Ipsec l2tp вроде все просто но не работает.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
mitsu13
Сообщения: 20
Зарегистрирован: 05 ноя 2018, 20:58

Всем привет.
Настраивал по видео https://www.youtube.com/watch?v=720Wu_hXuyo&t=
Коннект есть. Пакеты идут. Но почему то сети кроме роутеров друг дуруга не видят.

Конфиг роутера который сервер. На нем еще капсман работает.
1.
Внешний IP белый 5.чч.чч.чч
Внутрення сеть: 172.16.100.0
Сеть ВПН 172.16.101.0
пинугует 172.16.100.xx все ip так как его сеть.
пинугует 172.16.2.1 (но не пингует компьютер за ним то есть 172.16.2.5)
пинугует (172.16.101.1 и 172.16.101.2)

Не пингуется сеть за роутером хотя правило прописано.
 
[admin@MikroTik] > export
# nov/21/2018 22:19:01 by RouterOS 6.43.4
# software id = YCJW-2JNE
#
# model = RB4011iGS+
# serial number = 968A093B88B0
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=eC frequency=2462 name=channel11 tx-power=30
/interface bridge
add fast-forward=no name=bridge1_local
/interface ethernet
set [ find default-name=ether1 ] mac-address=28:10:7B:BB:CC:C9
/caps-man datapath
add bridge=bridge1_local client-to-client-forwarding=yes local-forwarding=no name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm,tkip group-encryption=aes-ccm name=security1 passphrase=xxxxxxx
/caps-man configuration
add channel=channel11 country=no_country_set datapath=datapath1 distance=indoors guard-interval=long keepalive-frames=enabled max-sta-count=20 mode=ap \
multicast-helper=full name=cfg1 rx-chains=0,1,2 security=security1 ssid=Homa tx-chains=0,1,2
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=172.16.100.20-172.16.100.254
add name=vpn_pool ranges=172.16.101.20-172.16.101.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1_local name=dhcp1
/ppp profile
add bridge=bridge1_local local-address=172.16.101.1 name=VPN_l2tp remote-address=vpn_pool
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1 name-format=prefix-identity
/interface bridge port
add bridge=bridge1_local hw=no interface=ether2
add bridge=bridge1_local interface=ether3
add bridge=bridge1_local interface=ether4
add bridge=bridge1_local interface=ether5
add bridge=bridge1_local interface=ether6
add bridge=bridge1_local interface=ether7
add bridge=bridge1_local interface=ether8
add bridge=bridge1_local interface=ether9
add bridge=bridge1_local interface=ether10
/interface l2tp-server server
set authentication=mschap2 default-profile=VPN_l2tp enabled=yes ipsec-secret=xxxxxxxxxxx! use-ipsec=yes
/interface list member
add interface=ether1 list=WAN
add list=LAN
add interface=bridge1_local list=LAN
/ip address
add address=172.16.100.1/24 interface=ether2 network=172.16.100.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=172.16.100.0/24 dns-server=172.16.100.1 gateway=172.16.100.1 netmask=24
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=drop chain=input comment="SSH drop" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment=telnet_drop dst-port=23 protocol=tcp src-address-list=telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=23 protocol=tcp \
src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp \
src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp \
src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp
add action=drop chain=input comment="ftp drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,4,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
/ip firewall nat
add action=accept chain=srcnat comment=to_172.16.2.0/24 dst-address=172.16.2.0/24 src-address=172.16.100.0/24
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 dst-address=172.16.2.0/24 gateway=172.16.101.2 pref-src=172.16.100.1
/ip service
set www address=0.0.0.0/0
/ppp secret
add local-address=172.16.101.1 name=vpn_kp1 password=xxxxxxxxxx remote-address=172.16.101.2 service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=no
[admin@MikroTik] >

Второй роутер

серый ip 10 подсети
Внутрення сеть 172.16.2.0
По аналогии шлюзы и впн пингуется.
А пользователи сети 172.16.100.2 не пингуются.
 
[admin@MikroTik] > export
# nov/21/2018 22:26:31 by RouterOS 6.43.4
/interface bridge
add fast-forward=no name=bridge1_local
/interface l2tp-client
add connect-to=5.xx.xx.xx disabled=no ipsec-secret=xxxxx! name=l2tp-out1 password=xxxxx use-ipsec=yes user=vpn_kp1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=172.16.100.20-172.16.100.254
/interface bridge port
add bridge=bridge1_local hw=no interface=ether2
add bridge=bridge1_local interface=ether3
add bridge=bridge1_local interface=ether4
add bridge=bridge1_local interface=ether5
add bridge=bridge1_local interface=ether6
add bridge=bridge1_local interface=ether7
add bridge=bridge1_local interface=ether8
add bridge=bridge1_local interface=ether9
add bridge=bridge1_local interface=ether10
/interface list member
add interface=ether1 list=WAN
add interface=bridge1_local list=LAN
/ip address
add address=172.16.2.1/24 interface=bridge1_local network=172.16.2.0
add address=10.xx.xx.110/25 interface=ether1 network=10.xx.xx.0
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=drop chain=input comment="SSH drop" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp \
src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment=telnet_drop dst-port=23 protocol=tcp src-address-list=telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=23 protocol=tcp \
src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp \
src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp \
src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp
add action=drop chain=input comment="ftp drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,4,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment=Trueconf dst-address=10.xx.xx.110 dst-port=4307 in-interface=ether1 protocol=tcp to-addresses=172.16.2.5 to-ports=\
4307
add action=dst-nat chain=dstnat dst-address=10.129.154.110 dst-port=80 in-interface=ether1 protocol=tcp to-addresses=172.16.2.5 to-ports=80
/ip route
add distance=1 gateway=10.xx.xx1
add distance=1 dst-address=172.16.100.0/24 gateway=172.16.101.1
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=no
[admin@MikroTik] >


mitsu13
Сообщения: 20
Зарегистрирован: 05 ноя 2018, 20:58

Разобрался,
Нужно внимательнее обращать на поля.
на основном допилил:
/ppp secret
add local-address=172.16.101.1 name=vpn_kp1 password=xxxxxx profile=VPN_l2tp remote-address=172.16.101.2 routes="172.16.2.0/24 172.16.101.2 1" service=l2tp

на клиенте.

исправил профиль ppp
а в профиле есть пункт bridge.

Теперь все работает как хотелось.


Ответить