L2tp+Ipsec. Маршрутизация

Тема в разделе "Вопросы начинающих", создана пользователем Sa_sa, 31 май 2019.

  1. Sa_sa

    Sa_sa Новый участник

    Доброго. Есть RB951G-2Hnd. Прошивка 6.44.2
    192.168.1.0 - внутренняя сеть
    192.168.10.0 - впн сеть
    Ип белый.
    Задача с разных клиентов подключаться по рдп к серверам внутри сети 1.0.
    Прописывать статические маршруты на клиентах - не вариант.
    Настроил L2tp+Ipsec. Подлючение с вин 10 работает. Пингов к компьютерам сети 1.0 и роутеру 1.1 нет. Подскажите как прописать маршрутизацию правильно. И в ней ли только дело? Какой конфиг нужен для обзора проблемы? Спасибо.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Варианты
    1. В винде на клиенте "Использовать шлюз в удаллной сети" или как-то так опция называется. Но весь трафик пойдет на L2TP
    2. Выдавать клиентам адреса из пула локальной сети, а на интерфесе смотрящим в локальную сеть включить Proxy-Arp
    3. Перейти на IKEv2 и там читать про Split Networks
     
  3. Sa_sa

    Sa_sa Новый участник

    Спасибо за ответ.
    1. Галку ставил - не работало. Пинги есть до шлюза 1.1 и 10.10. Тоесть до роутера. За ним пинги к любой машине пропадают... вместе с интернетом. При убранной галке только до 10.10.
    2. Второй тоже пробовал - тоже не работало. Пинги только до роутера идут, а за ним теряются.
    3. Не пробовал. Буду посмотреть.
     
  4. Tycoon

    Tycoon Новый участник

    Если в микротике всё настроено правильно то всего лишь нужно прописать маршрут в Windows. Создаем vpn подключение, затем:
    Открываем свойства созданного VPN подключения, безопасность, тип VPN: Протокол L2tp с IPSEC, дополнительно, «Для проверки подленности использовать общий ключ», указываем ключ, Ставим галочку «Протокол Microsoft CHAP версии 2 (MS-CHAPv2)».
    Сеть, убираем галочку IPv6. IPv4 свойства, дополнительно, убрать галочку «Использовать основной шлюз в удаленной сети» (для того чтобы интернет был не через микротик).

    Создадим маршрут. Запускаем cmd, пишем: route print, необходимо найти в списке интерфейсов наше VPN подключение, если его нет то запустим его (VPN подключение) и повторно выполним команду route print. В списке слева от интерфейса будет цифра, например 39 (метрика). Далее в cmd: route add -p 192.168.0.0 mask 255.255.255.0 10.10.5.1 if 39
    Где -p создание постоянного маршрута, 192.168.0.0 - удалённая подсеть за микротиком, 10.10.5.1 - адрес микротика в ВИРТУАЛЬНОЙ подсети VPN, 39 - метрика созданного VPN подключения.
    Далее заходи в свойства созданного VPN, сеть, дополнительно, снимаем автоматическую метрику и ставим 39 (для того, чтобы при перезагрузки метрика этого подключения не сменилась), всё, пинги должны пойти.
    Далее перезагружаемся, подключаемся и перепроверяем пинги.

    Proxy-Arp если включали, то выключите.

    Если не заработает то в микротике что то не донастроил, заходишь в терминал, пишешь команду export, копируешь в текстовый документ всё что вывалилось, заменяешь белые ip, логины и пароли на левые и прикрепляешь сдесь, а там уже кому не лень вникнут да подскажут что не так.
     
    Последнее редактирование: 5 июн 2019
  5. Sa_sa

    Sa_sa Новый участник

    Спасибо за ответ... Этот вариант я специально избегаю. Я писал выше, что подключение с различных устройств будет происходить. Всем прописывать маршрут не получится.
    ВПН-Клиенты не находят сеть ЗА микротиком. Подскажите почему? Какие скрины предоставить?
     
  6. kinDick

    kinDick Участник

    Выдавайте клиентам адреса из 192.168.1.0
    Комп клиентас адресом из .10.0, если ему не прописать маршрут, понятия не имеет где сеть 1.0.
     
  7. kinDick

    kinDick Участник

    У меня кстати в одном случае так работает. И более того компьютер получает доступ ко всем сетям о которых знает роутер, а в другом случае тоже только до роутера пинги идут. Не могу понять чем настройки отличаются)
     
  8. Sa_sa

    Sa_sa Новый участник

    Я выдавал из одной подсети и прокси-арп включал. Не видно за роутером компы.
     
  9. kinDick

    kinDick Участник

    у меня 2 маршрутизатора с белыми айпи и с л2тп серверами. При подключении к одному я вижу всю сеть и не только его, а ещё вообще все сети которые он видит через туннели. А на другом вижу только ip роутера. Постараюсь проанализировать в чем разница.
    ip клиентам с андроида и мак ос выдается из сети маршрутизатора.
     
