VPN L2TP/IPsec

Обсуждение оборудования и его настройки
Erik_U
Сообщения: 598
Зарегистрирован: 09 июл 2014, 12:33

28 июл 2017, 14:37

alexei1977 писал(а):Если на микроте прописать add default route,

это когда микротик как клиент подключается, то при настройке клиента это есть.
Настраивая сайт-сайт можешь выбрать, как пакеты в интернет побегут - через туннель, или мимо туннеля.


Erik_U
Сообщения: 598
Зарегистрирован: 09 июл 2014, 12:33

28 июл 2017, 14:39

evgeniy7676 писал(а):
Erik_U писал(а):в настройках подключения на пк - сеть - параметры IP v4 - дополнительно-использовать основной шлюз в удаленной сети (поставить галочку)

Должен на клиенте добавиться
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26


А кокой в этом смысл застовлять клиентов ходить в инет через впн ,если стоит шифрование ipsec то тогда трафик в 10 Мбит загрузит микрот на 100 %


Да насрать на интернет.
Либо прописывай все сети в локальной таблице у каждого клиента,
либо укажи дефолтом микрот, который все эти сети знает.
Иначе взаимодействия не получится.


alexei1977
Сообщения: 20
Зарегистрирован: 28 июл 2017, 09:34

28 июл 2017, 14:40

Erik_U писал(а):
alexei1977 писал(а):Если на микроте прописать add default route,

это когда микротик как клиент подключается, то при настройке клиента это есть.
Настраивая сайт-сайт можешь выбрать, как пакеты в интернет побегут - через туннель, или мимо туннеля.

Как я понял, здесь только виндовые клиенты подключаются, а не 2 микрота.


Erik_U
Сообщения: 598
Зарегистрирован: 09 июл 2014, 12:33

28 июл 2017, 14:42

alexei1977 писал(а):
Erik_U писал(а):
alexei1977 писал(а):Если на микроте прописать add default route,

это когда микротик как клиент подключается, то при настройке клиента это есть.
Настраивая сайт-сайт можешь выбрать, как пакеты в интернет побегут - через туннель, или мимо туннеля.

Как я понял, здесь только виндовые клиенты подключаются, а не 2 микрота.


Да. Поэтому советы прописать add default route на микроте не подходят.


Andrewww
Сообщения: 12
Зарегистрирован: 21 июл 2017, 10:55

28 июл 2017, 15:04

evgeniy7676 писал(а):/ip firewall address-list
add address=192.168.45.0/24 list=VpnNet
add address=10.0.20.0/24 list=VpnNet



/ip firewall filter
add action=drop chain=input comment=DropInvalid connection-state=invalid
add action=accept chain=input comment=AccessPing protocol=icmp
add action=accept chain=input comment=AccessEstabledRelated connection-state=\
established,related
add action=drop chain=input comment=DropFlood dst-port=53 in-interface=ISP1 \
protocol=udp
add action=accept chain=input comment=L2tpVpn dst-port=1701,500,4500 \
protocol=udp
add action=accept chain=input comment=IPSecEsp protocol=ipsec-esp
add action=accept chain=input comment=AccessVpnNet src-address-list=VpnNet
add action=drop chain=input comment=AllDrop



маршрут route add -p 192.168.45.0 mask 255.255.255.0 10.0.20.20 прописывается для того чтобы в настройке впн соединения отключить шлюз,чтобы подключившиеся не ходили в инет через микрот

Прописал как указали, результата нет.


Andrewww
Сообщения: 12
Зарегистрирован: 21 июл 2017, 10:55

28 июл 2017, 15:15

Erik_U писал(а):в настройках подключения на пк - сеть - параметры IP v4 - дополнительно-использовать основной шлюз в удаленной сети (поставить галочку)

Должен на клиенте добавиться
0.0.0.0 0.0.0.0 On-link 10.0.20.5 26

Да тот ПК что видит локалку , у него стояла галочка параметры IP v4 - дополнительно-использовать основной шлюз в удаленной сети. как только убрал эту галочку, все - ПК не видит локальную сеть и из локалки перестал видеться ПК (vpn клиент).


Erik_U
Сообщения: 598
Зарегистрирован: 09 июл 2014, 12:33

28 июл 2017, 15:32

так я и говорю - ПОСТАВИТЬ ГАЛОЧКУ.
Убрали то зачем?


Andrewww
Сообщения: 12
Зарегистрирован: 21 июл 2017, 10:55

28 июл 2017, 15:33

Получается только такие решения? : 1. либо делать пул для l2tp из той же подсети что и локальная сеть.
2. либо ставить галочку "Использовать основной шлюз" (либо прописать маршрут статический на виндовых клиентах) , но в этом случае если пользователи будут сидеть в Инете, то будут грузить безбожно Микротик.
С l2tp в другой подсети - засада.


Erik_U
Сообщения: 598
Зарегистрирован: 09 июл 2014, 12:33

28 июл 2017, 15:43

1. - не решение. ВПН сервер каждый адрес из этого пула при использовании делает отдельной сетью /32.\
2. - да. Либо прописывайте таблицу маршрутизации на каждом клиенте.

Какая засада?


Andrewww
Сообщения: 12
Зарегистрирован: 21 июл 2017, 10:55

28 июл 2017, 16:17

Erik_U писал(а):1. - не решение. ВПН сервер каждый адрес из этого пула при использовании делает отдельной сетью /32.\
2. - да. Либо прописывайте таблицу маршрутизации на каждом клиенте.

Какая засада?

1. -Почему не решение? ( не решение. ВПН сервер каждый адрес из этого пула при использовании делает отдельной сетью /32.\) если делаешь пул 192.168.45.2-192.168.45.20, пусть клиент получает из /32. но все работает при выключенной галочки ( использовать основной шлюз). и клиент видит локалку и из локалки виден клиент.
2. Засада - то что если клиент забудет отключиться от vpn будет сидеть в инете, а еще хуже качать что то - загрузит Микротик и просадит корпоративный канал инета.


Ответить