Проблема с VPN

Описание каждой версии, обсуждение особенностей и недостатков
Ответить
ekozlov
Сообщения: 5
Зарегистрирован: 22 май 2019, 16:17

Начну с того что никаких курсов кроме google в помощь по данному ПО я не проходил, поэтому настройка данной ОСи дается с трудом. Итак суть проблемы: была у нас в офисе железка которая занималась раздачей интернета и выступала в роли VPN сервера по протоколу PPTP. Несколько дней назад эта железка благополучно умерла и офис и его удаленные клиенты остались без сети (имеется ввиду VPN). Так как настройку почившей железки осуществлял человек уже неработающий в нашей организации, все прелести по настройке Mikrotik достались мне. Собственно проблему с интернетом, телефонией и частично с VPN сетью я решил, проблема только в том что с удаленного офиса я не могу пинговать локалку в головном офисе хотя VPN поднята, из за этого возникает масса проблем с доступом к общим сетевым ресурсам. Очень прошу помощи в решении моей проблемы! Забыл написать, о том что шлюз в головном офисе из удаленного я пингую успешно а вот всех остальных клиентов локальной сети нет.


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

ekozlov писал(а): 22 май 2019, 16:34 Начну с того что никаких курсов кроме google в помощь по данному ПО я не проходил, поэтому настройка данной ОСи дается с трудом. Итак суть проблемы: была у нас в офисе железка которая занималась раздачей интернета и выступала в роли VPN сервера по протоколу PPTP. Несколько дней назад эта железка благополучно умерла и офис и его удаленные клиенты остались без сети (имеется ввиду VPN). Так как настройку почившей железки осуществлял человек уже неработающий в нашей организации, все прелести по настройке Mikrotik достались мне. Собственно проблему с интернетом, телефонией и частично с VPN сетью я решил, проблема только в том что с удаленного офиса я не могу пинговать локалку в головном офисе хотя VPN поднята, из за этого возникает масса проблем с доступом к общим сетевым ресурсам. Очень прошу помощи в решении моей проблемы! Забыл написать, о том что шлюз в головном офисе из удаленного я пингую успешно а вот всех остальных клиентов локальной сети нет.
Добавьте маршруты во все нужные стороны в IP/Route


ekozlov
Сообщения: 5
Зарегистрирован: 22 май 2019, 16:17

В Ip/Route при создании L2TP подключения маршрут поподает автоматически из PPP/Profiles. На стороне клиента в удаленном офисе маршрут до головного прописан. Для ясности дам данные моей сети и удаленного офиса:
192.168.10.201 шлюз головного офиса
192.168.10.x локальная сеть головного офиса
192.168.1.1. Шлюз удаленного офиса
192.168.1.x локальная сеть удаленного офиса
192.168.30.1-192.168.30.255 пул для L2TP
Шлюз удаленого офиса это Zyxel Keenetic на нем поднята vpn на l2tp протоколе с ip 30.147


ekozlov
Сообщения: 5
Зарегистрирован: 22 май 2019, 16:17

Erik_U писал(а): 22 май 2019, 17:26
ekozlov писал(а): 22 май 2019, 16:34 Начну с того что никаких курсов кроме google в помощь по данному ПО я не проходил, поэтому настройка данной ОСи дается с трудом. Итак суть проблемы: была у нас в офисе железка которая занималась раздачей интернета и выступала в роли VPN сервера по протоколу PPTP. Несколько дней назад эта железка благополучно умерла и офис и его удаленные клиенты остались без сети (имеется ввиду VPN). Так как настройку почившей железки осуществлял человек уже неработающий в нашей организации, все прелести по настройке Mikrotik достались мне. Собственно проблему с интернетом, телефонией и частично с VPN сетью я решил, проблема только в том что с удаленного офиса я не могу пинговать локалку в головном офисе хотя VPN поднята, из за этого возникает масса проблем с доступом к общим сетевым ресурсам. Очень прошу помощи в решении моей проблемы! Забыл написать, о том что шлюз в головном офисе из удаленного я пингую успешно а вот всех остальных клиентов локальной сети нет.
Добавьте маршруты во все нужные стороны в IP/Route
В Ip/Route при создании L2TP подключения маршрут поподает автоматически из PPP/Profiles. На стороне клиента в удаленном офисе маршрут до головного прописан. Для ясности дам данные моей сети и удаленного офиса:
192.168.10.201 шлюз головного офиса
192.168.10.x локальная сеть головного офиса
192.168.1.1. Шлюз удаленного офиса
192.168.1.x локальная сеть удаленного офиса
192.168.30.1-192.168.30.255 пул для L2TP
Шлюз удаленого офиса это Zyxel Keenetic на нем поднята vpn на l2tp протоколе с ip 30.147


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

ekozlov писал(а): 22 май 2019, 20:04 В Ip/Route при создании L2TP подключения маршрут поподает автоматически из PPP/Profiles. На стороне клиента в удаленном офисе маршрут до головного прописан. Для ясности дам данные моей сети и удаленного офиса:
192.168.10.201 шлюз головного офиса
192.168.10.x локальная сеть головного офиса
192.168.1.1. Шлюз удаленного офиса
192.168.1.x локальная сеть удаленного офиса
192.168.30.1-192.168.30.255 пул для L2TP
Шлюз удаленого офиса это Zyxel Keenetic на нем поднята vpn на l2tp протоколе с ip 30.147
Чтобы строить маршруты нужно для L2TP адреса брать не из пула, а назначить постоянный в ppp/secrets. Там назначаются 2 адреса. Локальный - это адрес со стороны центрального офиса (сервера L2TP), удаленный - адрес со стороны удаленного офиса (клиента L2TP).

