Парни, ай нид хелп!
Существует следующая схема на RB3011:
2 провайдера по выделенным белым IP, настроена балансировка и резервирование каналов;
Включен L2TP Server с авторизацией через RADIUS в AD Windows Server
Локальная сеть: 192.168.100.0/23
VPN pool: 172.16.50.2 - 172.16.50.253
Авторизация происходит нормально, соединение поднимается.
Проблема заключается в том что пользователь подключившийся через VPN (172.16.50.253) не видит локальную сеть (192.168.100.0/23)
Интерфейс локальной сети добавлен в бридж (LocalBridge), на локальном интерфейсе и на LocalBridge включен proxy-arp.
На клиентской машине отмечен чек-бокс "Использовать шлюз в удаленной сети"
Пробовал на Windows, Mac OS, iPhone - результат везде одинаковый. Локальная сеть не пингуется, ресурсы не доступны. На пропинговываемых машинах отключал антивирус и файервол, ничего не изменилось.
Пинг идет только на 192.168.100.1 и на 172.16.50.1 IP-адреса самого микротика.
Парни, как все таки добиться доступности ресурсов локальной сети через VPN-соединение?
Уже третий день голову ломаю, но пока ничего так и не добился. Прошу коллективной помощи побороть проблему!
На всякий случай принт файервола и ната микротика:
################################################################################################
/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; drop invalid connections
chain=input action=drop connection-state=invalid log=no log-prefix=""
1 ;;; record ssh brute forcers
chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist
address-list-timeout=23h59m59s dst-port=22 log=yes log-prefix=" --- SSH ATTEMPT --- "
2 ;;; allow remote ssh for local network
chain=input action=accept protocol=tcp in-interface=Bridge-Local dst-port=22 log=no log-prefix=""
3 ;;; allow remote ssh for Sergio network
chain=input action=accept protocol=tcp src-address-list=sergio_network dst-port=22 log=no log-prefix=""
4 ;;; drop ssh brute forcers
chain=input action=drop protocol=tcp src-address-list=ssh_blacklist log=no log-prefix=""
5 ;;; allow established connections
chain=input action=accept connection-state=established
6 ;;; allow related connections
chain=input action=accept connection-state=related
7 ;;; allow vpn l2tp
chain=input action=accept protocol=udp port=1701,500,4500 log=no log-prefix=""
8 chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
9 ;;; allow from internet
chain=input action=accept src-address=192.168.100.0/23 in-interface=!Bridge-ISP1 log=no log-prefix=""
10 chain=input action=accept src-address=192.168.100.0/23 in-interface=!Bridge-ISP2
11 ;;; allow internet in vpn
chain=input action=accept src-address=172.16.50.0/24 in-interface=!Bridge-ISP1 log=no log-prefix=""
12 chain=input action=accept src-address=172.16.50.0/24 in-interface=!Bridge-ISP2 log=no log-prefix=""
13 ;;; drop everything else
chain=input action=drop log=no log-prefix=""
14 ;;; accept everything to internet
chain=output action=accept out-interface=Bridge-ISP1
15 chain=output action=accept out-interface=Bridge-ISP2 log=no log-prefix=""
16 ;;; accept everything to non internet
chain=output action=accept out-interface=!Bridge-ISP1
17 chain=output action=accept out-interface=!Bridge-ISP2 log=no log-prefix=""
18 ;;; accept everything
chain=output action=accept
19 ;;; drop invalid connections
chain=forward action=drop connection-state=invalid log=no log-prefix=""
20 ;;; allow already established connections
chain=forward action=accept connection-state=established
21 ;;; allow related connections
chain=forward action=accept connection-state=related
22 X ;;; forward port
chain=forward action=accept protocol=tcp dst-port=21 log=no log-prefix=""
23 chain=forward action=accept protocol=tcp dst-port=25 log=no log-prefix=""
24 chain=forward action=accept protocol=tcp dst-port=80 log=no log-prefix=""
25 chain=forward action=accept protocol=tcp dst-port=443 log=no log-prefix=""
26 chain=forward action=accept protocol=tcp dst-port=1723 log=no log-prefix=""
27 chain=forward action=accept protocol=tcp dst-port=3389
28 ;;; allow vpn to lan
chain=forward action=accept src-address=172.16.50.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
log=no log-prefix=""
29 X chain=forward action=accept in-interface=!all-ppp out-interface=all-ppp log=no log-prefix=""
30 chain=forward action=drop src-address=0.0.0.0/8 log=no log-prefix=""
31 chain=forward action=drop dst-address=0.0.0.0/8 log=no log-prefix=""
32 chain=forward action=drop src-address=127.0.0.0/8 log=no log-prefix=""
