VPN для пользователей

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Apo
Сообщения: 4
Зарегистрирован: 13 июн 2018, 11:14

Добрый день,

Вот такая схема сети, микротики подключены через L2TP + IPsec. с Керио соединение через L2TP.

В планах от Керио вообще уходить, потихоньку меняем, но вот проблема возникла, VPN щас идет через ЦентральныйКерио на схеме 11.0/24, всю сетку видно и за микротиками тоже.

А вот когда я создаю подключение на ЦентральномМикротике 200.0/24
У меня весь трафик инет идет через этот микротик, и сеть не пингуется.

создал профиль, потом пользователя
/ppp profile
add change-tcp-mss=yes local-address=10.0.101.1 name=VPN-user remote-address=\
VPN-pool

add name=test1 password=test1 profile=VPN-user service=l2tp

Подключась с компа, выбираю l2tp/ipsec с ключом, все ввожу. Подключаюсь. Вижу что весь траффик идет через микротик, и сетки не вижу. Так и не понял какие там нужно маршруты сделать.
 /ip route
/ip route
add distance=1 gateway=78.155.XXXXX
add distance=1 dst-address=10.XXX.XX.XX/24 gateway=kerio11
add distance=1 dst-address=192.168.10.0/24 gateway=kerio11
add check-gateway=ping distance=1 dst-address=192.168.11.0/24 gateway=kerio11
add distance=1 dst-address=192.168.19.0/24 gateway=kerio11
add distance=1 dst-address=192.168.20.0/24 gateway=kerio11
add distance=1 dst-address=192.168.21.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.22.0/24 gateway=mik22
add distance=1 dst-address=192.168.23.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.26.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.27.0/24 gateway=kerio11
add distance=1 dst-address=192.168.29.0/24 gateway=kerio11
add distance=1 dst-address=192.168.30.0/24 gateway=kerio11
add distance=1 dst-address=192.168.31.0/24 gateway=kerio11
add distance=1 dst-address=192.168.32.0/24 gateway=kerio11
add distance=1 dst-address=192.168.33.0/24 gateway=mik33
add distance=1 dst-address=192.168.35.0/24 gateway=kerio11
add check-gateway=ping distance=1 dst-address=192.168.38.0/24 gateway=mik38
add distance=1 dst-address=192.168.40.0/24 gateway=kerio11
add distance=1 dst-address=192.168.41.0/24 gateway=kerio11
add distance=1 dst-address=192.168.42.0/24 gateway=kerio11
add distance=1 dst-address=192.168.43.0/24 gateway=kerio11
add distance=1 dst-address=192.168.44.0/24 gateway=mik44
add distance=1 dst-address=192.168.46.0/24 gateway=mik46
add check-gateway=ping distance=1 dst-address=192.168.49.0/24 gateway=mik49
add distance=1 dst-address=192.168.62.0/24 gateway=kerio11
add distance=1 dst-address=192.168.89.0/24 gateway=kerio11
add distance=1 dst-address=192.168.90.0/24 gateway=kerio11
add distance=1 dst-address=192.168.92.0/24 gateway=kerio11
add distance=1 dst-address=192.168.94.0/24 gateway=kerio11
add distance=1 dst-address=192.168.95.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.96.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.99.0/24 gateway=kerio11
add distance=1 dst-address=192.168.100.0/24 gateway=kerio11
add distance=1 dst-address=192.168.101.0/24 gateway=kerio11
add distance=1 dst-address=192.168.102.0/24 gateway=kerio11
add distance=1 dst-address=192.168.104.0/24 gateway=kerio11
add distance=1 dst-address=192.168.105.0/24 gateway=kerio11
add distance=1 dst-address=192.168.108.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.111.0/24 gateway=kerio11
add distance=1 dst-address=192.168.112.0/24 gateway=kerio11
add distance=1 dst-address=192.168.115.0/24 gateway=kerio11
add distance=1 dst-address=192.168.150.0/24 gateway=kerio11
add distance=1 dst-address=192.168.208.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.230.0/24 gateway=kerio11
 /ip firewall filter
#
/ip firewall filter
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC L2TP" dst-port=1701,500,4500 in-interface=ether1 protocol=udp
add action=accept chain=input in-interface=ether1 protocol=ipsec-esp
add action=drop chain=input comment=Port_scanner_drop src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp psd=\
21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=drop chain=input comment=Drop_winbox_black_list dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list address-list-timeout=5m chain=input comment=Winbox_add_black_list connection-state=\
new dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=Winbox_Ssh_stage3
add action=add-src-to-address-list address-list=Winbox_Ssh_stage3 address-list-timeout=1m chain=input comment=Winbox_Ssh_stage3 \
connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=Winbox_Ssh_stage2
add action=add-src-to-address-list address-list=Winbox_Ssh_stage2 address-list-timeout=1m chain=input comment=Winbox_Ssh_stage2 \
connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=Winbox_Ssh_stage1
add action=add-src-to-address-list address-list=Winbox_Ssh_stage1 address-list-timeout=1m chain=input comment=Winbox_Ssh_stage1 \
connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp
add action=accept chain=input comment=Accept_Winbox_Ssh dst-port=5323,5324 in-interface=ether1 protocol=tcp
add action=drop chain=input comment=Bogon_Wan_Drop in-interface=ether1 src-address-list=BOGON
add action=accept chain=input comment=Established_Wan_Accept connection-state=established
add action=accept chain=input comment=Related_Wan_Accept connection-state=related
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
схема сети.
Изображение
Последний раз редактировалось Apo 14 июн 2018, 12:40, всего редактировалось 1 раз.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

