нид хелп!

Существует следующая схема на RB3011:

2 провайдера по выделенным  белым IP, настроена балансировка и резервирование каналов;
Включен L2TP Server с авторизацией через RADIUS в AD Windows Server

Локальная сеть: 192.168.100.0/23
VPN pool: 172.16.50.2 - 172.16.50.253

Авторизация происходит нормально, соединение поднимается.

Проблема заключается в том что пользователь подключившийся через VPN (172.16.50.253) не видит локальную сеть (192.168.100.0/23)

Интерфейс локальной сети добавлен в бридж (LocalBridge), на локальном интерфейсе и на LocalBridge включен proxy-arp.

На клиентской машине отмечен чек-бокс "Использовать шлюз в удаленной сети"

Пробовал на Windows, Mac OS, iPhone - результат везде одинаковый. Локальная сеть не пингуется, ресурсы не доступны. На пропинговываемых машинах отключал антивирус и файервол, ничего не изменилось.

Пинг идет только на 192.168.100.1 и на 172.16.50.1 IP-адреса самого микротика.

Парни, как все таки добиться доступности ресурсов локальной сети через VPN-соединение?
Уже третий день голову ломаю, но пока ничего так и не добился. Прошу коллективной помощи побороть проблему!

На всякий случай принт файервола и ната микротика:

################################################################################################
/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; drop invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""

1 ;;; record ssh brute forcers
chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist
address-list-timeout=23h59m59s dst-port=22 log=yes log-prefix=" --- SSH ATTEMPT --- "

2 ;;; allow remote ssh for local network
chain=input action=accept protocol=tcp in-interface=Bridge-Local dst-port=22 log=no log-prefix=""

3 ;;; allow remote ssh for Sergio network
chain=input action=accept protocol=tcp src-address-list=sergio_network dst-port=22 log=no log-prefix=""

4 ;;; drop ssh brute forcers
chain=input action=drop protocol=tcp src-address-list=ssh_blacklist log=no log-prefix=""

5 ;;; allow established connections
chain=input action=accept connection-state=established

6 ;;; allow related connections
chain=input action=accept connection-state=related

7 ;;; allow vpn l2tp
chain=input action=accept protocol=udp port=1701,500,4500 log=no log-prefix=""

8 chain=input action=accept protocol=ipsec-esp log=no log-prefix=""

9 ;;; allow from internet
chain=input action=accept src-address=192.168.100.0/23 in-interface=!Bridge-ISP1 log=no log-prefix=""

10 chain=input action=accept src-address=192.168.100.0/23 in-interface=!Bridge-ISP2

11 ;;; allow internet in vpn
chain=input action=accept src-address=172.16.50.0/24 in-interface=!Bridge-ISP1 log=no log-prefix=""

12 chain=input action=accept src-address=172.16.50.0/24 in-interface=!Bridge-ISP2 log=no log-prefix=""

13 ;;; drop everything else
chain=input action=drop log=no log-prefix=""

14 ;;; accept everything to internet
chain=output action=accept out-interface=Bridge-ISP1

15 chain=output action=accept out-interface=Bridge-ISP2 log=no log-prefix=""

16 ;;; accept everything to non internet
chain=output action=accept out-interface=!Bridge-ISP1

17 chain=output action=accept out-interface=!Bridge-ISP2 log=no log-prefix=""

18 ;;; accept everything
chain=output action=accept

19 ;;; drop invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""

20 ;;; allow already established connections
chain=forward action=accept connection-state=established

21 ;;; allow related connections
chain=forward action=accept connection-state=related

22 X ;;; forward port
chain=forward action=accept protocol=tcp dst-port=21 log=no log-prefix=""

23 chain=forward action=accept protocol=tcp dst-port=25 log=no log-prefix=""

24 chain=forward action=accept protocol=tcp dst-port=80 log=no log-prefix=""

25 chain=forward action=accept protocol=tcp dst-port=443 log=no log-prefix=""

26 chain=forward action=accept protocol=tcp dst-port=1723 log=no log-prefix=""

27 chain=forward action=accept protocol=tcp dst-port=3389

28 ;;; allow vpn to lan
chain=forward action=accept src-address=172.16.50.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
log=no log-prefix=""

29 X chain=forward action=accept in-interface=!all-ppp out-interface=all-ppp log=no log-prefix=""

30 chain=forward action=drop src-address=0.0.0.0/8 log=no log-prefix=""

31 chain=forward action=drop dst-address=0.0.0.0/8 log=no log-prefix=""

