VPN L2TP/IPsec

Обсуждение оборудования и его настройки
Andrewww
Сообщения: 14
Зарегистрирован: 21 июл 2017, 10:55

Добрый день! Прошу помощи с проблемой подключения по VPN.
Задача: установить Микротик RB951G-2HnD в роли прокси и VPN сервера, подключаться по L2TP/IPsec будут около 5-6 пользователей. На первом этапе wi-fi выключен (bridge не используется). Тестовая среда: подсети LAN 192.168.45.0/24, VPN pool из подсети 10.0.20.0/24, На мастере Ether2 - proxy-arp. Все настройки проведены в точности по инструкции https://bozza.ru/art-248.html. Проблем с подключением по L2TP/IPsec что с клиентов Windows7, с iphone, с MAC Book нет, но на этом счастье заканчивается, подключиться по RDP не могут. Клиенты Windows7 не видят локальную сеть 192.168.45.0/24, нет пингов ни на шлюз 192.168.45.1, ни далее….. , с MAC Book такая же история, только c iphone все проходит нормально и есть подключение по RDP.
Если пинговать VPN клиентов из локальной сети, то пинг идет только на адрес из l2tp_pool PPP-Profiles “Local Address” (этот адрес подтягивается почему-то в ДНС VPN клиента), а “Remote Address” молчит.
Попробовал изменить адресацию l2tp_pool из той же подсети что и LAN (192.168.45.0/24), все клиенты подключаются по VPN и видят локальную сеть, есть подключение по RDP.
После изменений адресации на l2tp_poolе туда сюдя ( то из подсети 192.168.45.0/24, то из подсети 10.0.20.0/24) и попыток подключения, один из клиентов Windows7 (который раньше не мог подключаться по RDP) начал подключаться, видит локальную подсеть. Со всеми другими затык.
Кто сталкивался с такой проблемой или в инструкции https://bozza.ru/art-248.html что то недосказано?


Andrewww
Сообщения: 14
Зарегистрирован: 21 июл 2017, 10:55

Люди, неужели у всех все гладко получается и нет проблем?


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Не используйте пул для впн.
Пропишите локальный и удаленный адреса в /ppp/secrets каждому пользователю.
А в ip/routes пропишите маршруты (до каждого пользователя), где Dst. Address - это Remote Address из /ppp/secrets,
а Pref. Source - это Local Address из /ppp/secrets.
Каждый адрес, используемый микротиком для ВПН (локальный, удаленный), где бы он его не взял (из пула, или из секрета), он делает отдельной сетью с маской /32.
Поэтому локальные адреса пингуются, а удаленные нет, пока маршрут не пропишешь.


Andrewww
Сообщения: 14
Зарегистрирован: 21 июл 2017, 10:55

Erik_U писал(а):Не используйте пул для впн.
Пропишите локальный и удаленный адреса в /ppp/secrets каждому пользователю.
А в ip/routes пропишите маршруты (до каждого пользователя), где Dst. Address - это Remote Address из /ppp/secrets,
а Pref. Source - это Local Address из /ppp/secrets.
Каждый адрес, используемый микротиком для ВПН (локальный, удаленный), где бы он его не взял (из пула, или из секрета), он делает отдельной сетью с маской /32.
Поэтому локальные адреса пингуются, а удаленные нет, пока маршрут не пропишешь.


Erik_U спасибо за ответ, я правильно понял? В /ppp/secrets прописываю локальный 10.0.20.1, удаленный 10.0.20.5. В ip/routes прописываю статический: Dst. Address - 10.0.20.5, Gateway - l2tp-l2tp_user1, Pref. Source - 10.0.20.1. Подключаюсь клиентом window s7 - пингов нет в сеть 192.168.45.0/24 (в локальную сеть) и из локальных ПК не пингуется адрес 10.0.20.5. Также вижу что автоматом создается динамический маршрут при подключении клиента, в нем прописано точно также как прописал в статическом.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

У меня похожая конфигурация - 2 сети с микротиками, первый микротик ко второму по L2TP присоединяется, плюс отдельные клиенты самостоятельно ко второму же по L2TP подключаются.
Пинги ходят везде, с компьютера, подключенного по ВПН доступен микротик 1 по любому своему IP - как со стороны локальной сети, так и через удаленный адрес впн, доступны ресурсы из обоих сетей.

Разница в конфигурации (из описанного) только в том, что у меня есть бридж, и на нем включен локал-прокси-арп.

У вас на компьютерах в брендмауэрах запретов не стоит ли?


Andrewww
Сообщения: 14
Зарегистрирован: 21 июл 2017, 10:55

брендмауэр на клиентах отключен


alexei1977
Сообщения: 20
Зарегистрирован: 28 июл 2017, 09:34

Andrewww писал(а):
Erik_U писал(а):Не используйте пул для впн.
Пропишите локальный и удаленный адреса в /ppp/secrets каждому пользователю.
А в ip/routes пропишите маршруты (до каждого пользователя), где Dst. Address - это Remote Address из /ppp/secrets,
а Pref. Source - это Local Address из /ppp/secrets.
Каждый адрес, используемый микротиком для ВПН (локальный, удаленный), где бы он его не взял (из пула, или из секрета), он делает отдельной сетью с маской /32.
Поэтому локальные адреса пингуются, а удаленные нет, пока маршрут не пропишешь.


Erik_U спасибо за ответ, я правильно понял? В /ppp/secrets прописываю локальный 10.0.20.1, удаленный 10.0.20.5. В ip/routes прописываю статический: Dst. Address - 10.0.20.5, Gateway - l2tp-l2tp_user1, Pref. Source - 10.0.20.1. Подключаюсь клиентом window s7 - пингов нет в сеть 192.168.45.0/24 (в локальную сеть) и из локальных ПК не пингуется адрес 10.0.20.5. Также вижу что автоматом создается динамический маршрут при подключении клиента, в нем прописано точно также как прописал в статическом.

Не совсем понятно как у Вас автоматом создаётся динамический маршрут, за динамическую маршрутизацию отвечает протокол OSPF. а он у Вас как я понял не настроен. Если можно выложите правила Firewall.
И всё таки я бы не использовал прокси arp, а переключил бы с состояние enable.


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

при подключение по впн клиент получает шлюз из 10.0.20.0/24 например 10.0.20.20 так на клиенте пропиши маршрут route add -p 192.168.45.0 mask 255.255.255.0 10.0.20.20


Andrewww
Сообщения: 14
Зарегистрирован: 21 июл 2017, 10:55

/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp

add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=forward out-interface=ether1
add chain=input action=drop comment="drop everything else" in-interface=ether1

/ip firewall nat
add chain=srcnat action=masquerade out-interface=ether1

И Когда подключается vpn клиент в IP-ROUTES создается динамический маршрут DAC Dst.Address: 10.0.20.5 Gateway: l2tp-l2tp_user1 reachable Pref.Source 10.0.20.1
Но с локальной сети адрес 10.0.20.5 не пингуется, и от клиента нет пингов в шлюз 192.168.45.1 и нет подключения по rdp.
______________________________________________


alexei1977
Сообщения: 20
Зарегистрирован: 28 июл 2017, 09:34

evgeniy7676 писал(а):при подключение по впн клиент получает шлюз из 10.0.20.0/24 например 10.0.20.20 так на клиенте пропиши маршрут route add -p 192.168.45.0 mask 255.255.255.0 10.0.20.20

В винде маршрут автоматом пропишется.


Ответить