  10. Sa_sa

    Sa_sa Новый участник

    Пробую дальше.
    Настроил аналогичные связки на других микротиках. Проверил на 4 устройствах и абсолютно разных сетях.
    Выдавал ип из той же подсети, прокси-арп включён. Если удалённая сеть совпадает с моей (0.1 - 0.1), то подключения к хостам есть. Если не совпадает, то не видит, НО. Я делаю tracert хост, и маршрут находится. После этого подключение к удалённому хосту работает и пинги идут.
    Что же до проблемной сети из-за которой я поднял тему, то никак не получается достучаться до хоста за микротиком.
     
  11. kinDick

    kinDick Участник

    вот здесь я подключаюсь с макбука или андроид телефона по l2tp-ipsec. Вот это соединение l2tp-tun-rem-user. И вижу и пользуюсь всеми тоннелями остальными.
    Анализируйте.
    Повторюсь: есть еще роутер, и вот вроде те же настройки, но там это не работает (видимо не все всё таки)
     
  12. dreamscafe

    dreamscafe Новый участник

    Вопрос по той же теме, подскажите пожалуйста. Аналогично как автор темы объединял через IPsec сети 192.168.1.0 и 10.0, способ настройки подсматривал на сайте tugibaev. Туннель построил, два офиса соединил, все всё хорошо видят. Но меня смущает стабильность. У меня тоже используется rdp подключения из филиалов в главный офис, и туннель иногда выдает картину со скриншота. Как можно это вылечить? Или что можно исправить чтобы соединение что стабильно и не проваливалось иногда?
    пинг с роутера 192.168.10.1 . адрес 1.120 это терминальный сервер, к нему как раз и нужно стабильное подключение
     

    Вложения:

    • 1234.jpg
      1234.jpg
      Размер файла:
      272 КБ
      Просмотров:
      9
    Последнее редактирование: 13 июл 2019
  13. Tycoon

    Tycoon Новый участник

    у меня 3 туннеля до центрального и на одном тоже пинги скачут, настройки одинаковые, грешу на провайдера. По мимо RDP что то ещё ходит по туннелю? Помониторьте нагрузку на CPU.
     
  14. dreamscafe

    dreamscafe Новый участник

    Провайдер у меня один и тот же и в главном офисе, и в филиале. С филиала постоянно пишут камеры в главный офис по этому туннелю, а так там только ноутбуки с гарнитурами. ЦП сейчас нагружается максимум на 3%, но пакеты всё равно иногда теряются, даже не важно что я пингую из филиала, хоть какой нибудь принтер в главном офисе, пинг скачет и иногда теряет пакеты
     

    Вложения:

    • 12345.jpg
      12345.jpg
      Размер файла:
      56,1 КБ
      Просмотров:
      5
    • 1234.jpg
      1234.jpg
      Размер файла:
      669,4 КБ
      Просмотров:
      4
  15. Tycoon

    Tycoon Новый участник

    Ради эксперимента отключите камеры и посмотрите пинг измениться или нет. На сколько я знаю, гонять видео трафик по шифрованному туннелю не очень хорошая идея, возможно как раз по этому у вас и скачет пинг. У вас микротики с поддержкой аппаратного шифрования?
     
  16. dreamscafe

    dreamscafe Новый участник

    Я попробовал отключить Ipsec, оставив только pptp, поставив MTU 3000. Пока из 2500 пакетов ни один не потерялся, пару раз по паре пакетов скакнуло до ~16мс. Посмотрю ещё как работает без ipsec, потом попробую включить и менять методы шифрования, чтобы найти самый оптимальный. Канал провайдера у меня 200мбит, по факту он должен бесперебойно использоваться полностью. камеры ели в сумме около 40мбит, поставил на них квоты, может потом пущу их как-нибудь по другому.
    Аппаратного шифрования вроде нет на моделях 2011 и 3011

    А не, нашёл табличку кто что поддерживает, только 2011 не вижу там. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption


    Покопал ещё, нашёл что "RB2011UiAS-2HnD-IN не поддерживает аппаратное шифрование, поэтому вы не сможете получить от него максимальную производительность. Я бы предложил обновить устройство до устройства, которое поддерживает аппаратное шифрование." А он у меня как раз в главном офисе стоит, и пишут что по IPSec на нём можно выжать максимум 24мбита, а в среднем даже где-то 10мбит, что может объяснить мою ситуацию
     
    Последнее редактирование: 13 июл 2019
  17. Tycoon

    Tycoon Новый участник

    Да, всё верно, если у вас не поддерживается аппаратное шифрование на обоих концах то при скорости провайдера в 200 Мбит/с в шифрованном туннеле скорость будет в разы меньше и нагрузка на cpu большая, а вот с поддержкой аппаратного шифрования даже бюджетные модели по офф данным могут выжимать с IPSEC до 470 Мбит/с и не нагружать сильно проц, но лично не проверял. Думаю что смена метода шифрования вам особо не поможет. Может попробовать пробросить порт камеры наружу, поставить на неё хороший пароль и соединить с базой в обход туннеля ? Ну это если у вас IP везде белые...
     
    Последнее редактирование: 13 июл 2019
  18. dreamscafe

    dreamscafe Новый участник

    Теперь стало понятно. Спасибо! что нибудь придумаю)