Страница 1 из 8
VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 29 сен 2020, 16:50
bolshe
Прошу подсказать как поднять L2TP/PPTP клиент (или какой-либо VPN) который будет работать через резервный канал.
Конфиг примерно такой:
/interface l2tp-client
add allow=mschap2 connect-to=82.19.24.1 disabled=no ipsec-secret=\
secretpasswordTuT name=L2TP-MAIN password=\
passwordSuda use-ipsec=yes user=clientl2Tp
/ip ipsec profile
set [ find default=yes ] dh-group=modp3072 enc-algorithm=aes-128 \
hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-128-cbc \
pfs-group=none
/ip address
add address=192.168.8.2/30 comment="ISP RESERVED" interface=lte1 network=\
192.168.8.0
add address=21.31.40.186/30 comment="ISP MAIN" interface=ether1 network=\
21.31.40.184
/ip firewall nat
add action=masquerade chain=srcnat comment=MASQUERADE out-interface=ether1
add action=masquerade chain=srcnat out-interface=lte1
/ip route
add comment=MainISP distance=1 gateway=21.31.40.185
add comment="ISP RESERVED" distance=2 gateway=192.168.8.1
Желаем поднять второй VPN клиент подключающийся к 82.19.24.1 через интерфейс lte1 для централизованного отслеживания работы резервных каналов (модемов). Заранее благодарю всех! Хорошего дня!
Re: VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 29 сен 2020, 16:53
bolshe
На всякий случай - клиенты RB2011UiAS, центральный 3011UiAS. Спасибо
Re: VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 05 окт 2020, 15:17
bolshe
Может кто-о помочь?
Re: VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 05 окт 2020, 16:37
KaNelam
Промаркируйте трафик для lte1 при помощи mark route для нужных протоколов и портов, не забыть про дефроут для нужного маркоута. Источником у вас всыступает статический адрес (впн) - его тоже в правило, чтоб без путаницы.
Re: VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 05 окт 2020, 18:20
bolshe
можно пример\кусок конфига? Я делал мангл с прероутингом интерфейса и маркировкой роута, рисовал соответствующий порт(VPN-test) но соединение всё-ровно уходит через основной канал....
Re: VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 06 окт 2020, 11:21
KaNelam
In-interface, distance, gateway указать свои.
Код: Выделить всё
/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=500,1701,4500 in-interface=IP new-connection-mark=first passthrough=no protocol=udp
add action=mark-routing chain=output connection-mark=first new-routing-mark=VPN passthrough=no
/ip route
add distance=2 gateway=1.1.1.1 routing-mark=VPN
Re: VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 14 окт 2020, 13:05
bolshe
KaNelam писал(а): ↑06 окт 2020, 11:21
In-interface, distance, gateway указать свои.
Код: Выделить всё
/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=500,1701,4500 in-interface=IP new-connection-mark=first passthrough=no protocol=udp
add action=mark-routing chain=output connection-mark=first new-routing-mark=VPN passthrough=no
/ip route
add distance=2 gateway=1.1.1.1 routing-mark=VPN
Код: Выделить всё
/ip firewall mangle
# l2tp-tst not ready
add action=mark-connection chain=prerouting in-interface=l2tp-tst \
new-connection-mark=first passthrough=no protocol=udp
add action=mark-routing chain=output connection-mark=first new-routing-mark=\
vpn passthrough=no
/ip route
add distance=1 gateway=192.168.8.1 routing-mark=vpn
С такими правилами мангл который оутпут - пакеты не капают, не пойму в чём проблема, скриншот прикрепил
Re: VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 14 окт 2020, 13:06
bolshe
ну и в таком случае резервный ВПН подключается так-же через основной канал
Re: VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 14 окт 2020, 13:43
Erik_U
bolshe писал(а): ↑29 сен 2020, 16:50
Прошу подсказать как поднять L2TP/PPTP клиент (или какой-либо VPN) который будет работать через резервный канал.
Конфиг примерно такой:
/interface l2tp-client
add allow=mschap2 connect-to=82.19.24.1 disabled=no ipsec-secret=\
secretpasswordTuT name=L2TP-MAIN password=\
passwordSuda use-ipsec=yes user=clientl2Tp
/ip ipsec profile
set [ find default=yes ] dh-group=modp3072 enc-algorithm=aes-128 \
hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-128-cbc \
pfs-group=none
В вашем случае (вы используете IPSEC) сначала устанавливается соединение IPSEC, а потом, по зашифрованному соединению происходит соединение L2TP.
Если у вас в обоих случаях сервер один и тот же (один белый IP адрес) то вы н сможете перенаправить IPSEC на разные интерфейсы, всегда будет работать маршрут по-умолчанию.
И мангл вам не поможет. Бесполезно красить манглом L2TP, он внутри шифрованного соединения красится не будет.
Для того, чтобы иметь 2 L2TP с IPSEC одновременно по разным каналам, нужно 2 микротика. А управлять маршрутизацией через OSPF.
Re: VPN (L2TP/PPTP) клиент через резервный канал
Добавлено: 14 окт 2020, 14:01
bolshe
Erik_U писал(а): ↑14 окт 2020, 13:43
bolshe писал(а): ↑29 сен 2020, 16:50
Прошу подсказать как поднять L2TP/PPTP клиент (или какой-либо VPN) который будет работать через резервный канал.
Конфиг примерно такой:
/interface l2tp-client
add allow=mschap2 connect-to=82.19.24.1 disabled=no ipsec-secret=\
secretpasswordTuT name=L2TP-MAIN password=\
passwordSuda use-ipsec=yes user=clientl2Tp
/ip ipsec profile
set [ find default=yes ] dh-group=modp3072 enc-algorithm=aes-128 \
hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-128-cbc \
pfs-group=none
В вашем случае (вы используете IPSEC) сначала устанавливается соединение IPSEC, а потом, по зашифрованному соединению происходит соединение L2TP.
Если у вас в обоих случаях сервер один и тот же (один белый IP адрес) то вы н сможете перенаправить IPSEC на разные интерфейсы, всегда будет работать маршрут по-умолчанию.
И мангл вам не поможет. Бесполезно красить манглом L2TP, он внутри шифрованного соединения красится не будет.
Для того, чтобы иметь 2 L2TP с IPSEC одновременно по разным каналам, нужно 2 микротика. А управлять маршрутизацией через OSPF.
Айписек на резервном l2tp отключен, резервный канал - модем с серым адресом
Про маршрутизацию вообще не понял если честно, OSPF все дела. Мне нужно впн соединение только для проверки статуса работы резервного канала с стороны центрального сервера.