32 chain=forward action=drop src-address=127.0.0.0/8 log=no log-prefix=""

33 chain=forward action=drop dst-address=127.0.0.0/8 log=no log-prefix=""

34 chain=forward action=drop src-address=224.0.0.0/3 log=no log-prefix=""

35 chain=forward action=drop dst-address=224.0.0.0/3 log=no log-prefix=""

36 chain=forward action=jump jump-target=tcp protocol=tcp log=no log-prefix=""

37 chain=forward action=jump jump-target=udp protocol=udp log=no log-prefix=""

38 chain=forward action=jump jump-target=icmp protocol=icmp

39 X ;;; Deny From Data
chain=forward action=drop src-address=172.16.30.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""

40 X chain=forward action=drop src-address=172.16.30.0/24 dst-address=172.16.40.0/24 log=no log-prefix=""

41 X chain=forward action=drop src-address=172.16.30.0/24 dst-address=172.16.60.0/24 log=no log-prefix=""

42 X chain=forward action=drop src-address=172.16.30.0/24 dst-address=172.16.70.0/24 log=no log-prefix=""

43 X ;;; Deny From VoIP
chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""

44 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.20.0/24 log=no log-prefix=""

45 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.30.0/24 log=no log-prefix=""

46 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.50.0/24 log=no log-prefix=""

47 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.60.0/24 log=no log-prefix=""

48 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.70.0/24 log=no log-prefix=""

49 X ;;; Deny From VPN
chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""

50 X chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.30.0/24 log=no log-prefix=""

51 X chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.40.0/24 log=no log-prefix=""

52 X chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.60.0/24 log=no log-prefix=""

53 X chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.70.0/24 log=no log-prefix=""

54 X ;;; Deny From WiFi
chain=forward action=drop src-address=172.16.60.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""

55 X chain=forward action=drop src-address=172.16.60.0/24 dst-address=172.16.40.0/24 log=no log-prefix=""

56 X chain=forward action=drop src-address=172.16.60.0/24 dst-address=172.16.50.0/24 log=no log-prefix=""

57 X chain=forward action=drop src-address=172.16.60.0/24 dst-address=172.16.70.0/24 log=no log-prefix=""

58 X ;;; Deny From WiFi Free
chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""

59 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.20.0/24 log=no log-prefix=""

60 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.30.0/24 log=no log-prefix=""

61 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.40.0/24 log=no log-prefix=""

62 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.50.0/24 log=no log-prefix=""

63 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.60.0/24 log=no log-prefix=""

64 ;;; accept from local to internet
chain=forward action=accept src-address=192.168.100.0/23 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
log=no log-prefix=""

65 chain=forward action=accept src-address=172.16.10.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1

66 chain=forward action=accept src-address=172.16.20.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1

67 chain=forward action=accept src-address=172.16.30.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1

68 chain=forward action=accept src-address=172.16.40.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1

69 chain=forward action=accept src-address=172.16.60.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1

70 chain=forward action=accept src-address=172.16.70.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1

71 ;;; accept from local to internet
chain=forward action=accept src-address=192.168.100.0/23 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2
log=no log-prefix=""

72 chain=forward action=accept src-address=172.16.10.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2

73 chain=forward action=accept src-address=172.16.20.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2

74 chain=forward action=accept src-address=172.16.30.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2

75 chain=forward action=accept src-address=172.16.40.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2

76 chain=forward action=accept src-address=172.16.60.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2

77 chain=forward action=accept src-address=172.16.70.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2

78 ;;; drop everything else
chain=forward action=drop log=no log-prefix=""

