Клиенты VPN не видят друг друга

Обсуждение ПО и его настройки
Ответить
Ca6ko
Сообщения: 577
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

14 июл 2019, 18:23

Чегой-то я запутался. Подскажите где копать
VPN L2TP сервер и два клиента все микротики. на сервере концы тоннелей Х.Х.Х.1 в бридже, на клиентах Х.Х.Х.2 и Х.Х.Х.3.
Маршруты прописаны сервер пингует оба конца тоннелей и сети за ними взаимно, а вот Х.Х.Х.2 и Х.Х.Х.3 друг друга не видят, не пингуются. Соответственно и не активны маршруты до сетей за ними.


Устройство, которое пользователь не носит с собой должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные ...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2156
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

14 июл 2019, 18:57

(как догадка)
А сделали binding-L2TP ?

Просто при каждом подключении, сессия(и) - они для роутера новые, и маршруты
на них ранее созданные/прописанные = НЕ применяются.
Надо "прибить" юзера(логин) к интерфейсу (сделать статический) и уже этот статический
созданный (прибитый) интерфейс и использовать в таблице маршрутизации и делать маршрутизацию.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ca6ko
Сообщения: 577
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

14 июл 2019, 21:20

Ваши догадки правильные. Когда прошлый раз делал аналогичную схему прибивал. В этот раз забыл.
Но создание статических L2TP интерфейсов на сервере ситуацию не изменили. Концы по прежнему не видят друг друга


Устройство, которое пользователь не носит с собой должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные ...
Ca6ko
Сообщения: 577
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

14 июл 2019, 23:02

попробовал на сервере задать разные IP для концов туннелей, трасероут показывает что добравшись до сервера маршрут уходит в WAN порт. Прописав маршрут могу даже пинговать на сервере оба конца , но дальше в туннель маршрут почему-то не идет уходит в WAN.


Устройство, которое пользователь не носит с собой должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные ...
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2156
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

15 июл 2019, 02:19

Ca6ko писал(а):
14 июл 2019, 23:02
попробовал на сервере задать разные IP для концов туннелей, трасероут показывает что добравшись до сервера маршрут уходит в WAN порт. Прописав маршрут могу даже пинговать на сервере оба конца , но дальше в туннель маршрут почему-то не идет уходит в WAN.
Сделайте пинг какова-то узла на одной стороне, и посмотрите торчем на другом роутере,
что и как, с каким айпи приходит...на второй стороне.
Вдруг НАТяться данные сети? Сделать исключения....в правилах...
Лучше это сделать это двумя тестами:
1) с роутера - пинг - на роутер
2) с клиента - пинг- на клиента...

Или может где-то на роутере есть сеть, с большей маской, и туда эти пакеты
по маршрутизации уходят (а им туда и не надо).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 1031
Зарегистрирован: 09 июл 2014, 12:33

15 июл 2019, 08:07

Ca6ko писал(а):
14 июл 2019, 18:23
Чегой-то я запутался. Подскажите где копать
VPN L2TP сервер и два клиента все микротики. на сервере концы тоннелей Х.Х.Х.1 в бридже, на клиентах Х.Х.Х.2 и Х.Х.Х.3.
Маршруты прописаны сервер пингует оба конца тоннелей и сети за ними взаимно, а вот Х.Х.Х.2 и Х.Х.Х.3 друг друга не видят, не пингуются. Соответственно и не активны маршруты до сетей за ними.
l2tp у микротика на каждое соединение делает 2 IP адреса с маской /32.
Один вешает на микротик, второй - на клиента.

Для двух клиентов у вас IP пространство такое (помимо IP сетей, настроенных для локальной сети и интернета)

на сервере - y.y.y.1/32 и y.y.y.2/32
на клиентах - х x.x.x.1/32 и x.x.x.2/32
Ни один их этих адресов НЕ должен быть в бридже. С этими адресами и интерфейсами взаимодействие всегда через маршрутизацию.

Чтобы было удобно ими оперировать, на микротике (l2tp сервер) нужно в настройках PPP-секретов прописать фиксированные IP (не брать их из динамического пула) и сделать 2 биндинга (L2TP сервер биндинг) для двух клиентов. В профиле для этих клиентов обязательно поставить "only one", тогда повторное соединение всегда будет делаться под этим фиксированным биндингом. В противном случае создается рядом новый интерфейс с другим именем, и настройки, сделанные для фиксированного биндинга перестают действовать.

Далее, чтобы клиенты видели друг друга, нужно на микротике ((l2tp сервер) прописать маршруты до х x.x.x.1/32 и x.x.x.2/32 через интерфейсы-биндинги с указанием pref.source y.y.y.1/32 и y.y.y.2/32 соответственно.

А чтобы из подсетей, находящихся за микротиками-клиентами заходить на микротики-клиенты, на каждом микротике-клиенте сделать маршруты до сетей y.y.y.у/32 и х x.x.x.x/32 и локальных сетей друга дружки (по 3 маршрута).


Ca6ko
Сообщения: 577
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

15 июл 2019, 12:13

Спасибо всем откликнувшимся. Направили. Победил.
Опишу подробнее может кому понадобится и так схема

Изображение

Клиент№1 и Сервер видят друг друга и сети за ними
Клиент№2 и Сервер видят друг друга и сети за ними
Клиент№1 и Клиент№2 не видят друг друга и сети за ними
С Клиента№1 пинг до Х.Х.Х.6 и .5 не проходят

понадобилось прописать маршруты на клиентах до концов туннелей
На клиенте №1
/ip route
add distance=1 dst-address=Х.Х.Х.5/32 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.0.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.1.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2

Соответственно обратный на клиенте №2 до Х.Х.Х.2

/ip route
add distance=1 dst-address=Х.Х.Х.2/32 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.1.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.2.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5


Устройство, которое пользователь не носит с собой должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные ...
Ответить