VPN (PPTP) через PPPoE на Mikrotik

Тема в разделе "Вопросы начинающих", создана пользователем Sergey-pl, 4 авг 2016.

  1. Sergey-pl

    Sergey-pl Новый участник

    Здравствуйте. C Routeros столкнулся впервые.
    Помогите разобраться с конфигурацией.

    Исходные данные:
    1. Подключение к интернету через PPPoE.
    2. Туннель "VPN L2TP IPsec".
    3. Список сайтов - "список сайтов"
    4. Набор портов - "набор портов"

    Необходимо:

    1. Поднять туннель "VPN L2TP IPsec" через "Подключение к интернету через PPPoE".
    2. Отправить весь трафик кроме "список сайтов" и "набор портов" через "VPN L2TP IPsec".
    3. В случае прекращения соединения "VPN L2TP IPsec" прекратить доступ к интернету до его возобновления.
    4. Отправить трафик к "список сайтов" через "Подключение к интернету через PPPoE".
    5. Разрешить входящий и исходящий трафик к "набор портов" из и в "Подключение к интернету через PPPoE".
    6. Включить UPNP для "VPN L2TP IPsec".

    Нашел части решения во всевозможных инструкциях но может быть кто-нибудь поможет как все это сделать комплексно.

    Процесс настройки:
    - настраиваю "Подключение к интернету через PPPoE", работает.
    - через WinBox в Interface List добавляю PPTP Client, настраиваю "VPN L2TP IPsec".
    Тут возникает первый вопрос: Какое выбрать Max MTU и Max MRU, получается туннель в туннеле ставить 1400? MRRU указывать?

    - создаю NAT для "VPN L2TP IPsec":
    /ip firewall nat add action=masquerade chain=srcnat out-interface="VPN L2TP IPsec"

    Правильно (команда из инструкции по настройке) не совсем понимаю что она делает? Включает маркировку пакетов за NAT?
    Надо ли добавлять NAT для:

    /ip firewall nat add action=masquerade chain=srcnat out-interface="Подключение к интернету через PPPoE" ?

    - Отключаю "Add default route" в обоих интерфейсах, создаю маршрут:
    /ip route add dst-address=0.0.0.0/0 gateway="VPN L2TP IPsec" distance=10

    Distance насколько я понимаю это приоритет маршрута? Чем меньше тем выше приоритет или наоборот?
    Если я правильно понимаю то поскольку я не сделал маршрут в интернет 0.0.0.0/0 для интерфейса "Подключение к интернету через PPPoE", то в случае прекращения работы "VPN L2TP IPsec", трафик не пойдет через "Подключение к интернету через PPPoE" или необходимо еще какое-нибудь запрещающее правило в Firewall?

    Ошибочка вышла маршрут как я понял:

    /ip route add dst-address=0.0.0.0/0 gateway="Подключение к интернету через PPPoE" distance=20
    Все же придется сделать если я хочу отправлять через "Подключение к интернету через PPPoE" какие либо данные. Т.е. получается настраивать все надо через Firewall.

    Как-то так:

    add chain=forward src-address=192.168.0.0/24 in-interface="Подключение к интернету через PPPoE" action=drop comment=”Отбросить все пакеты”
    и над ним создать разрешающие правила для списка "список сайтов"?

    Создаю маршрут для соединения через "Подключение к интернету через PPPoE" с сервером "VPN L2TP IPsec".
    /ip route add dst-address=IP сервера "VPN L2TP IPsec" gateway="Подключение к интернету через PPPoE".


    Теперь необходимо чтобы соединения к "список сайтов" выполнялись через "Подключение к интернету через PPPoE".
    Отсюда возникают 2 вопроса:
    1. Может ли Routeros в данном случае работать с доменными именами т.к. например у того же Яндекса много IP и они могут измениться. Например у Dlink в некоторых моделях была возможность забить в поле Address, доменное имя поставив перед ним приставку DNS: ?
    2. Как осуществить соединения с "список сайтов" через "Подключение к интернету через PPPoE".

    Нашел варианты через Firewall с маркировкой пакетов.
    Как я понимаю можно и через маршрутизацию? Как правильно?
    Как правильно открыть порты на "VPN L2TP IPsec" для данного случая.
     
    Последнее редактирование: 4 авг 2016
  2. Илья Князев

    Илья Князев Администратор Команда форума

    В 6.36 можно в address-list писать доменное имя. Роутер сам создаст список адресов и будет их обновлять.
    В mangle маркируете. В маршрутизации пишите маршрут с маркировкой.
    Обратите внимание, что если маршрут с маркировкой недоступен - будет использоваться основной.
    Это можно и в свойствах интерфейса делать. Поле Default Route Distance
    Если уходит через этот интерфейс, адрес отправителя пакета меняется на адрес интерфейса.
    Если это выход в инет, то видимо надо.
     
  3. Sergey-pl

    Sergey-pl Новый участник

    Благодарю за ответы. Сейчас буду пробовать настроить.
     
  4. AlexShoroh

    AlexShoroh Участник

    Чаще всего оборудование автоматом подбирает MTU, особенно микротик, спасибо ему за это.
    Не совсем понял что Вы имеете ввиду. Данная команда натит ВСЕ у Вас внутри сети в интерфейс. Для себя определил по другому, натить определенные сети в определенные интерфейсы. Подеть для контроля сети(физической) в нат не выходит.
    Да, приоритет выше чем меньше значение. Если второго 0.0.0.0/0 нет, то трафик никуда не пойдет. Вам на до два маршрута с разным приоритетом.
    Чем Вас не устраивает таблица маршрутов?
    Хотя, как писал Илья, в новой версии есть ip firewall raw, который отрабатывает раньше чем таблица маршрутов. Для меня это вынос мозга, но придется изучать. ))
    Это отрабоатает раньше чем что? Firewall raw? общая таблица маршрутов? Если раньше, то очень будет похоже на mpls. ))))
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    Человек пишет дефолты руками, вместо того, чтобы просто указать дистанцию в свойствах ppp-интерфейса.
     
  6. AlexShoroh

    AlexShoroh Участник

    Ну статика вместо динамики, нормально, вполне живущее решение. Не очень правда масштабируемое.
     
  7. Sergey-pl

    Sergey-pl Новый участник

    Еще один вопрос. Теперь по локальным интерфейсам. Если в свойствах портов выбран мастер порт, то по идее порты работают как простой свитч в обход фаервола? Или надо что-то еще настроить. Почему-то компьютеры внутри сети не видят друг друга.
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Трафик внутри свитча не заходит на CPU.
    Не готов сказать.
     
  9. Sergey-pl

    Sergey-pl Новый участник

    Согласен с вами не лучшее решение. Подскажите как выдать через DHCP одному клиенту 2 ip:
    Например: 192.168.10.10 и 192.168.9.10 ?
     
  10. Илья Князев

    Илья Князев Администратор Команда форума

    Протоколом такое не предусмотрено.
     
    Sergey-pl нравится это.