79 ;;; deny TFTP
chain=tcp action=drop protocol=tcp dst-port=69

80 ;;; deny RPC portmapper
chain=tcp action=drop protocol=tcp dst-port=111

81 ;;; deny RPC portmapper
chain=tcp action=drop protocol=tcp dst-port=135

82 ;;; deny NBT
chain=tcp action=drop protocol=tcp dst-port=137-139

83 ;;; deny cifs
chain=tcp action=drop protocol=tcp dst-port=445

84 ;;; deny NFS
chain=tcp action=drop protocol=tcp dst-port=2049

85 ;;; deny NetBus
chain=tcp action=drop protocol=tcp dst-port=12345-12346

86 ;;; deny NetBus
chain=tcp action=drop protocol=tcp dst-port=20034

87 ;;; deny BackOriffice
chain=tcp action=drop protocol=tcp dst-port=3133

88 ;;; deny DHCP
chain=tcp action=drop protocol=tcp dst-port=67-68

89 ;;; deny TFTP
chain=udp action=drop protocol=udp dst-port=69

90 ;;; deny PRC portmapper
chain=udp action=drop protocol=udp dst-port=111

91 ;;; deny PRC portmapper
chain=udp action=drop protocol=udp dst-port=135

92 ;;; deny NBT
chain=udp action=drop protocol=udp dst-port=137-139

93 ;;; deny NFS
chain=udp action=drop protocol=udp dst-port=2049

94 ;;; deny BackOriffice
chain=udp action=drop protocol=udp dst-port=3133

95 ;;; echo reply
chain=icmp action=accept protocol=icmp icmp-options=0:0

96 ;;; net unreachable
chain=icmp action=accept protocol=icmp icmp-options=3:0

97 ;;; host unreachable
chain=icmp action=accept protocol=icmp icmp-options=3:1

98 ;;; host unreachable fragmentation required
chain=icmp action=accept protocol=icmp icmp-options=3:4

99 ;;; allow source quench
chain=icmp action=accept protocol=icmp icmp-options=4:0

100 ;;; allow echo request
chain=icmp action=accept protocol=icmp icmp-options=8:0 log=no log-prefix=""

101 ;;; allow time exceed
chain=icmp action=accept protocol=icmp icmp-options=11:0

102 ;;; allow parameter bad
chain=icmp action=accept protocol=icmp icmp-options=12:0

103 ;;; deny all other types
chain=icmp action=drop

104 ;;; drop (2) everything else
chain=forward action=drop log=no log-prefix=""

################################################################################################
/ip firewall nat print all
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=172.16.50.0/24 out-interface=Bridge-ISP1 log=no log-prefix=""

1 chain=srcnat action=masquerade src-address=172.16.50.0/24 out-interface=Bridge-ISP2 log=no log-prefix=""

2 chain=srcnat action=masquerade src-address=192.168.100.0/23 out-interface=Bridge-ISP1 log=no log-prefix=""

3 chain=srcnat action=masquerade src-address=192.168.100.0/23 out-interface=Bridge-ISP2 log=no log-prefix=""

4 ;;; VPN ISP1
chain=dstnat action=netmap to-addresses=192.168.100.1 to-ports=1723 protocol=tcp in-interface=Bridge-ISP1
dst-port=1723 log=no log-prefix=""

5 ;;; SMTP ISP1
chain=dstnat action=netmap to-addresses=192.168.100.2 to-ports=25 protocol=tcp in-interface=Bridge-ISP1
dst-port=25 log=no log-prefix=""

6 ;;; Terminal ISP1
chain=dstnat action=netmap to-addresses=192.168.101.235 to-ports=3389 protocol=tcp in-interface=Bridge-ISP1
dst-port=3389 log=no log-prefix=""

7 ;;; HTTPS ISP1
chain=dstnat action=netmap to-addresses=192.168.100.2 to-ports=443 protocol=tcp in-interface=Bridge-ISP1
dst-port=443 log=no log-prefix=""

8 ;;; FTP ISP1
chain=dstnat action=netmap to-addresses=192.168.100.3 to-ports=21 protocol=tcp in-interface=Bridge-ISP1
dst-port=21 log=no log-prefix=""

9 ;;; VPN ISP2
chain=dstnat action=netmap to-addresses=192.168.100.1 to-ports=1723 protocol=tcp in-interface=Bridge-ISP2
dst-port=1723 log=no log-prefix=""

10 ;;; SMTP ISP2
chain=dstnat action=netmap to-addresses=192.168.100.2 to-ports=25 protocol=tcp in-interface=Bridge-ISP2
dst-port=25 log=no log-prefix=""

11 ;;; Terminal ISP2
chain=dstnat action=netmap to-addresses=192.168.101.235 to-ports=3389 protocol=tcp in-interface=Bridge-ISP2
dst-port=3389 log=no log-prefix=""

12 ;;; HTTPS ISP2
chain=dstnat action=netmap to-addresses=192.168.100.2 to-ports=443 protocol=tcp in-interface=Bridge-ISP2
dst-port=443 log=no log-prefix=""

13 ;;; FTP ISP2
chain=dstnat action=netmap to-addresses=192.168.100.3 to-ports=21 protocol=tcp in-interface=Bridge-ISP2
dst-port=21 log=no log-prefix=""

14 ;;; Web ISP1
chain=dstnat action=netmap to-addresses=192.168.101.6 to-ports=80 protocol=tcp dst-address=XXX.XXX.XXX.XXX
dst-port=80 log=no log-prefix=""



################################################################################################


Ответить