Клиенты VPN не видят друг друга

Обсуждение ПО и его настройки
Ответить
Ca6ko
Сообщения: 481
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

14 июл 2019, 18:23

Чегой-то я запутался. Подскажите где копать
VPN L2TP сервер и два клиента все микротики. на сервере концы тоннелей Х.Х.Х.1 в бридже, на клиентах Х.Х.Х.2 и Х.Х.Х.3.
Маршруты прописаны сервер пингует оба конца тоннелей и сети за ними взаимно, а вот Х.Х.Х.2 и Х.Х.Х.3 друг друга не видят, не пингуются. Соответственно и не активны маршруты до сетей за ними.


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
SXT 2, SXTsq Lite2, SXT Lite2, LHG 5
Устройство, которое пользователь не носит с собой должно подключаться кабелем!!
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2114
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

14 июл 2019, 18:57

(как догадка)
А сделали binding-L2TP ?

Просто при каждом подключении, сессия(и) - они для роутера новые, и маршруты
на них ранее созданные/прописанные = НЕ применяются.
Надо "прибить" юзера(логин) к интерфейсу (сделать статический) и уже этот статический
созданный (прибитый) интерфейс и использовать в таблице маршрутизации и делать маршрутизацию.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ca6ko
Сообщения: 481
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

14 июл 2019, 21:20

Ваши догадки правильные. Когда прошлый раз делал аналогичную схему прибивал. В этот раз забыл.
Но создание статических L2TP интерфейсов на сервере ситуацию не изменили. Концы по прежнему не видят друг друга


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
SXT 2, SXTsq Lite2, SXT Lite2, LHG 5
Устройство, которое пользователь не носит с собой должно подключаться кабелем!!
Ca6ko
Сообщения: 481
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

14 июл 2019, 23:02

попробовал на сервере задать разные IP для концов туннелей, трасероут показывает что добравшись до сервера маршрут уходит в WAN порт. Прописав маршрут могу даже пинговать на сервере оба конца , но дальше в туннель маршрут почему-то не идет уходит в WAN.


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
SXT 2, SXTsq Lite2, SXT Lite2, LHG 5
Устройство, которое пользователь не носит с собой должно подключаться кабелем!!
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2114
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

15 июл 2019, 02:19

Ca6ko писал(а):
14 июл 2019, 23:02
попробовал на сервере задать разные IP для концов туннелей, трасероут показывает что добравшись до сервера маршрут уходит в WAN порт. Прописав маршрут могу даже пинговать на сервере оба конца , но дальше в туннель маршрут почему-то не идет уходит в WAN.
Сделайте пинг какова-то узла на одной стороне, и посмотрите торчем на другом роутере,
что и как, с каким айпи приходит...на второй стороне.
Вдруг НАТяться данные сети? Сделать исключения....в правилах...
Лучше это сделать это двумя тестами:
1) с роутера - пинг - на роутер
2) с клиента - пинг- на клиента...

Или может где-то на роутере есть сеть, с большей маской, и туда эти пакеты
по маршрутизации уходят (а им туда и не надо).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Erik_U
Сообщения: 1011
Зарегистрирован: 09 июл 2014, 12:33

15 июл 2019, 08:07

Ca6ko писал(а):
14 июл 2019, 18:23
Чегой-то я запутался. Подскажите где копать
VPN L2TP сервер и два клиента все микротики. на сервере концы тоннелей Х.Х.Х.1 в бридже, на клиентах Х.Х.Х.2 и Х.Х.Х.3.
Маршруты прописаны сервер пингует оба конца тоннелей и сети за ними взаимно, а вот Х.Х.Х.2 и Х.Х.Х.3 друг друга не видят, не пингуются. Соответственно и не активны маршруты до сетей за ними.
l2tp у микротика на каждое соединение делает 2 IP адреса с маской /32.
Один вешает на микротик, второй - на клиента.

Для двух клиентов у вас IP пространство такое (помимо IP сетей, настроенных для локальной сети и интернета)

на сервере - y.y.y.1/32 и y.y.y.2/32
на клиентах - х x.x.x.1/32 и x.x.x.2/32
Ни один их этих адресов НЕ должен быть в бридже. С этими адресами и интерфейсами взаимодействие всегда через маршрутизацию.

Чтобы было удобно ими оперировать, на микротике (l2tp сервер) нужно в настройках PPP-секретов прописать фиксированные IP (не брать их из динамического пула) и сделать 2 биндинга (L2TP сервер биндинг) для двух клиентов. В профиле для этих клиентов обязательно поставить "only one", тогда повторное соединение всегда будет делаться под этим фиксированным биндингом. В противном случае создается рядом новый интерфейс с другим именем, и настройки, сделанные для фиксированного биндинга перестают действовать.

Далее, чтобы клиенты видели друг друга, нужно на микротике ((l2tp сервер) прописать маршруты до х x.x.x.1/32 и x.x.x.2/32 через интерфейсы-биндинги с указанием pref.source y.y.y.1/32 и y.y.y.2/32 соответственно.

А чтобы из подсетей, находящихся за микротиками-клиентами заходить на микротики-клиенты, на каждом микротике-клиенте сделать маршруты до сетей y.y.y.у/32 и х x.x.x.x/32 и локальных сетей друга дружки (по 3 маршрута).


Ca6ko
Сообщения: 481
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

15 июл 2019, 12:13

Спасибо всем откликнувшимся. Направили. Победил.
Опишу подробнее может кому понадобится и так схема

Изображение

Клиент№1 и Сервер видят друг друга и сети за ними
Клиент№2 и Сервер видят друг друга и сети за ними
Клиент№1 и Клиент№2 не видят друг друга и сети за ними
С Клиента№1 пинг до Х.Х.Х.6 и .5 не проходят

понадобилось прописать маршруты на клиентах до концов туннелей
На клиенте №1
/ip route
add distance=1 dst-address=Х.Х.Х.5/32 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.0.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.1.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2

Соответственно обратный на клиенте №2 до Х.Х.Х.2

/ip route
add distance=1 dst-address=Х.Х.Х.2/32 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.1.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.2.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5


RB3011UiAS, RB2011, CRS328, CSS326, cAP ac, wAP ac, hex PoE, RB260GSP, hAP ac lite и hAP lite
SXT 2, SXTsq Lite2, SXT Lite2, LHG 5
Устройство, которое пользователь не носит с собой должно подключаться кабелем!!
Ответить