VPN L2TP/IPsec

Обсуждение оборудования и его настройки
Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Попробуйте добавить правило

add chain=forward connection-state=established action=accept
add chain=forward connection-state=related action=accept


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

/ip firewall address-list
add address=192.168.45.0/24 list=VpnNet
add address=10.0.20.0/24 list=VpnNet



/ip firewall filter
add action=drop chain=input comment=DropInvalid connection-state=invalid
add action=accept chain=input comment=AccessPing protocol=icmp
add action=accept chain=input comment=AccessEstabledRelated connection-state=\
established,related
add action=drop chain=input comment=DropFlood dst-port=53 in-interface=ISP1 \
protocol=udp
add action=accept chain=input comment=L2tpVpn dst-port=1701,500,4500 \
protocol=udp
add action=accept chain=input comment=IPSecEsp protocol=ipsec-esp
add action=accept chain=input comment=AccessVpnNet src-address-list=VpnNet
add action=drop chain=input comment=AllDrop



маршрут route add -p 192.168.45.0 mask 255.255.255.0 10.0.20.20 прописывается для того чтобы в настройке впн соединения отключить шлюз,чтобы подключившиеся не ходили в инет через микрот


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

add action=drop chain=forward comment=AllDrop это правило пока отключи для теста


alexei1977
Сообщения: 20
Зарегистрирован: 28 июл 2017, 09:34

Andrewww писал(а):/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp

add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=forward out-interface=ether1
add chain=input action=drop comment="drop everything else" in-interface=ether1

/ip firewall nat
add chain=srcnat action=masquerade out-interface=ether1

И Когда подключается vpn клиент в IP-ROUTES создается динамический маршрут DAC Dst.Address: 10.0.20.5 Gateway: l2tp-l2tp_user1 reachable Pref.Source 10.0.20.1
Но с локальной сети адрес 10.0.20.5 не пингуется, и от клиента нет пингов в шлюз 192.168.45.1 и нет подключения по rdp.
______________________________________________



add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=forward out-interface=ether1
add chain=input action=drop comment="drop everything else" in-interface=ether1
Эти правила закомментите.


Andrewww
Сообщения: 14
Зарегистрирован: 21 июл 2017, 10:55

В винде маршрут автоматом прописывается такой: С этим маршрутом не работает:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
10.0.0.0 255.0.0.0 10.0.20.1 10.0.20.5 26
10.0.20.5 255.255.255.255 On-link 10.0.20.5 281

Есть один виндовый клиент на котором также был затык, на нем проводились разные тесты и в какой то момент он начал видеть локалку и все на нем стало хорошо и стабильно.
На нем автоматом прописывается такой маршрут :
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26
10.0.20.5 255.255.255.255 On-link 10.0.20.5 281

Если в ручную на виндовом клиенте (который не видит локалку) прописываю маршрут
route add 192.168.45.0 mask 255.255.255.0 Local Address из /ppp/secrets (или Profiles) , то виндовый клиент видит локалку и из локалки идет пинги на Remote Address.

Получается решение, такое - что нужно на каждом клиенте прописывать статические маршруты.
Хотелось бы конечно чтобы, работало автоматом, но....
alexei1977 спасибо.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Andrewww писал(а):Получается решение, такое - что нужно на каждом клиенте прописывать статические маршруты.
Хотелось бы конечно чтобы, работало автоматом, но....
alexei1977 спасибо.


Если дефолтным маршрутом у клиента будет микротик, достаточно будет описать маршруты на микротике.


Andrewww
Сообщения: 14
Зарегистрирован: 21 июл 2017, 10:55

Erik_U писал(а):
Andrewww писал(а):Получается решение, такое - что нужно на каждом клиенте прописывать статические маршруты.
Хотелось бы конечно чтобы, работало автоматом, но....
alexei1977 спасибо.


Если дефолтным маршрутом у клиента будет микротик, достаточно будет описать маршруты на микротике.

Что и где прописать?


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

в настройках подключения на пк - сеть - параметры IP v4 - дополнительно-использовать основной шлюз в удаленной сети (поставить галочку)

Должен на клиенте добавиться
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26


alexei1977
Сообщения: 20
Зарегистрирован: 28 июл 2017, 09:34

Andrewww писал(а):Есть один виндовый клиент на котором также был затык, на нем проводились разные тесты и в какой то момент он начал видеть локалку и все на нем стало хорошо и стабильно.
На нем автоматом прописывается такой маршрут :
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26
10.0.20.5 255.255.255.255 On-link 10.0.20.5 281

Если на микроте прописать add default route, то появится вышеперечисленный маршрут, т.е микрот станет шлюзом для клиента, но этого делать не обязательно, должно и так всё подняться.


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

Erik_U писал(а):в настройках подключения на пк - сеть - параметры IP v4 - дополнительно-использовать основной шлюз в удаленной сети (поставить галочку)

Должен на клиенте добавиться
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26


А кокой в этом смысл застовлять клиентов ходить в инет через впн ,если стоит шифрование ipsec то тогда трафик в 10 Мбит загрузит микрот на 100 %


Ответить