Страница 1 из 5
l2tp+ipsec клиент не видит локальную сеть
Добавлено: 23 июл 2016, 14:15
Spyatil
Добрый день. Обращаюсь за помощью, так как google не помог(
Удаленный пользователь не видит сеть за портом lan, tracert соответственно идет до 192.168.90.1, при этом в интернет доступ есть.
Все правила фаервола убрал, думал что он блокирует... Не помогло.
На клиете (Windows 7) стоит галка использовать удаленный шлюз сети.
Железо RB2011UiAS RouterOS 6.36
export
Код: Выделить всё
/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp name=lan
set [ find default-name=ether10 ] name=wan poe-out=off
/ip ipsec policy group
set
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,aes-128-ctr
/ip pool
add name=l2tp_pool1 ranges=192.168.90.2-192.168.90.50
/ppp profile
add local-address=192.168.90.1 name=l2tp_profile1 remote-address=l2tp_pool1 use-upnp=yes
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=avz451 use-ipsec=yes
/ip address
add address=192.168.9.200/24 interface=lan network=192.168.9.0
add address=x.x.x.x/29 interface=wan network=y.y.y.y
/ip dns
set servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat log-prefix="" out-interface=wan
add action=dst-nat chain=dstnat dst-port=3058 in-interface=wan log=yes log-prefix="" protocol=tcp to-addresses=192.168.9.162 to-ports=3058
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override secret=avz451
/ip route
add distance=1 gateway=z.z.z.z
/ppp secret
add local-address=192.168.90.1 name=user1 password=user1new profile=l2tp_profile1 remote-address=192.168.90.20 service=l2tp
Re: l2tp+ipsec клиент не видит локальную сеть
Добавлено: 25 июл 2016, 16:11
Spyatil
На микротике маршрут динамически поднимается, в таблице роутов семерки также дефолтный маршрут появляется, запрещающих правил нет...
Re: l2tp+ipsec клиент не видит локальную сеть
Добавлено: 26 июл 2016, 12:49
Spyatil
Вопрос совсем чайника, что ни кто не подскажет?
Re: l2tp+ipsec клиент не видит локальную сеть
Добавлено: 26 июл 2016, 13:27
evgeniy7676
c 7 покажи ipconfig /all и route print ,это у тебя какойто один клиент не подключается ?или ты просто строить начал
Re: l2tp+ipsec клиент не видит локальную сеть
Добавлено: 26 июл 2016, 14:07
Spyatil
evgeniy7676 писал(а):c 7 покажи ipconfig /all и route print ,это у тебя какойто один клиент не подключается ?или ты просто строить начал
route print
Код: Выделить всё
===========================================================================
Список интерфейсов
32...........................VPN-подключение
16...d0 53 49 d1 7f 9c ......Устройства Bluetooth (личной сети) #2
14...68 f7 28 9c 0d 53 ......Realtek PCIe GBE Family Controller
11...d0 53 49 d1 7f 9b ......Qualcomm Atheros AR956x Wireless Network Adapter
1...........................Software Loopback Interface 1
19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
21...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
20...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
17...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
22...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
===========================================================================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.34 4250
0.0.0.0 0.0.0.0 On-link 192.168.90.20 26
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
176.192.98.204 255.255.255.255 192.168.1.1 192.168.1.34 4251
192.168.1.0 255.255.255.0 On-link 192.168.1.34 4506
192.168.1.34 255.255.255.255 On-link 192.168.1.34 4506
192.168.1.255 255.255.255.255 On-link 192.168.1.34 4506
192.168.90.20 255.255.255.255 On-link 192.168.90.20 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 192.168.1.34 4507
224.0.0.0 240.0.0.0 On-link 192.168.90.20 26
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 192.168.1.34 4506
255.255.255.255 255.255.255.255 On-link 192.168.90.20 281
===========================================================================
Постоянные маршруты:
Отсутствует
IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует
ipconfig /all
Код: Выделить всё
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : nout
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Смешанный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Адаптер PPP VPN-подключение:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VPN-подключение
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.90.20(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . : 0.0.0.0
DNS-серверы. . . . . . . . . . . : 8.8.8.8