33 chain=forward action=drop dst-address=127.0.0.0/8 log=no log-prefix=""
34 chain=forward action=drop src-address=224.0.0.0/3 log=no log-prefix=""
35 chain=forward action=drop dst-address=224.0.0.0/3 log=no log-prefix=""
36 chain=forward action=jump jump-target=tcp protocol=tcp log=no log-prefix=""
37 chain=forward action=jump jump-target=udp protocol=udp log=no log-prefix=""
38 chain=forward action=jump jump-target=icmp protocol=icmp
39 X ;;; Deny From Data
chain=forward action=drop src-address=172.16.30.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""
40 X chain=forward action=drop src-address=172.16.30.0/24 dst-address=172.16.40.0/24 log=no log-prefix=""
41 X chain=forward action=drop src-address=172.16.30.0/24 dst-address=172.16.60.0/24 log=no log-prefix=""
42 X chain=forward action=drop src-address=172.16.30.0/24 dst-address=172.16.70.0/24 log=no log-prefix=""
43 X ;;; Deny From VoIP
chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""
44 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.20.0/24 log=no log-prefix=""
45 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.30.0/24 log=no log-prefix=""
46 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.50.0/24 log=no log-prefix=""
47 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.60.0/24 log=no log-prefix=""
48 X chain=forward action=drop src-address=172.16.40.0/24 dst-address=172.16.70.0/24 log=no log-prefix=""
49 X ;;; Deny From VPN
chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""
50 X chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.30.0/24 log=no log-prefix=""
51 X chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.40.0/24 log=no log-prefix=""
52 X chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.60.0/24 log=no log-prefix=""
53 X chain=forward action=drop src-address=172.16.50.0/24 dst-address=172.16.70.0/24 log=no log-prefix=""
54 X ;;; Deny From WiFi
chain=forward action=drop src-address=172.16.60.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""
55 X chain=forward action=drop src-address=172.16.60.0/24 dst-address=172.16.40.0/24 log=no log-prefix=""
56 X chain=forward action=drop src-address=172.16.60.0/24 dst-address=172.16.50.0/24 log=no log-prefix=""
57 X chain=forward action=drop src-address=172.16.60.0/24 dst-address=172.16.70.0/24 log=no log-prefix=""
58 X ;;; Deny From WiFi Free
chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.10.0/24 log=no log-prefix=""
59 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.20.0/24 log=no log-prefix=""
60 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.30.0/24 log=no log-prefix=""
61 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.40.0/24 log=no log-prefix=""
62 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.50.0/24 log=no log-prefix=""
63 X chain=forward action=drop src-address=172.16.70.0/24 dst-address=172.16.60.0/24 log=no log-prefix=""
64 ;;; accept from local to internet
chain=forward action=accept src-address=192.168.100.0/23 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
log=no log-prefix=""
65 chain=forward action=accept src-address=172.16.10.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
66 chain=forward action=accept src-address=172.16.20.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
67 chain=forward action=accept src-address=172.16.30.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
68 chain=forward action=accept src-address=172.16.40.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
69 chain=forward action=accept src-address=172.16.60.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
70 chain=forward action=accept src-address=172.16.70.0/24 in-interface=!Bridge-ISP1 out-interface=Bridge-ISP1
71 ;;; accept from local to internet
chain=forward action=accept src-address=192.168.100.0/23 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2
log=no log-prefix=""
72 chain=forward action=accept src-address=172.16.10.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2
73 chain=forward action=accept src-address=172.16.20.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2
74 chain=forward action=accept src-address=172.16.30.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2
75 chain=forward action=accept src-address=172.16.40.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2
76 chain=forward action=accept src-address=172.16.60.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2
77 chain=forward action=accept src-address=172.16.70.0/24 in-interface=!Bridge-ISP2 out-interface=Bridge-ISP2
