Доступ по L2TP с интернета

Обсуждение оборудования и его настройки
Ответить
cerebrum
Сообщения: 11
Зарегистрирован: 28 дек 2013, 18:40

Помогите разобраться:
Есть RB2011UAS-2HnD, на нём поднял сетку по WiFi 192.168.100.0/24, доступ в интернет через ethernet интерфейс с ip 100.100.100.252 (условно), шлюз 100.100.100.100
Настроил L2TP
Задача: клиенты из интернета коннектятся на 100.100.100.252 по L2TP, который раздаёт им интернет (типа анонимайзера)
Проблема: клиенты из интернета не могут подконнектиться по L2TP поднятому на микротике (хотя клиенты из локалки подсоединившиеся по wifi свободно авторизуются по L2TP и ходят через него в интернет).

Конфиг:

/interface l2tp-server
add name=l2tp-in1 user=user
/interface wireless
set 0 band=2ghz-b/g/n bridge-mode=disabled channel-width=20/40mhz-ht-above country=russia disabled=no frequency=2427 ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge ssid=TEST wireless-protocol=802.11
/interface wireless nstreme
set wlan1 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=user wpa2-pre-shared-key=user
/ip dhcp-server
add interface=sfp1 name=dhcp1
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip pool
add name=dhcp ranges=192.168.100.100-192.168.100.200
add name=l2tp_users ranges=192.168.90.100-192.168.90.200
/ip dhcp-server
add address-pool=dhcp disabled=no interface=wlan1 name=dhcp2
/port
set 0 name=serial0
/ppp profile
set 1 dns-server=8.8.8.8,8.8.4.4 local-address=192.168.90.1 remote-address=l2tp_users
/interface l2tp-server server
set authentication=mschap2 enabled=yes
/ip address
add address=192.168.88.1/24 interface=ether2 network=192.168.88.0
add address=100.100.100.252/24 interface=ether6 network=100.100.100.0
add address=192.168.100.1/24 interface=wlan1 network=192.168.100.0
/ip dhcp-server network
add address=192.168.100.0/24 gateway=192.168.100.1 netmask=24
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether6 src-address=192.168.90.0/24 to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=ether6 src-address=192.168.100.0/24 to-addresses=0.0.0.0
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip ipsec peer
add dpd-interval=disable-dpd dpd-maximum-failures=1 generate-policy=port-override hash-algorithm=sha1 nat-traversal=yes secret=user
/ip route
add distance=1 gateway=100.100.100.100 pref-src=100.100.100.252
/lcd
set current-interface=ether2
/ppp secret
add local-address=192.168.90.1 name=user password=user profile=default-encryption remote-address=192.168.90.100 service=l2tp


Vladislav_A
Сообщения: 71
Зарегистрирован: 27 ноя 2012, 17:30

Проблема: клиенты из интернета не могут подконнектиться по L2TP поднятому на микротике

Включайте логирование L2TP и IPSec и смотрите, что происходит при попытке коннекта из интернета.
и надеюсь прописаны необходимые порты:
 
/ip firewall filter
add action=accept chain=input comment="L2TP VPN Server UDP 500 (IPSec)" \
disabled=no dst-port=500 in-interface=ether1-gateway protocol=udp
add action=accept chain=input comment=\
"L2TP VPN Server UDP 4500 (Nat-Traversal)" disabled=no dst-port=4500 \
in-interface=ether1-gateway protocol=udp
add action=accept chain=input comment="L2TP VPN Server UDP " disabled=no \
dst-port=1701 in-interface=ether1-gateway protocol=udp

и IPSec что-то не нравится . Вот так работает:
 
/ip ipsec peer
add address=0.0.0.0/0 auth-method=pre-shared-key dh-group=modp1024 disabled=\
no dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des \
exchange-mode=main-l2tp generate-policy=yes hash-algorithm=sha1 lifetime=\
1d my-id-user-fqdn="" nat-traversal=yes port=500 secret=secret \
send-initial-contact=yes

PS: for ROS 5.2x


cerebrum
Сообщения: 11
Зарегистрирован: 28 дек 2013, 18:40

Спасибо, разобрался!
Конфиги у меня были рабочие, глюк был из-за компа с которого тестировал доступ с нэта (у него на внешнем интерфейсе несколько ip были прописаны, и ipsec при установлении связи цеплял почему то другой ip в подписи пакета, хотя маршруты правильно прописаны были и остальные пакеты до микротика нормально ходили) :ps_ih:


Ответить