Страница 2 из 2
Re: проблема с трафиком по lt2p+ipsec
Добавлено: 30 мар 2020, 15:46
imaoskol
Давайте на пальцах.
Предварительные условия:
1) Микротик имеет доступ в инет
2) настроен как то файрвол, по дефолту или нет.
3) настройки профилей шифрования по умолчанию
Настройка:
1) L2TP
2) secret
3) Профиль ( нам нужен только ОДИН параметр тут)
4) Нужно правило в цепочке input в файрволе. Для чистоты эксперимента откроем пока что весь INPUT ( временно)
Добавляем правило chain = input action = accept в самый вверх
5) Этих настроек достаточно чтобы клиент уже мог законектиться. Проверяем.
6) Трафик также должен ходить, так как мы добавляли параметр Routes в настройках Secrets.
Если не ходим смотрим файрвол, разрешаем форвард из лок сети в впн
Re: проблема с трафиком по lt2p+ipsec
Добавлено: 30 мар 2020, 16:01
supermicro
imaoskol писал(а): ↑30 мар 2020, 15:33
Во-первых у Вас в настройках l2tp стоит один профиль, а в настройках пользователя другой.
Во вторых в настройках профиля шифрования никакие адреса не нужны!!!
В третьих с маскарадом не понятно... что там в dst address??? зачем вам столько маскарадов?
1. дефолт. У других пользователей стоит такой же как в настройках л2тп
2. там без разницы. С адресами и без них проблема не решается (настройку брал с вики по микротику)
3. маскарад для впн разнесен на разные подсети.
можете скинуть настройки вашего ipsec ?
Re: проблема с трафиком по lt2p+ipsec
Добавлено: 30 мар 2020, 16:33
imaoskol
supermicro писал(а): ↑30 мар 2020, 16:01
imaoskol писал(а): ↑30 мар 2020, 15:33
Во-первых у Вас в настройках l2tp стоит один профиль, а в настройках пользователя другой.
Во вторых в настройках профиля шифрования никакие адреса не нужны!!!
В третьих с маскарадом не понятно... что там в dst address??? зачем вам столько маскарадов?
1. дефолт. У других пользователей стоит такой же как в настройках л2тп
2. там без разницы. С адресами и без них проблема не решается (настройку брал с вики по микротику)
3. маскарад для впн разнесен на разные подсети.
можете скинуть настройки вашего ipsec ?
В посте выше картинки.
Re: проблема с трафиком по lt2p+ipsec
Добавлено: 30 мар 2020, 16:45
supermicro
supermicro писал(а): ↑30 мар 2020, 16:01
imaoskol писал(а): ↑30 мар 2020, 15:33
Во-первых у Вас в настройках l2tp стоит один профиль, а в настройках пользователя другой.
Во вторых в настройках профиля шифрования никакие адреса не нужны!!!
В третьих с маскарадом не понятно... что там в dst address??? зачем вам столько маскарадов?
1. дефолт. У других пользователей стоит такой же как в настройках л2тп
2. там без разницы. С адресами и без них проблема не решается (настройку брал с вики по микротику)
3. маскарад для впн разнесен на разные подсети.
можете скинуть настройки вашего ipsec ?
ipsec настраивали как то ?
Re: проблема с трафиком по lt2p+ipsec
Добавлено: 30 мар 2020, 16:54
imaoskol
supermicro писал(а): ↑30 мар 2020, 16:45
supermicro писал(а): ↑30 мар 2020, 16:01
imaoskol писал(а): ↑30 мар 2020, 15:33
Во-первых у Вас в настройках l2tp стоит один профиль, а в настройках пользователя другой.
Во вторых в настройках профиля шифрования никакие адреса не нужны!!!
В третьих с маскарадом не понятно... что там в dst address??? зачем вам столько маскарадов?
1. дефолт. У других пользователей стоит такой же как в настройках л2тп
2. там без разницы. С адресами и без них проблема не решается (настройку брал с вики по микротику)
3. маскарад для впн разнесен на разные подсети.
можете скинуть настройки вашего ipsec ?
ipsec настраивали как то ?
Выше я привел картинки.
Ipsec настраивался. Есть галка use ipsec.
Re: проблема с трафиком по lt2p+ipsec
Добавлено: 30 мар 2020, 16:57
imaoskol
Мы ставим галку ipsec
Микротик сам генерит политики ipsec.
Если нужны специфические настройки ipsec, можете поправить дефолтный proporsal
Re: проблема с трафиком по lt2p+ipsec
Добавлено: 30 мар 2020, 16:58
supermicro
imaoskol писал(а): ↑30 мар 2020, 15:46
Давайте на пальцах.
Предварительные условия:
1) Микротик имеет доступ в инет
2) настроен как то файрвол, по дефолту или нет.
3) настройки профилей шифрования по умолчанию
Настройка:
1) L2TP
2) secret
3) Профиль ( нам нужен только ОДИН параметр тут)
4) Нужно правило в цепочке input в файрволе. Для чистоты эксперимента откроем пока что весь INPUT ( временно)
Добавляем правило chain = input action = accept в самый вверх
5) Этих настроек достаточно чтобы клиент уже мог законектиться. Проверяем.
6) Трафик также должен ходить, так как мы добавляли параметр Routes в настройках Secrets.
Если не ходим смотрим файрвол, разрешаем форвард из лок сети в впн
проблем с коннектом нет никаких
проблемы возникают если открыть пару картинок на удаленном пк .
пинг высокий и пакеты начинают теряться.
как только картинки закроем все нормально.
Re: проблема с трафиком по lt2p+ipsec
Добавлено: 01 апр 2020, 14:55
imaoskol
C коннектом проблем и не будет.
Но как у Вас настроена маршрутизация??? Законектились нормально, а как только пытаетесь куда то зайти наинаются обрывы.
Предположу что процессор очень сильно нагружен шифрованием-расшифровкой пакетов.
Настройте так как я Вам описал Выше с картинками. Уберите непонятные правила маскарадинга.
Re: проблема с трафиком по lt2p+ipsec
Добавлено: 01 апр 2020, 15:20
easyman
запускайте wireshark на win клиенте и смотрите что у вас с tcp происходит, когда картинку качаете.