Страница 1 из 1
VPN l2tp маршруты
Добавлено: 11 дек 2016, 20:12
Mikhail
Доброго дня!
Микротик RB750Gr3.
Настроил l2tp ipsec сервер для доступа в локальную сеть офиса. Удаленные клиенты конектятся, видят локальную сеть, но есть проблема-
-- они ходят в интернет теперь через соединение л2тп. Маршруты прописывать на клиентах нет возможности.
Мануалов по настройке л2тп полно, но ни в одном не описана данная проблема.
Может кто знает?
Re: VPN l2tp маршруты
Добавлено: 11 дек 2016, 20:32
DmNuts
Если клиенты на Windows, в свойствах подключения откройте Свойства протокола TCP/IPv4 - Дополнительно - Использовать основной шлюз в удалённой сети. Параметр отключить. Повторить для TCP/IPv6.
Re: VPN l2tp маршруты
Добавлено: 11 дек 2016, 20:50
Mikhail
Клиенты разные. Айфоны, мак осы, андройды... да что угодно может быть. Возможность настройки клиентов отсутсвует ( нанятые , постоянно меняющиеся фрилансеры).
Да и для своего развития не плохо было бы узнать решение.
До этого было решено цисковским аниконнектом на АСАв.
Как на л2тп сделать...?
Re: VPN l2tp маршруты
Добавлено: 11 дек 2016, 21:16
DmNuts
Рекомендую выполнить п.5 правил текущего подфорума.
А пока попробуем сеанс телепатии:
1) Раздайте клиентам инструкцию по правильной настройке подключения, раз они сами его создают.
2) На Микротике в правиле маскарадинга добавьте параметр src-address=!диапазон_IP-адресов_клиентов_l2tp. Или добавьте в файрвол правило
Код: Выделить всё
add action=reject chain=forward src-address=диапазон_IP-адресов_клиентов_l2tp dst-address=!офисная_подсеть reject-with=icmp-admin-prohibited
В этом случае даже те, кто неправильно настроил своё подключение, инет через ваш шлюз не получат.
Re: VPN l2tp маршруты
Добавлено: 11 дек 2016, 23:51
Mikhail
1. Инструкция не спасет отца русской демократии( Айфоны от этого не заработают....
2. В таком варианте пропадает вообще интернет у удаленных клиентов пока они подключены по впн.
# dec/12/2016 03:33:24 by RouterOS 6.38rc46
# software id = 3Z1E-AEG3
#
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,aes-128-cbc,3des
/ip pool
add name=dhcp ranges=172.16.5.10-172.16.5.100
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=l2tp_ipsec ranges=172.16.6.1-172.16.6.20
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether2-master name=defconf
/ppp profile
add change-tcp-mss=yes local-address=l2tp_ipsec name=l2tp_profile \
remote-address=l2tp_ipsec
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface l2tp-server server
set authentication=mschap2 default-profile=default enabled=yes ipsec-secret=\
******* use-ipsec=yes
/interface pptp-server server
set default-profile=default
/ip address
add address=172.16.5.1/24 comment=defconf interface=ether2-master network=\
172.16.5.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=172.16.5.0/24 comment=defconf gateway=172.16.5.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=172.16.5.1 name=router
/ip firewall filter
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" \
connection-state=established,related
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
ether1
add action=reject chain=forward disabled=yes dst-address=!192.168.0.0/24 \
reject-with=icmp-admin-prohibited src-address=172.16.6.0/24
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
connection-nat-state=!dstnat connection-state=new in-interface=ether1
add action=accept chain=forward
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
0.89.168.192-255.89.168.192
add action=masquerade chain=srcnat out-interface=<l2tp-******>
/ip ipsec peer
add dh-group=modp2048,modp1024 disabled=yes enc-algorithm=aes-256,aes-128,3des \
exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=\
******
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=<l2tp-******> pref-src=\
172.16.5.1
add disabled=yes distance=1 dst-address=192.168.0.0/24 gateway=<l2tp-******> \
pref-src=172.16.6.15
/ip service
set telnet disabled=yes
set ssh disabled=yes
/ppp secret
add disabled=yes name=vpn password=*******
add name=******** password=******** profile=l2tp_profile service=l2tp
add local-address=172.16.6.15 name=****** password=******* profile=l2tp_profile \
remote-address=172.16.6.16 service=l2tp
add name=****** password=****** profile=l2tp_profile
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system package update
set channel=release-candidate
/system routerboard settings
# Warning: memory overclocked
set memory-frequency=1200DDR
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master