вы слишком сумбурно описали. если в общем, то я бы попробовал поработать над distance для маршрутов, а то, что-то шлюз по умолчанию и локальные подсети с одной метрикой у вас. Думаю достаточно будет distance поменять у шлюза по умолчанию на 5.

Ну лучше сделать красивее что-то типа:

Код: Выделить всё

/ip route
add distance=2 dst-address=192.168.21.0/24 gateway=MT-TUNNEL
add distance=2 dst-address=192.168.23.0/24 gateway=MT-TUNNEL
add distance=2 dst-address=192.168.26.0/24 gateway=MT-TUNNEL
add distance=3 dst-address=192.168.0.0/16 gateway=kerio11
add distance=5 gateway=78.155.202.153
Заметьте вся сеть 192.168.0.0/16 на керио идет с метрикой 3, а те подсети которые переводите на МТ уже отдельным правилом и с метрикой 2, а шлюз по умолчанию с 5.

Ну и check-gateway, я надеюсь, вы понимаете для чего используете.


Александр
Apo
Сообщения: 4
Зарегистрирован: 13 июн 2018, 11:14

algerka писал(а): 14 июн 2018, 11:51 вы слишком сумбурно описали. если в общем, то я бы попробовал поработать над distance для маршрутов, а то, что-то шлюз по умолчанию и локальные подсети с одной метрикой у вас. Думаю достаточно будет distance поменять у шлюза по умолчанию на 5.

Ну лучше сделать красивее что-то типа:

Код: Выделить всё

/ip route
add distance=2 dst-address=192.168.21.0/24 gateway=MT-TUNNEL
add distance=2 dst-address=192.168.23.0/24 gateway=MT-TUNNEL
add distance=2 dst-address=192.168.26.0/24 gateway=MT-TUNNEL
add distance=3 dst-address=192.168.0.0/16 gateway=kerio11
add distance=5 gateway=78.155.202.153
Заметьте вся сеть 192.168.0.0/16 на керио идет с метрикой 3, а те подсети которые переводите на МТ уже отдельным правилом и с метрикой 2, а шлюз по умолчанию с 5.

Ну и check-gateway, я надеюсь, вы понимаете для чего используете.
спасибо попробую.

чек гейтвей отключил.


Apo
Сообщения: 4
Зарегистрирован: 13 июн 2018, 11:14

Чтобы тему не плодить, вопрос такой,
в течении месяца работало все хорошо и сегодня в одной из клиник 44.0/24 перестала открываться почта керио по 80 порту, по 443 открывается. При чем ни каких изменений не было. Везде открывается, а из этой подсети нет.

Трассировка маршрута к mail.XXXXXXX.info [192.168.41.210]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс router.lan [192.168.44.1]
2 3 ms 3 ms 3 ms 10.0.100.200
3 5 ms 6 ms 5 ms 10.0.100.11
4 13 ms 13 ms 11 ms 172.26.79.1
5 13 ms 14 ms 14 ms mail.XXXXXXX.info [192.168.41.210]

почта керио находится за Kerio control, изменений так же там не было.

Как можно продиагностировать?

Изображение

Изображение


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Apo писал(а): 14 июн 2018, 16:21 При чем ни каких изменений не было. Везде открывается, а из этой подсети нет.
Как можно продиагностировать?
Чудес не бывает! Если бы за каждое "никто ничего не трогал" я бы получал по рублю..... :hi_hi_hi:
Ищите где закрыт или кем-то используется 80 порт по пути от 44.0/24.
Проверить можно, например, подключившись телнетом из этой сети на 80 порт почтовика. Включайте логирование и отладку и смотрите.


Александр
Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

Apo, а с чего решили, что виноват Микротик?


Apo
Сообщения: 4
Зарегистрирован: 13 июн 2018, 11:14

Kato писал(а): 15 июн 2018, 12:58 Apo, а с чего решили, что виноват Микротик?
предположил, так как до этого стоял керио 2 года, месяц микротик работал, по логам изменений не увидел, и не могу попасть на почту... по 80 порту.


Ответить