Управлять удаленно другим роутером через L2TP

Обсуждение оборудования и его настройки
mika3444
Сообщения: 14
Зарегистрирован: 24 ноя 2020, 16:15

Добрый день.

Есть микротик_1 у которого есть прямой адрес в интернете. На нем поднят сервер L2TP без IPSec, настроен немного вопряки мануалам. Это обычный роутер с NAT выполненный по экспресс настройке. У него умешен пул адресов, что бы создать второй пул адресов для L2TP пользователей. Тот кто подключается по L2TP получает адрес из той же внутренней сети. Работает не очень хорошо, не все адреса первого пула адресов нормально видно, говорят надо L2TP как-то по другому настраивать, честно я не осилил мануалы. Сети класса С хватает. L2TP клиентов всего не больше 10, не хотелось отдельные сети городить и роутинг настраивать.

Есть я с ноутбуком, который к этому микротику_1 успешно подключается, в основном я могу нормально управлять всеми устройствами, которые подключены к этому роутеру во внутреннюю сеть.

Появился еще один микротик_2, который не имеет реального адреса. внутри него я создал L2TP клиент, что бы он коннектился к микротику_1. Он коннектится, даже получает адрес во внутренней сети первого микротика. Коннект хорошо держится днями и неделями, соединение стабильное. Но управлять я микротиком_2 не могу.
Winbox запускается, иногда получается заходить и считывать настройки второго микротика, но связь прерывается, и особенно когда я что-то меняю в настройках (отправляю данные), сохранить ни какие настройки не получается. К сожалению ситуация не меняется даже если поехать туда где стоит микротик 1 и подключиться к той сети через вайфай. Тоже само. L2TP клиент подключен, но управлять микротиком 2 не получается.

Еще добавлю, что компьютеры, которые подключаются по L2TP к микротику_1 работают без нареканий, то есть они подключатся по L2TP, я подключаюсь по L2TP и могу подключаться к этим компьютерам по RAdmin или Ultra VNC и все работает хорошо, и при передачи файлов скорость хорошая, с коннектом проблем нет. Проблему я вижу во втором микротике. Что скажут люди, которые в теории хорошо знакомы с RouterOS. Что из себя представляет L2TP-клиент? Он подключается, получает адрес, а можно ли по этому адресу заходить Winbox-ом или нет? И что делать теперь, если нельзя? Как-то настраивать роутинг и городить кучу сетей, что бы добраться до айпишника на физическом интерфейсе микротика_2 ?

Как правильно решить эту проблему?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

По другому надо настраивать не L2TP, а бридж, который на первом микротике - включить на нем proxy-arp.

Что касается того, почему у вас не заходит на второй микротик: без конфигов обоих машин смысла гадать никакого нет.


Telegram: @thexvo
mika3444
Сообщения: 14
Зарегистрирован: 24 ноя 2020, 16:15

Нечего там смотреть. WISP AP по дефолту. Создан L2TP клиент без всяких IP Sec. На первом микротике (на L2TP сервере) на бридже proxy-arp включен. Микротик_2 коннектится, коннект висит, ip-адрес есть во внутренней сети перового микротика, коннект стабильно. Можно через браузер зайти - стабильнее работает. При подключении к микротику_2
возникает проблема. Все подробно описано. Я еще так же написал, что рядом висят компьютеры с ОС Windows, к ним можно подключиться по портам 4899 (Radmin) и VNC (порт 5900).
Если не трудно, обьясните, куда правильнее подключаться? Можно на L2TP клиент подключаться Winbox-ом? Или надо роутить и достучаться до айпишника на LAN-е второго микротика?


Аватара пользователя
Kostetyo
Сообщения: 205
Зарегистрирован: 21 окт 2013, 21:52

Вам выше уже гаписали, конфиги...
Смаршрутизирован ли трафик на 2ом микротике, пробовали пробросить порт для 2го микрота на 1ом?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

mika3444 писал(а): 25 ноя 2020, 01:44 Если не трудно, обьясните, куда правильнее подключаться? Можно на L2TP клиент подключаться Winbox-ом? Или надо роутить и достучаться до айпишника на LAN-е второго микротика?
На любой адрес можно.


Telegram: @thexvo
mika3444
Сообщения: 14
Зарегистрирован: 24 ноя 2020, 16:15

Kostetyo писал(а): 25 ноя 2020, 06:42 Вам выше уже гаписали, конфиги...
Смаршрутизирован ли трафик на 2ом микротике, пробовали пробросить порт для 2го микрота на 1ом?
Пока нечего маршрутизировать, микротик_2 по L2TP получает адрес во внутренней сети первого микротика, я писал в самом начале, пул адресов уменьшен, и для L2TP сервера используются 10 адресов и сети класса С внутренней сети. В итоге микротик_2 получает адрес, на него зайти можно через браузер, а Winbox работает неустойчиво, особенно нельзя применить любые настройки (когда идет отправление данных что-то изменить в конфиге, при нажатии Ок).

