Вопрос по l2tp, ipsec и маршрутизации

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Аватара пользователя
VGorbatov
Сообщения: 24
Зарегистрирован: 15 авг 2018, 10:26

Уважаемые форумчане и специалисты по микротикам - обращаюсь за советом.

Краткая суть обращения - хочу соединить два филиала с помощью микротиков ч/з l2tp + ipsec.
Для этого взяты два микротика RB750Gr3 и поднят тестовый стенд (реализация на картинке).
В филиале сеть статическая (требования ГО), адресация 10.10.20.0 / 24
Провайдер заходит в филиал через свой модем Huawei. На этом модеме есть свободный слот, куда подключил микротик, а в настройках Huawei на этом порту указал зону DMZ. Провайдер подает белый ip 95.x.x.x, а Huawei раздает адреса в диапазоне 192.168.100.0, задал микротику wan-адрес 192.168.100.10, а lan 10.10.20.11
Тестовая сторона находится у меня же. Соседи разрешили подключиться к их микротику. Далее на стороне ДО имею wan 109.x.x.x, микротик соседей дает мне ip 192.168.101.100 и на моем микротике заведен lan 10.10.30.0 / 24 + dhcp сервер.
Настроил l2tp, где филиал выступает сервером, а ДО клиентом. При этом туннель l2tp даже поднялся, в аптайме уже более 2-х суток. Следом пытаюсь настроить ipsec и когда сижу на компьютере со стороны ДО 10.10.30.0, то пингую часть адресов из сети 10.10.20.0

Далее начинаются ряд вопросов, по которым и хочется проконсультироваться.
1. Правильно ли подключил микротик в филиале ч/з dmz или можно еще что-то рассмотреть. К сожалению микротик могу поставить только после Huawei, но к обоим устройствам есть доступы.
2. Не получается разобраться с маршрутизацией на стороне филиала. Т.е. с микротика пингую микротик ДО и комп за ним, но со своего компьютера не получается. Если запускать трасерт, то он идет ч/з основной интернет канал. Как правильно сделать, чтобы маршрут на 10.10.30.0 проходил ч/з микротик
3. Со стороны ДО пингуются почему-то не все адреса из диапазона 10.10.20.0, т.е. пингую адрес 10.10.20.5 и свой 10.10.20.30. Запустил чат с адреса 10.10.20.13, но нет пинга на 10.10.20.3 и 10.10.20.8
На что тут обратить внимание? (в свете последних экспериментов - пинг никуда не идет)
4. Я так понимаю, что ipsec не работает, т.к. в статусе ipsec policy на ph2 state пишется "no phase2". Настройки и пароли перепроверил, но ничего не изменяется...

Специалистом себя в данной области не считаю, поэтому буду признателен за любые правильные направления.

Изображение

Настройки на стороне филиала
# dec/27/2018 07:07:15 by RouterOS 6.43.7
# model = RouterBOARD 750G r3
/interface bridge
add admin-mac=CC:2D:E0:7D:89:F9 auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] comment="WAN" name=ether1-wan
set [ find default-name=ether2 ] comment="LAN"
set [ find default-name=ether5 ] comment="Test VipNet"
/interface l2tp-server
add name=RemoteNSK1 user=RemoteNSK1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=my-proposal
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ppp profile
add change-tcp-mss=yes name=my-remote use-compression=yes use-encryption=yes
/interface bridge port
add bridge=bridge comment="Test VipNet" interface=ether5
add bridge=bridge comment="WAN" disabled=yes interface=ether1-wan
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap2 default-profile=my-remote enabled=yes
/interface list member
add comment="LAN" interface=ether2 list=LAN
add comment="WAN" interface=ether1-wan list=WAN
add interface=bridge list=LAN
/ip address
add address=10.10.20.11/24 comment="LAN" interface=ether2 network=\
10.10.20.0
add address=192.168.100.10/24 comment="WAN" interface=ether1-wan \
network=192.168.100.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=ether1-wan
/ip dhcp-relay
add dhcp-server=192.168.100.51 disabled=no interface=ether5 name=relay1
/ip dns
set allow-remote-requests=yes servers=10.10.20.6,10.10.20.5
/ip dns static
add address=10.10.20.11 name=router.lan
/ip firewall filter
add action=accept chain=input dst-port=500 protocol=udp
add action=accept chain=input dst-port=1701 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
/ip ipsec peer
add address=109.x.x.x/32 exchange-mode=main-l2tp generate-policy=\
port-strict secret=********** send-initial-contact=no
/ip ipsec policy
set 0 disabled=yes
add dst-address=10.10.30.0/24 sa-dst-address=172.16.1.2 sa-src-address=\
172.16.1.1 src-address=10.10.20.0/24 tunnel=yes
/ip route
add check-gateway=ping distance=1 gateway=192.168.100.1
add distance=1 dst-address=10.10.30.0/24 gateway=172.16.1.2 pref-src=\
172.16.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=10.10.20.0/24
set api-ssl disabled=yes
/ppp secret
add local-address=172.16.1.1 name=RemoteNSK1 password=######## profile=\
my-remote remote-address=172.16.1.2 service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Barnaul
/system ntp client
set enabled=yes primary-ntp=23.105.225.212
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool mac-server ping
set enabled=no
Настройки на стороне ДО
# dec/27/2018 11:21:34 by RouterOS 6.43.7
# model = RouterBOARD 750G r3
/interface bridge
add admin-mac=CC:2D:E0:74:13:A6 auto-mac=no comment=defconf disabled=yes \
name=bridge
/interface l2tp-client
add allow=mschap2 connect-to=95.x.x.x disabled=no name=l2tp-to-Office \
password=######## user=RemoteNSK1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-128 name=my-default nat-traversal=no
/ip ipsec proposal
add enc-algorithms=aes-128-cbc name=my-default
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool ranges=10.10.30.20-10.10.30.200
/ip dhcp-server
add address-pool=dhcp_pool disabled=no interface=ether2 lease-time=5d name=\
dhcp1
/interface bridge port
add bridge=bridge comment=defconf disabled=yes interface=ether2
add bridge=bridge disabled=yes interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=bridge list=LAN
/ip address
add address=192.168.101.100/24 comment=defconf interface=ether1 network=\
192.168.101.0
add address=10.10.30.1/24 comment=LAN interface=ether2 network=10.10.30.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=10.10.30.0/24 dns-server=8.8.8.8 gateway=10.10.30.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=10.10.30.1 name=router.lan
/ip firewall filter
add action=accept chain=input dst-port=500 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=\
"defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat disabled=yes out-interface=l2tp-to-Office
/ip ipsec peer
add address=172.16.1.1/32 exchange-mode=main-l2tp profile=my-default secret=\
**********
/ip ipsec policy
add dst-address=10.10.20.0/24 proposal=my-default sa-dst-address=172.16.1.1 \
sa-src-address=172.16.1.2 src-address=10.10.30.0/24 tunnel=yes
/ip route
add distance=1 gateway=192.168.101.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Barnaul
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Ответить