VPN я уже настраивать научился, осталась одна проблема - не могу ни через VPN ни со стороны получить доступ к роутеру. Конфиг на удаленном (он проще), на моем аналогично: Код: /interface ethernet set [ find default-name=ether1 ] arp=proxy-arp name=Internet set [ find default-name=ether2 ] arp=proxy-arp name=local-master set [ find default-name=ether3 ] master-port=local-master name=local-slave1 set [ find default-name=ether4 ] master-port=local-master name=local-slave2 set [ find default-name=ether5 ] master-port=local-master name=local-slave3 /interface l2tp-client add connect-to=MYIP disabled=no ipsec-secret=***** name=l2tp-out1 \ password=***** use-ipsec=yes user=user /interface wireless set [ find default-name=wlan1 ] arp=proxy-arp band=2ghz-b/g/n disabled=no name=\ Yota ssid=YOTA station-roaming=disabled wireless-protocol=802.11 /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=\ tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \ wpa-pre-shared-key=*****wpa2-pre-shared-key=***** /ip ipsec policy group add name=group1 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1,md5 /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.199 add name=vpnpool ranges=192.168.88.200-192.168.88.219 /ip dhcp-server add address-pool=dhcp disabled=no interface=local-master name=dhcp2 /ppp profile add change-tcp-mss=yes local-address=vpnpool name=l2tp_profile remote-address=\ vpnpool /interface l2tp-server server set authentication=mschap2 caller-id-type=ip-address default-profile=\ l2tp_profile ipsec-secret=***** use-ipsec=yes /ip address add address=192.168.88.1/24 interface=local-master network=192.168.88.0 add address=SECONDIP/24 interface=Internet network=SECONDNET /ip dhcp-client add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=\ Yota /ip dhcp-server network add address=192.168.88.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.88.1 \ netmask=24 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall filter add action=accept chain=forward protocol=icmp add action=accept chain=input protocol=icmp add action=accept chain=input dst-port=8005,8006,8088,8291 protocol=tcp add action=accept chain=input connection-state=established,related add action=accept chain=input connection-state=established,related \ in-interface=local-master src-address=192.168.88.0/24 add action=accept chain=input dst-port=500,1701,4500 protocol=udp add action=accept chain=input protocol=ipsec-esp add action=accept chain=input protocol=ipsec-ah add action=accept chain=forward connection-state=established,related add action=accept chain=input in-interface=l2tp-out1 add action=drop chain=input connection-state=invalid add action=drop chain=input in-interface=Internet add action=drop chain=input in-interface=Yota /ip firewall nat add action=masquerade chain=srcnat add action=dst-nat chain=dstnat dst-port=8005 in-interface=Internet protocol=\ tcp to-addresses=192.168.88.5 to-ports=80 add action=dst-nat chain=dstnat dst-port=8006 in-interface=Internet protocol=\ tcp to-addresses=192.168.88.6 to-ports=80 /ip ipsec peer add address=MYIP/32 enc-algorithm=aes-256 exchange-mode=main-l2tp \ generate-policy=port-strict hash-algorithm=md5 secret=***** /ip ipsec policy set 0 disabled=yes dst-address=MYIP/32 group=group1 src-address=\ SECONDIP/32 add dst-address=MYIP/32 src-address=SECONDIP/32 /ip ipsec user add name=user password=***** /ip route add distance=1 gateway=SECONDGW pref-src=SECONDIP add distance=2 gateway=176.16.0.1 pref-src=176.16.0.170 scope=10 add distance=1 dst-address=10.0.0.0/24 gateway=l2tp-out1 pref-src=10.0.0.221 \ scope=10 /ip service set www port=8088 /ppp secret add name=user password=***** profile=l2tp_profile service=l2tp Сетка моя 10.0.0.0/24, удаленная 192.168.88.0/24, на удаленном роутере резервом Yota через WiFi с сеткой 176.16.0.0/24. Все работает, VPN поднимается, сервисы той сети снаружи видны (порты 8005 и 8006). Не работает доступ из 10.0.0.0/24 к самому роутеру (192.168.88.1) и не работает доступ из интернета (с планшета) к SECONDIP (ни 8088, ни winbox). Подозреваю, что не хватает какого-то правила, чтобы пакеты останавливались на роутере. Доступ к SECONDIP работает из сети 192.168.88.0/24. Работало до настройки VPN.
Вам надо добиться того, чтобы пакеты пришедшие с VPN уходили назад в VPN а не на Default-gateway Как вариант Код: /ip firewall mangle add chain=input action=mark-connection in-interface=VPN \ new-connection-mark=con_VPN passthrough=yes add chain=output action=mark-routing connection-mark=con_VPN \ new-routing-mark=route_VPN /ip route add gateway=VPN_INTERFACE route-mark=route-VPN
Сделал. Результат странный. Пинг есть, но при попытке зайти winbox'ом или на web-страничку пакеты не маркируются. Срабатывает только при пинге.
поделюсь своим способом: надо пробросить некие порты в vpn - add action=dst-nat chain=dstnat dst-address=!192.168.0.0/16 dst-address-type=local dst-port=80,8000 in-interface=ether1 protocol=tcp to-addresses=192.168.254.2 а так же вернуть их обратно, а не в шлюз по умолчанию add action=src-nat chain=srcnat dst-address=192.168.254.2 to-addresses=192.168.254.1 =)
Была такая же беда. При подключении удаленного микротик к моему микротик по ВПН (pptp) если стоит галка add to default route, то все работает, идут с моего компа и пинги доступ у удаленному роутеру по ВПН без проблем, но стоит ее убрать и все пропадает. Долго думал потом дошло, что это по сути обычный nat lookback настроил его и все получилось легко. Вот пример. внутр сеть 192,168,10,1 ВПН сеть 10,100,10,1 /ip firewall nat add action=dst-nat chain=dstnat dst-address=192.168.10.0/24 src-address=10.100.10.0/24 to-addresses=10.100.10.0/24 add action=masquerade chain=srcnat dst-address=10.100.10.0/24 src-address=192.168.10.0/24 Достоинства метода что нет ограничений на количество подключенных клиентов ВПН
Заработало. Добавил: add action=dst-nat chain=dstnat comment=VPN dst-address=192.168.88.1 src-address=10.0.0.0/24 to-addresses=192.168.88.1
