Внутри офисной сети собрал тестовый стенд из двух RB2011UAS чтобы настроить l2tp site-to-site.
Делал по этому мануалу, отличия лишь в том, что за "домашним" роутером нет клиентских машин (не было свободных в офисе).
Внешние IP:
1. l2tp-сервер - 10.0.220.1/8
2. клиент - 10.0.221.1/8
Внутренние IP:
1. l2tp-сервер - 192.168.10.1/24
2. клиент - 192.168.20.1/24
IP туннеля:
1. l2tp-сервер - 172.16.1.1
2. клиент - 172.16.1.2
Туннель поднимается, но трассировка на машину 192.168.10.254 с роутера с другой стороны тоннеля 10.0.221.1 (192.168.20.1) проходит лишь по udp:
172.16.1.1 - 1 ms
192.168.10.254 - 1 ms
По ICMP:
172.16.1.1 - 1 ms
0.0.0.0 - timeout
Соответственно пинга с 192.168.20.1 до 192.168.10.254 нет.
Пинг между 192.168.10.1 и 192.168.20.1 есть.
l2tp-сервер:
Код: Выделить всё
[admin@MikroTik] > export compact
# jan/01/2002 01:00:46 by RouterOS 6.2
# software id = T8XJ-FSKJ
#
/interface l2tp-server
add name=Site2 user=User
/ip pool
add name=TestPool ranges=192.168.10.10-192.168.10.254
/ip dhcp-server
add address-pool=TestPool disabled=no interface=ether6 name=TestDHCPServer
/interface l2tp-server server
set enabled=yes
/ip address
add address=10.0.220.1/8 interface=ether1 network=10.0.0.0
add address=192.168.10.1/24 interface=ether6 network=192.168.10.0
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=10.0.2.2
/ip firewall filter
add chain=forward
add chain=input
add chain=output
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.10.0/24
add action=dst-nat chain=dstnat dst-port=4899 protocol=tcp to-addresses=\
192.168.10.254 to-ports=4899
/ip route
add distance=1 gateway=10.0.1.2
add distance=1 dst-address=192.168.20.0/24 gateway=172.16.1.2
/ppp secret
add local-address=172.16.1.1 name=User password=123 remote-address=172.16.1.2 \
service=l2tp
Клиент:
Код: Выделить всё
[admin@MikroTik] > export compact
# jan/02/1970 02:52:41 by RouterOS 6.2
# software id = 1HC9-77WL
#
/interface l2tp-client
add allow=mschap2 connect-to=10.0.220.1 dial-on-demand=yes disabled=no name=\
l2tp-out1 password=123 user=User
/ip address
add address=10.0.221.1/8 interface=ether1 network=10.0.0.0
add address=192.168.20.1/24 interface=ether6 network=192.168.20.0
/ip dns
set allow-remote-requests=yes servers=10.0.2.2
/ip firewall filter
add chain=forward
add chain=input
add chain=output
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.20.0/24
/ip route
add distance=1 gateway=10.0.1.2
add distance=1 dst-address=192.168.10.0/24 gateway=l2tp-out1
Поскольку export не показал динамические маршруты, то вот скрин, слева сервер, справа клиент.
Заранее спасибо за советы =)