И в центральном офисе для удаленного делаете маршрут на сеть удаленного офиса через локальный IP L2TP подключения удаленного офиса.

В удаленном офисе - наоборот. На сеть центрального через "удаленный" IP L2TP подключения удаленного офиса.

Тогда компьютеры из сети удаленного офиса смогут пинговать все ресурсы в сети центрального, и наоборот.

Автоматически добавляется дефолтный маршрут только в удаленном офисе. Но обратный маршрут не добавляется. Поэтому пингов нет.


ekozlov
Сообщения: 5
Зарегистрирован: 22 май 2019, 16:17

Erik_U писал(а): 23 май 2019, 09:37
ekozlov писал(а): 22 май 2019, 20:04 В Ip/Route при создании L2TP подключения маршрут поподает автоматически из PPP/Profiles. На стороне клиента в удаленном офисе маршрут до головного прописан. Для ясности дам данные моей сети и удаленного офиса:
192.168.10.201 шлюз головного офиса
192.168.10.x локальная сеть головного офиса
192.168.1.1. Шлюз удаленного офиса
192.168.1.x локальная сеть удаленного офиса
192.168.30.1-192.168.30.255 пул для L2TP
Шлюз удаленого офиса это Zyxel Keenetic на нем поднята vpn на l2tp протоколе с ip 30.147
Чтобы строить маршруты нужно для L2TP адреса брать не из пула, а назначить постоянный в ppp/secrets. Там назначаются 2 адреса. Локальный - это адрес со стороны центрального офиса (сервера L2TP), удаленный - адрес со стороны удаленного офиса (клиента L2TP).

И в центральном офисе для удаленного делаете маршрут на сеть удаленного офиса через локальный IP L2TP подключения удаленного офиса.

В удаленном офисе - наоборот. На сеть центрального через "удаленный" IP L2TP подключения удаленного офиса.

Тогда компьютеры из сети удаленного офиса смогут пинговать все ресурсы в сети центрального, и наоборот.

Автоматически добавляется дефолтный маршрут только в удаленном офисе. Но обратный маршрут не добавляется. Поэтому пингов нет.
Сделал согласно вашей рекомендации маршрут из центрального до удаленного офиса получилось следующее:
Dst.Address 192.168.1.0/24
Gateway 192.168.30.147
В удаленном офисе маршрут прописан следующий:
Dst.Address 192.168.10.0/24
Gateway 192.168.30.254
Пингуется только мой шлюз в центральном офисе ip 192.168.10.201 все что за ним молчит. При трассеровке маршрута до моего компа 192.168.10.181 через поднятое VPN подключение пакеты упираются в мой vpn шлюз 192.168.30.254 и все. Уже весь мозг сломал, не знаю что еще пробросить или прописать. Спасибо что помогаете но пока результата нет


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

На своем примере.

Дома сеть 192.168.88.0/24, поднят L2TP сервер.
На даче сеть 192.168.13.0/24, поднят L2TP клиент.
Так настроен "секрет" для дачи.
Изображение
Ему присвоены статические адреса как на стороне дома (192.168.87.13/32) там и со стороны дачи (192.168.89.13/32)

Дома сделан постоянный интерфейс (сервер-биндинг) L2TP-Dacha, чтобы его имя можно было использовать в настройках. В настройках профиля у него Only One = Yes, чтобы при реконнектах всегда переподключался именно этот сервер-биндинг интерфейс, а не создавались новые с другими именами.

На домашнем марштуризаторе в IP/Routes стоит маршрут на сеть 192.168.13.0 через интерфейс L2TP-Dacha, Pref. Source = 192.168.87.13.
Если хотите пинговать адрес 192.168.89.13, делаете такой же маршрут до сети 192.168.89.13/32 (через интерфейс L2TP-Dacha, Pref. Source = 192.168.87.13.)

На даче есть интерфейс l2tp-home (L2TP клиент).
И в IP/Routes маршрут до сети 192.168.88.0/24 через интерфейс l2tp-home Pref. Source = 192.168.89.13. Если нужно пинговать 192.168.87.13, такой же маршрут до сети 192.168.87.13/32 (через интерфейс l2tp-home Pref. Source = 192.168.89.13)

Все пингуется в любую сторону.


Ответить