Страница 1 из 2
настройка l2tp с нуля
Добавлено: 11 фев 2021, 16:27
vladimir.kolesnikov
Господа, всем доброго времени суток!
стоит задача спрятать сеть видеонаблюдения за коммутатором (есть в наличии CRS112-8P-4S-IN).
условия следующие - 2 сети
корпоративная (lan) - 172.30.30.0
видеонаблюдение (video) - 192.168.1.0
физически эти сети приходят линками в CRS112-8P-4S-IN
для администрирования организовать доступ к сети video через l2tp подключение с рабочего места в сети lan.
Опыта в сетях очень мало, в микротик еще меньше.
Что попытался сделать
создал 2 бриджа
в br-lan приходит сеть lan
в br-video приходит сеть video
после прочтения этих инструкций
https://настройка-микротик.укр/nastrojk ... rver-l2tp/
https://mikrotiklab.ru/nastrojka/artga-l2tp-server.html
настроил l2tp сервер, к которому подключаюсь с рабочего места в сети lan штатными средствами win
внутри поднятого туннеля коммутатор пингуется . Насколько я понимаю далее нужно настроить маршрутизацию на коммутаторе и вот с этим ничего не получается.
еще не понятно какая адресация должна быть в туннеле?
подскажите хотя бы тезисно что делать
Re: настройка l2tp с нуля
Добавлено: 11 фев 2021, 19:19
Ca6ko
Выполнить п.5 и 6 красных правил вверху страницы.
Re: настройка l2tp с нуля
Добавлено: 12 фев 2021, 09:20
vladimir.kolesnikov
/export hide-sensitive
[admin@MikroTik] > /export hide-sensitive
# jul/27/1970 23:26:46 by RouterOS 6.48
# software id = MNX0-X2U2
#
# model = CRS112-8P-4S
# serial number = 9B2007FF7A45
/interface bridge
add name=br-lan protocol-mode=none
add name=br-video protocol-mode=none
/interface list
add name=list1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=vpn-pool ranges=192.168.1.202,192.168.1.203
/ppp profile
add change-tcp-mss=no local-address=192.168.1.202 name=l2tp only-one=no \
remote-address=vpn-pool use-compression=yes use-encryption=yes use-mpls=no \
use-upnp=no
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=br-video interface=ether4
add bridge=br-lan interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes use-ipsec=yes
/ip address
add address=192.168.1.201 interface=ether4 network=255.255.255.0
/ip dhcp-client
add add-default-route=no disabled=no interface=br-lan
/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=br-video
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add name=user profile=l2tp
схема
Re: настройка l2tp с нуля
Добавлено: 12 фев 2021, 09:55
Erik_U
А зачем L2TP?
Это обязательное требование?
Можно просто запретить маршрутизацию между сетями 172 и 192 для всех, кроме администратора.
Re: настройка l2tp с нуля
Добавлено: 12 фев 2021, 10:04
vladimir.kolesnikov
Erik_U писал(а): ↑12 фев 2021, 09:55
А зачем L2TP?
Это обязательное требование?
Можно просто запретить маршрутизацию между сетями 172 и 192 для всех, кроме администратора.
позже туда добавить еще 2 изолированные сети тех. средств охраны
а из корпоративной сети нас ИБ прогоняют. мол разрабатывайте правила для вашего трафика на IPC/IDS или уходите
в общем пока проще так.
Re: настройка l2tp с нуля
Добавлено: 12 фев 2021, 11:00
Erik_U
Тогда сделайте фиксированный интерфйс (L2TP Server Binding) для конкретного логина.
В "секрете" для этого логина назначьте конкретные внешний и внутренний адреса. В профиле включите "Only one", чтобы он переподключался при обрыве всегда под этим же IP.
И добавьте маршрут на адрес этого клиента в таблицу маршрутов на микротике.
Re: настройка l2tp с нуля
Добавлено: 12 фев 2021, 15:01
vladimir.kolesnikov
Erik_U писал(а): ↑12 фев 2021, 11:00
1. Тогда сделайте фиксированный интерфйс (L2TP Server Binding) для конкретного логина.
2. В "секрете" для этого логина назначьте конкретные внешний и внутренний адреса.
3. В профиле включите "Only one", чтобы он переподключался при обрыве всегда под этим же IP.
4. И добавьте маршрут на адрес этого клиента в таблицу маршрутов на микротике.
Огромное спасибо, что откликнулись
1 . У меня в секрете один пользователь "user". В L2TP Server Binding его нужно прописать?
2. внутренний это Local Address, а внешний это Remote Address? из какого диапазона брать адреса?
Re: настройка l2tp с нуля
Добавлено: 12 фев 2021, 15:09
Erik_U
1. Да.
2. Любые. Тот адрес, который вы там напишите системой будет вырезан в подсеть /32 (состоящую из одного адреса). Указывайте не из диапазона своей локальной сети. Чтобы не путаться.
Re: настройка l2tp с нуля
Добавлено: 12 фев 2021, 15:33
vladimir.kolesnikov
назначил для
Local Address 192.168.0.1
Remote Address 192.168.0.2
соответственно при подключении l2tp получаю адрес 192.168.0.2.
теперь чтобы получить доступ к сегменту (video) - 192.168.1.0
нужно:
1. сделать на микротике маршрут между 192.168.0.1 и 192.168.1.0?
2. сделать статический маршрут на ПК с которого подключаться к микротик типа "route add 192.168.1.0 mask 255.255.255.0 192.168.0.1"?
Re: настройка l2tp с нуля
Добавлено: 15 фев 2021, 09:54
vladimir.kolesnikov
исправил маршрут на АРМ
route add 192.168.0.0 mask 255.255.253.0 192.168.0.1 if 38
Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30
1 2 ms 1 ms 1 ms 192.168.0.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
[admin@MikroTik] >> /export hide-sensitive
# jul/31/1970 00:53:01 by RouterOS 6.48
# software id = MNX0-X2U2
#
# model = CRS112-8P-4S
# serial number = 9B2007FF7A45
/interface l2tp-server
add name=l2tp-in1 user=user
/interface bridge
add name=br-lan protocol-mode=none
add name=br-video protocol-mode=none
/interface list
add name=list1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=vpn-pool ranges=192.168.1.202,192.168.1.203
/ppp profile
add change-tcp-mss=no name=l2tp only-one=yes use-compression=yes use-encryption=yes use-mpls=no use-upnp=no
/user group
set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=br-video interface=ether4
add bridge=br-lan interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes use-ipsec=yes
/ip address
add address=192.168.1.201 interface=ether4 network=255.255.255.0
/ip dhcp-client
add add-default-route=no disabled=no interface=br-lan
/ip route
add distance=1 dst-address=192.168.0.0/23 gateway=l2tp-in1
add distance=1 dst-address=192.168.1.0/24 gateway=br-video
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add local-address=192.168.0.1 name=user profile=l2tp remote-address=192.168.0.2
[admin@MikroTik] >>
не работает