Попробуйте добавить правило
add chain=forward connection-state=established action=accept
add chain=forward connection-state=related action=accept
VPN L2TP/IPsec
-
- Сообщения: 41
- Зарегистрирован: 29 апр 2014, 15:36
/ip firewall address-list
add address=192.168.45.0/24 list=VpnNet
add address=10.0.20.0/24 list=VpnNet
/ip firewall filter
add action=drop chain=input comment=DropInvalid connection-state=invalid
add action=accept chain=input comment=AccessPing protocol=icmp
add action=accept chain=input comment=AccessEstabledRelated connection-state=\
established,related
add action=drop chain=input comment=DropFlood dst-port=53 in-interface=ISP1 \
protocol=udp
add action=accept chain=input comment=L2tpVpn dst-port=1701,500,4500 \
protocol=udp
add action=accept chain=input comment=IPSecEsp protocol=ipsec-esp
add action=accept chain=input comment=AccessVpnNet src-address-list=VpnNet
add action=drop chain=input comment=AllDrop
маршрут route add -p 192.168.45.0 mask 255.255.255.0 10.0.20.20 прописывается для того чтобы в настройке впн соединения отключить шлюз,чтобы подключившиеся не ходили в инет через микрот
add address=192.168.45.0/24 list=VpnNet
add address=10.0.20.0/24 list=VpnNet
/ip firewall filter
add action=drop chain=input comment=DropInvalid connection-state=invalid
add action=accept chain=input comment=AccessPing protocol=icmp
add action=accept chain=input comment=AccessEstabledRelated connection-state=\
established,related
add action=drop chain=input comment=DropFlood dst-port=53 in-interface=ISP1 \
protocol=udp
add action=accept chain=input comment=L2tpVpn dst-port=1701,500,4500 \
protocol=udp
add action=accept chain=input comment=IPSecEsp protocol=ipsec-esp
add action=accept chain=input comment=AccessVpnNet src-address-list=VpnNet
add action=drop chain=input comment=AllDrop
маршрут route add -p 192.168.45.0 mask 255.255.255.0 10.0.20.20 прописывается для того чтобы в настройке впн соединения отключить шлюз,чтобы подключившиеся не ходили в инет через микрот
-
- Сообщения: 41
- Зарегистрирован: 29 апр 2014, 15:36
add action=drop chain=forward comment=AllDrop это правило пока отключи для теста
-
- Сообщения: 20
- Зарегистрирован: 28 июл 2017, 09:34
Andrewww писал(а):/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=forward out-interface=ether1
add chain=input action=drop comment="drop everything else" in-interface=ether1
/ip firewall nat
add chain=srcnat action=masquerade out-interface=ether1
И Когда подключается vpn клиент в IP-ROUTES создается динамический маршрут DAC Dst.Address: 10.0.20.5 Gateway: l2tp-l2tp_user1 reachable Pref.Source 10.0.20.1
Но с локальной сети адрес 10.0.20.5 не пингуется, и от клиента нет пингов в шлюз 192.168.45.1 и нет подключения по rdp.
______________________________________________
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=forward out-interface=ether1
add chain=input action=drop comment="drop everything else" in-interface=ether1
Эти правила закомментите.
-
- Сообщения: 14
- Зарегистрирован: 21 июл 2017, 10:55
В винде маршрут автоматом прописывается такой: С этим маршрутом не работает:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
10.0.0.0 255.0.0.0 10.0.20.1 10.0.20.5 26
10.0.20.5 255.255.255.255 On-link 10.0.20.5 281
Есть один виндовый клиент на котором также был затык, на нем проводились разные тесты и в какой то момент он начал видеть локалку и все на нем стало хорошо и стабильно.
На нем автоматом прописывается такой маршрут :
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26
10.0.20.5 255.255.255.255 On-link 10.0.20.5 281
Если в ручную на виндовом клиенте (который не видит локалку) прописываю маршрут
route add 192.168.45.0 mask 255.255.255.0 Local Address из /ppp/secrets (или Profiles) , то виндовый клиент видит локалку и из локалки идет пинги на Remote Address.
Получается решение, такое - что нужно на каждом клиенте прописывать статические маршруты.
Хотелось бы конечно чтобы, работало автоматом, но....
alexei1977 спасибо.
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
10.0.0.0 255.0.0.0 10.0.20.1 10.0.20.5 26
10.0.20.5 255.255.255.255 On-link 10.0.20.5 281
Есть один виндовый клиент на котором также был затык, на нем проводились разные тесты и в какой то момент он начал видеть локалку и все на нем стало хорошо и стабильно.
На нем автоматом прописывается такой маршрут :
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26
10.0.20.5 255.255.255.255 On-link 10.0.20.5 281
Если в ручную на виндовом клиенте (который не видит локалку) прописываю маршрут
route add 192.168.45.0 mask 255.255.255.0 Local Address из /ppp/secrets (или Profiles) , то виндовый клиент видит локалку и из локалки идет пинги на Remote Address.
Получается решение, такое - что нужно на каждом клиенте прописывать статические маршруты.
Хотелось бы конечно чтобы, работало автоматом, но....
alexei1977 спасибо.
-
- Сообщения: 1754
- Зарегистрирован: 09 июл 2014, 12:33
Andrewww писал(а):Получается решение, такое - что нужно на каждом клиенте прописывать статические маршруты.
Хотелось бы конечно чтобы, работало автоматом, но....
alexei1977 спасибо.
Если дефолтным маршрутом у клиента будет микротик, достаточно будет описать маршруты на микротике.
-
- Сообщения: 14
- Зарегистрирован: 21 июл 2017, 10:55
Erik_U писал(а):Andrewww писал(а):Получается решение, такое - что нужно на каждом клиенте прописывать статические маршруты.
Хотелось бы конечно чтобы, работало автоматом, но....
alexei1977 спасибо.
Если дефолтным маршрутом у клиента будет микротик, достаточно будет описать маршруты на микротике.
Что и где прописать?
-
- Сообщения: 1754
- Зарегистрирован: 09 июл 2014, 12:33
в настройках подключения на пк - сеть - параметры IP v4 - дополнительно-использовать основной шлюз в удаленной сети (поставить галочку)
Должен на клиенте добавиться
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26
Должен на клиенте добавиться
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26
-
- Сообщения: 20
- Зарегистрирован: 28 июл 2017, 09:34
Andrewww писал(а):Есть один виндовый клиент на котором также был затык, на нем проводились разные тесты и в какой то момент он начал видеть локалку и все на нем стало хорошо и стабильно.
На нем автоматом прописывается такой маршрут :
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26
10.0.20.5 255.255.255.255 On-link 10.0.20.5 281
Если на микроте прописать add default route, то появится вышеперечисленный маршрут, т.е микрот станет шлюзом для клиента, но этого делать не обязательно, должно и так всё подняться.
-
- Сообщения: 41
- Зарегистрирован: 29 апр 2014, 15:36
Erik_U писал(а):в настройках подключения на пк - сеть - параметры IP v4 - дополнительно-использовать основной шлюз в удаленной сети (поставить галочку)
Должен на клиенте добавиться
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26
А кокой в этом смысл застовлять клиентов ходить в инет через впн ,если стоит шифрование ipsec то тогда трафик в 10 Мбит загрузит микрот на 100 %