А можно практиковать выдавать адреса L2TP клиентам прямо из внутренней сети микротика, на котором поднят L2TP сервер? Ни в одном примере этого нет, везде какие-то длинные толмуды которые читать невозможно, совершенно не хочется так длинно делать. Нет четкого понимания, какие адреса раздавать клиентам. У меня один знакомый L2TP клиентам, каждому раздает сеть из 4 адресов (в действительности точка-точка), и говорит это самое правильное, но для меня дико что в этом случае L2TP-клиенты такие бедные несчастные уроды - они не видят друг друга, и у них разны шлюзы по умолчанию. По идее на много удобнее когда ты подключаешься к "корпоративной сети" и видишь свою сеть и соседних подключенных клиентов в едином адресном пространстве. Ну почему обязательно все делать нужно через одно место.


mika3444
Сообщения: 14
Зарегистрирован: 24 ноя 2020, 16:15

xvo писал(а): 25 ноя 2020, 10:24
mika3444 писал(а): 25 ноя 2020, 01:44 Если не трудно, обьясните, куда правильнее подключаться? Можно на L2TP клиент подключаться Winbox-ом? Или надо роутить и достучаться до айпишника на LAN-е второго микротика?
На любой адрес можно.
Спасибо за ответ. Новость хорошая. А Вы точно в этом уверены? Почему Вы так думаете что можно? Может L2TP клиент глючный и плохо работает в качестве адреса, на который можно заходить winbox-ом ?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

L2TP-туннель это по своей сути соединение точка-точка, и идеально, если адресация на нем соответственная: /32.

То, что эти /32 адреса попадают в /24 сеть, которую вы выдаете локальным клиентам - это фикция, и обман в первую очередь тех впн-клиентов, которые создают адреса с маской согласно классу сети (в моём понимании, это вообще крайне сомнительное решение), а если используется proxy-arp, то и тех клиентов, которые в офисе. Единственная задача, которую все это способно решить - отсутствие необходимости на впн-клиентах "думать" о маршрутизации даже в том случае, если дефолтный маршрут не ведет в туннель. Но доставить проблем оно может гораздо больше.

Например, при всем этом, если под словом "увидеть" понимать ввиду всякие службы работающие опираясь на броадкасты: сетевое окружение, bonjour и т.д., то два клиента L2TP сервера "не увидят" друг друга (а так же и ресурсы офисной сети), даже если у всех будут адреса из одной подсети, потому что между ними нет L2-связности. Скорее наоборот, тот факт, что они будут "думать", что они в одной L2-сети, поломает работу тех приложений, которые могут работать как по L2, так и по L3.

Если же рассматривать протоколы, работающие только на IP-уровне, то им очевидно абсолютно до лампочки, разные у клиентов подсети/шлюзы и т.д. или одна - они для этого и созданы.
Последний раз редактировалось xvo 25 ноя 2020, 13:01, всего редактировалось 1 раз.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

mika3444 писал(а): 25 ноя 2020, 11:56 Спасибо за ответ. Новость хорошая. А Вы точно в этом уверены? Почему Вы так думаете что можно? Может L2TP клиент глючный и плохо работает в качестве адреса, на который можно заходить winbox-ом ?
Потому что я регулярно подключаюсь в том числе и не туннельные адреса.
И проблема не в том откуда микротик получает этот адрес.

Не исключено, что в том, что если у вас на локальном компе маска на туннельном адресе /24, а на микротике /32 но из той же /24 сети. А винбокс, он достаточно чувствителен к таким вещам (не любит, например, несимметричную маршрутизацию).

А возможно и в чем-то совсем другом. Но вы же конфиги не показываете.


Telegram: @thexvo
mika3444
Сообщения: 14
Зарегистрирован: 24 ноя 2020, 16:15

WISP AP (обычная точка доступа с NAT, одна внутренняя сеть), все по дефолту, еще на бридже я включал proxy-arp, и тоже из winbox-а создан L2TP сервер без IP-Sec. Я позже постараюсь выложить конфиги. В них ничего интересного нет в любом случае. Спасибо за интересное объяснение про сети и Winbox, я такого ни где не читал. Я задаю параметры отдельно для каждого логина, в закладке Secrets. У микротика_1 LAN_IP=192.168.51.1 При этом в закладке Secrets я у всех задаю Local IP=192.168.51.10 потому что где-то прочитал что L2TP сервер это служба у которой должен быть другой IP, не такой как на LAN. Далее у логинов различается Remote Address, например у user5 Remote Address=192.168.51.25 (у user4 соответсвенно .24). Правильно я понимаю, что Remote адрес это адрес L2TP сервера? В основном профиле L2TP так же указано что Local Address это 51.10 Правильно ли я понимаю, что то что мы указываем в актуальном профиле L2TP в качестве Local Address, тоже самое мы должны указывать в закладке Secrets для каждого логина такой же Local Address?

В моем случае мне удобно, что бы каждый логин который конектится получал какой-то предсказуемый IP-адрес, сейчас они получают каждый свой адрес "из списка адресов внутренней сети" :)

В ближайшее время планирую эксперимент по переходу на адреса точка точка и настроить маршрутизацию. Перспектива с маршрутизацией мне не очень нравится, так как я не хочу у клиентов прописывать правила роутинга, там уже есть соединения и логин и пароль запомнены и нежелательно у них ничего трогать. Тоже самое микротик_2 стоит далеко, ехать туда далеко, если я что-то поменяю - он перелогинется по L2TP и нужно будет дальше его морочить удаленно. Пока еще я не понимаю что мне указывать в актуальный профиль L2TP в качестве Local Address, и что в закладке Secrets у каждого клиента в качестве Local Address и Remote Address.

>> L2TP-туннель это по своей сути соединение точка-точка, и идеально, если адресация на нем соответственная: /32

Могу ли я ПОЭТОМУ указать для всех клиентов одинаковые Remote Address? Или будет конфликт? Я помню я коннектился кудато и мне всегда выдавалось Local Address=10.10.10.10 и Remote Address=10.10.10.11 и другие тоже конектились в это время и им тоже самое выдавалось, я еще тогда все хотел зайти на соседний комп открыть шару через эти IP и не понимал почему такие уродские адреса, и удивился почему они не конфликтуют между собой внутри той железки к которой мы подключались.
Последний раз редактировалось mika3444 26 ноя 2020, 13:30, всего редактировалось 2 раза.


Ответить