Добрый день, бьюсь над проблемой как рыба об лед. Создал L2TP/IPSEC по инструкции https://bozza.ru/art-248.html, сеть L2TP 192.168.205.0 , для LAN 192.168.0.0. Некоторые пишут в комментария что без проблем пингуют сеть LAN за роутером.
У меня не получается , я не могу понять - сеть L2TP в сеть LAN должна РОУТИТСЯ или НАТИТСЯ ???????
Если у людей получается без NATа , значит у них сеть роутится, у меня даже с галочкой «Использовать основной шлюз в удаленной сети» не выходит. Но получается если запихнуть впн пользователей в пул LAN и включить фокус Proxy-arp.
Также добился успеха в пинговании сети за роутером (сети LAN и L2TP разные) прописав NAT для сети L2TP
chain=srcnat action=masquerade src-address=192.168.205.0/24 dst-address=192.168.0.0/24 out-interface=all-ethernet
192.168.205.0/24 – сеть L2TP, 192.168.0.0/24- сеть LAN.
В идеале нужно чтобы пользователи из сети L2TP при обращении на 192.168.205.205 попадали в сель LAN на 192.168.0.250. Я так понимаю что NETMAP мне поможет , но знаний не хватает ).
L2TP в LAN должна РОУТИТСЯ или НАТИТСЯ ???
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
Конфиг выложите.
Сеть за ВПН надо роутить, в данном случае, это нормально.
Прокси арп выключите, диапахон адресов у вас РАЗНЫЙ, так что не нужно это.
Сеть за ВПН надо роутить, в данном случае, это нормально.
Прокси арп выключите, диапахон адресов у вас РАЗНЫЙ, так что не нужно это.
-
- Сообщения: 23
- Зарегистрирован: 26 янв 2018, 10:07
enzain писал(а):Конфиг выложите.
Сеть за ВПН надо роутить, в данном случае, это нормально.
Тоесть нужем маршрут в ВПН сеть ???
ip route add dst-address=192.168.250.0/24 gateway=192.168.205.1
где 192.168.205.1 Local adress в PPP профиле
Последний раз редактировалось chip_21 26 янв 2018, 15:13, всего редактировалось 1 раз.
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
маршруты там прописаны будут автоматом, не надо ничего ручками добавлять, они коннектед.
у вас роутер 1?
Или несколько?
И какие адреса получают у вас клиенты?
Вы это проверили?
у вас роутер 1?
Или несколько?
И какие адреса получают у вас клиенты?
Вы это проверили?
-
- Сообщения: 23
- Зарегистрирован: 26 янв 2018, 10:07
один роутер , нужно клиентам ВПН смотреть в ЛАН
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
chip_21 писал(а):один роутер , нужно клиентам ВПН смотреть в ЛАН
Почему у вас в профиле нет ремот адреса? Прописан в пользователях?
Когда коннектится пользователь - у вас появляется маршрут автоматически. В приведенном списке он у вас есть, с маской /32
Так что нат убирайте в обе стороны. Он не нужен
И смотрите правила файрвола. А лучше для теста потушите все их
на клиентах или дефолт роут у ВПН или маршрут в локалку прописан ручками?
-
- Сообщения: 23
- Зарегистрирован: 26 янв 2018, 10:07
ремоут адрес есть, не все скопировал
/ppp profile
add change-tcp-mss=yes local-address=192.168.205.1 name=L2TP-PROFILE \
remote-address=POOL-VPN use-encryption=yes
/ip pool
add name=POOL-LAN ranges=192.168.0.2-192.168.0.199
add name=POOL-VPN ranges=192.168.205.3-192.168.205.10
в настройках пользователей РРР Secret выбран профиль L2TP-PROFILE и все
/ppp profile
add change-tcp-mss=yes local-address=192.168.205.1 name=L2TP-PROFILE \
remote-address=POOL-VPN use-encryption=yes
/ip pool
add name=POOL-LAN ranges=192.168.0.2-192.168.0.199
add name=POOL-VPN ranges=192.168.205.3-192.168.205.10
в настройках пользователей РРР Secret выбран профиль L2TP-PROFILE и все
Последний раз редактировалось chip_21 26 янв 2018, 16:18, всего редактировалось 2 раза.
-
- Сообщения: 291
- Зарегистрирован: 26 дек 2017, 22:30
чистите нат, и показывайте настройки файрвола (фильтров)
-
- Сообщения: 23
- Зарегистрирован: 26 янв 2018, 10:07
в подключении клиента стоит галочка «Использовать основной шлюз в удаленной сети»
маршрут то создается к впн юзеру, и в ЛАН я так понимаю есть маршрут, firewall вырубаю
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.8.1 0
1 DC 172.16.44.0/24 172.16.44.1 ether10 255
2 ADC 192.168.0.0/24 192.168.0.1 ether3 0
3 ADC 192.168.8.0/24 192.168.8.107 ether1 0
4 ADC 192.168.205.10/32 192.168.205.1 VPNюзерBinding 0
маршрут то создается к впн юзеру, и в ЛАН я так понимаю есть маршрут, firewall вырубаю
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.8.1 0
1 DC 172.16.44.0/24 172.16.44.1 ether10 255
2 ADC 192.168.0.0/24 192.168.0.1 ether3 0
3 ADC 192.168.8.0/24 192.168.8.107 ether1 0
4 ADC 192.168.205.10/32 192.168.205.1 VPNюзерBinding 0
-
- Сообщения: 23
- Зарегистрирован: 26 янв 2018, 10:07
пингую я 192.168.0.1 из клиента ВПН
интересно что в из ЛАНА я могу пинговать Remote Address (192,168,205,10)клиента ВПН
и по IР 192,168,205,10 могу зайти на комп клиента ВПН
но не наоборот - не могу из клиента ВПН пинговать ЛАН
интересно что в из ЛАНА я могу пинговать Remote Address (192,168,205,10)клиента ВПН
и по IР 192,168,205,10 могу зайти на комп клиента ВПН
но не наоборот - не могу из клиента ВПН пинговать ЛАН