78 ;;; drop everything else
chain=forward action=drop log=no log-prefix=""
79 ;;; deny TFTP
chain=tcp action=drop protocol=tcp dst-port=69
80 ;;; deny RPC portmapper
chain=tcp action=drop protocol=tcp dst-port=111
81 ;;; deny RPC portmapper
chain=tcp action=drop protocol=tcp dst-port=135
82 ;;; deny NBT
chain=tcp action=drop protocol=tcp dst-port=137-139
83 ;;; deny cifs
chain=tcp action=drop protocol=tcp dst-port=445
84 ;;; deny NFS
chain=tcp action=drop protocol=tcp dst-port=2049
85 ;;; deny NetBus
chain=tcp action=drop protocol=tcp dst-port=12345-12346
86 ;;; deny NetBus
chain=tcp action=drop protocol=tcp dst-port=20034
87 ;;; deny BackOriffice
chain=tcp action=drop protocol=tcp dst-port=3133
88 ;;; deny DHCP
chain=tcp action=drop protocol=tcp dst-port=67-68
89 ;;; deny TFTP
chain=udp action=drop protocol=udp dst-port=69
90 ;;; deny PRC portmapper
chain=udp action=drop protocol=udp dst-port=111
91 ;;; deny PRC portmapper
chain=udp action=drop protocol=udp dst-port=135
92 ;;; deny NBT
chain=udp action=drop protocol=udp dst-port=137-139
93 ;;; deny NFS
chain=udp action=drop protocol=udp dst-port=2049
94 ;;; deny BackOriffice
chain=udp action=drop protocol=udp dst-port=3133
95 ;;; echo reply
chain=icmp action=accept protocol=icmp icmp-options=0:0
96 ;;; net unreachable
chain=icmp action=accept protocol=icmp icmp-options=3:0
97 ;;; host unreachable
chain=icmp action=accept protocol=icmp icmp-options=3:1
98 ;;; host unreachable fragmentation required
chain=icmp action=accept protocol=icmp icmp-options=3:4
99 ;;; allow source quench
chain=icmp action=accept protocol=icmp icmp-options=4:0
100 ;;; allow echo request
chain=icmp action=accept protocol=icmp icmp-options=8:0 log=no log-prefix=""
101 ;;; allow time exceed
chain=icmp action=accept protocol=icmp icmp-options=11:0
102 ;;; allow parameter bad
chain=icmp action=accept protocol=icmp icmp-options=12:0
103 ;;; deny all other types
chain=icmp action=drop
104 ;;; drop (2) everything else
chain=forward action=drop log=no log-prefix=""
################################################################################################
/ip firewall nat print all
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=172.16.50.0/24 out-interface=Bridge-ISP1 log=no log-prefix=""
1 chain=srcnat action=masquerade src-address=172.16.50.0/24 out-interface=Bridge-ISP2 log=no log-prefix=""
2 chain=srcnat action=masquerade src-address=192.168.100.0/23 out-interface=Bridge-ISP1 log=no log-prefix=""
3 chain=srcnat action=masquerade src-address=192.168.100.0/23 out-interface=Bridge-ISP2 log=no log-prefix=""
4 ;;; VPN ISP1
chain=dstnat action=netmap to-addresses=192.168.100.1 to-ports=1723 protocol=tcp in-interface=Bridge-ISP1
dst-port=1723 log=no log-prefix=""
5 ;;; SMTP ISP1
chain=dstnat action=netmap to-addresses=192.168.100.2 to-ports=25 protocol=tcp in-interface=Bridge-ISP1
dst-port=25 log=no log-prefix=""
6 ;;; Terminal ISP1
chain=dstnat action=netmap to-addresses=192.168.101.235 to-ports=3389 protocol=tcp in-interface=Bridge-ISP1
dst-port=3389 log=no log-prefix=""
7 ;;; HTTPS ISP1
chain=dstnat action=netmap to-addresses=192.168.100.2 to-ports=443 protocol=tcp in-interface=Bridge-ISP1
dst-port=443 log=no log-prefix=""
8 ;;; FTP ISP1
chain=dstnat action=netmap to-addresses=192.168.100.3 to-ports=21 protocol=tcp in-interface=Bridge-ISP1
dst-port=21 log=no log-prefix=""
9 ;;; VPN ISP2
chain=dstnat action=netmap to-addresses=192.168.100.1 to-ports=1723 protocol=tcp in-interface=Bridge-ISP2
dst-port=1723 log=no log-prefix=""
10 ;;; SMTP ISP2
chain=dstnat action=netmap to-addresses=192.168.100.2 to-ports=25 protocol=tcp in-interface=Bridge-ISP2
dst-port=25 log=no log-prefix=""
11 ;;; Terminal ISP2
chain=dstnat action=netmap to-addresses=192.168.101.235 to-ports=3389 protocol=tcp in-interface=Bridge-ISP2
dst-port=3389 log=no log-prefix=""
12 ;;; HTTPS ISP2
chain=dstnat action=netmap to-addresses=192.168.100.2 to-ports=443 protocol=tcp in-interface=Bridge-ISP2
dst-port=443 log=no log-prefix=""
13 ;;; FTP ISP2
chain=dstnat action=netmap to-addresses=192.168.100.3 to-ports=21 protocol=tcp in-interface=Bridge-ISP2
dst-port=21 log=no log-prefix=""
14 ;;; Web ISP1
chain=dstnat action=netmap to-addresses=192.168.101.6 to-ports=80 protocol=tcp dst-address=XXX.XXX.XXX.XXX
dst-port=80 log=no log-prefix=""
################################################################################################
L2TP Server - VPN клиент не видит локальную сеть
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.