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Сетевое подключение Bluetooth 2:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Устройства Bluetooth (личной сети) #2
Физический адрес. . . . . . . . . : D0-53-49-D1-7F-9C
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Ethernet adapter Подключение по локальной сети:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 68-F7-28-9C-0D-53
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Адаптер беспроводной локальной сети Беспроводное сетевое соединение:
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Qualcomm Atheros AR956x Wireless Network Adapter
Физический адрес. . . . . . . . . : D0-53-49-D1-7F-9B
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.34(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 26 июля 2016 г. 10:18:25
Срок аренды истекает. . . . . . . . . . : 26 июля 2016 г. 20:48:24
Основной шлюз. . . . . . . . . : 192.168.1.1
DHCP-сервер. . . . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен
Туннельный адаптер isatap.{7A8CCCB9-F75D-44FA-B8B3-BA9FF849B238}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{AB20AB0C-1DDE-4201-96A0-13E657D53895}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #2
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{59CFC653-A9FB-4185-9403-5D7107BCF286}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #3
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер isatap.{55D1767A-EBE9-4A66-947F-3090F0D1AAA8}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP #4
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Re: l2tp+ipsec клиент не видит локальную сеть
Добавлено: 26 июл 2016, 16:10
evgeniy7676
попробуй вместо
/ip firewall nat
add action=masquerade chain=srcnat log-prefix="" out-interface=wan
add action=dst-nat chain=dstnat dst-port=3058 in-interface=wan log=yes log-prefix="" protocol=tcp to-addresses=192.168.9.162 to-ports=3058
пропиши
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.9.0/24
add action=masquerade chain=srcnat src-address=192.168.90.0/24
Re: l2tp+ipsec клиент не видит локальную сеть
Добавлено: 26 июл 2016, 23:37
KARaS'b
А что-то на вашей семерке маршрута в сеть за микротиком-то не видно, вот оно и не работает.
Попробовал на своем - если не ставлю галку "использовать основной шлюз в удаленной сети", то маршрут появляется, если ставлю, то все как у вас, инет есть а маршрута нет и сеть не доступна.
Re: l2tp+ipsec клиент не видит локальную сеть
Добавлено: 27 июл 2016, 16:44
Spyatil
evgeniy7676 писал(а):попробуй вместо
/ip firewall nat
add action=masquerade chain=srcnat log-prefix="" out-interface=wan
add action=dst-nat chain=dstnat dst-port=3058 in-interface=wan log=yes log-prefix="" protocol=tcp to-addresses=192.168.9.162 to-ports=3058
пропиши
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.9.0/24
add action=masquerade chain=srcnat src-address=192.168.90.0/24
Заработало, с моими правилами. Хм, вероятно это какое то разумеющееся знание что его не описывают в howto. Спасибо!
Re: l2tp+ipsec клиент не видит локальную сеть
Добавлено: 27 июл 2016, 16:48
Spyatil
KARaS'b писал(а):А что-то на вашей семерке маршрута в сеть за микротиком-то не видно, вот оно и не работает.
Попробовал на своем - если не ставлю галку "использовать основной шлюз в удаленной сети", то маршрут появляется, если ставлю, то все как у вас, инет есть а маршрута нет и сеть не доступна.
Если клиент использует основной шлюз в удаленной сети то по моему разумению нет необходимости описывать какие конкретно сети там должны быть, на то он и по умолчанию, если нет конкретного маршрута то он отправляет запрос на шлюз по умолчанию, который знает где...
и не понятно как у вас тогда появляется сам маршрут без галки "использовать основной шлюз в удаленной сети"
Re: l2tp+ipsec клиент не видит локальную сеть
Добавлено: 09 авг 2016, 23:27
Mapcer
Народ, такая же беда. поднял L2TP -IPsec, на микротике.
С клиента подключаюсь, заведомо убрал галочку "использовать основной шлюз удаленной сети" и клиент локалку не видит.
Только после добавления ручками маршрута на клиенте: route add и так далее у клиента все начинает работать.
Подскажите. как сделать так, чтобы клиенту не пришлось прописывать маршрут руками?
Мне предстоит поставить железку на удаленной точке, а данные по VPN директор сам будет решать кому выдавать. Неужели придется объяснять как на компе маршрут прописывать? микротик сам не может назначить вместе с выдачей ip-шника?