PPPOE + VPN клиент и VPN сервер

Уважаемые профессионалы, доброго Все времени суток

По возможности подскажите пожалуйста могу ли я реализовать следующую схему подключения на Mikrotik hAP ac?

1. Подключиться к интеренет-провайдеру через PPPOE (клиент)
2. Параллельно подключиться по VPN к SoftEther серверу (клиент)
3. И одновременно с двумя верхними пунктами подключить клиентов по VPN (сервер) к сети, которая находится за роутером Mikrotik

Если такое возможно, прошу Вас помочь по возможности с ссылками, описанием, скриптами, примерами - как можно подобную схему реализовать.

Так же интересует вопрос - как сделать подключение по WIFI c одним и тем же SSID на разных диапазонах?

Прошу не пенять на меня строго - я совсем еще новичок в Mikrotik, коих в данном разделе много. Потому прошу Вас если не трудно дать мне пояснения по шагам, как для ребенка смышленого))

 

1. Возможно
2. Можно
3. Можно
4. Разворачиваете две сети с одинаковыми SSID и паролями. Клиент должен сначала пробовать на 5 ГГц подключиться, затем на 2.4 ГГц, в автоматическом режиме.

 

Денис, благодарю Вас за Ваш ответ.
Будет ли у Вас возможность подсказать по шагам (или направить по ссылкам), как реализовать возможность подключения и маршрутизацию при выполнении первых 3 пунктов?

 

1\2 https://habrahabr.ru/post/265387/ - вот неплохая стать по настройке PPPOE.

3. https://howitmake.ru/blog/waildhand/176.html - поднимают VPN сервер

 

Благодарю Вас. Буду пробывать.
Для меня основным вопросом является вопрос настройки маршрутов при подобной схеме, который как правило обходят стороной различные инструкции.

 

Будут проблемы с маршрутами, высылайте конфиг посмотрим тут.

 

Денис, доброго дня
Еще раз благодарю Вас за помощь с ссылками.
Интерфейс PPPoE до провайдера поднял, VPN клиента до SoftEther также поднял

Теперь стоит задача пустить весь трафик в сети через vpn туннель.
Подскажите пожалуйста, как это сделать?

 

Именно ВЕСЬ? Вы уверены? или только для конкретных сервисов?
Ну тогда наверное так.
ip-routes- add dst-address 0.0.0.0/0 gateway=[ip адрес удаленного vpn).
Либо поднимать PPPoE до провайдера с одной метрикой(большей) шлюза по умолчанию, а до softether поднимать vpn с меньшей метрикой по умолчанию.
Но тогда,

Не выйдет, ибо нулевой маршрут у вас будет не туда.

 

AlexShoroh, благодарю Вас
Действительно Вы правы, не весь трафик, только web.
Пустил трафик как Вы написали ip-routes- add dst-address 0.0.0.0/0 gateway=[ip адрес удаленного vpn]
Однако результат отсутствует. Увеличил дистанцию (=2) для PPPoE - стал через каждых 22 сек перегружаться соединение vpn.
Подскажите пожалуйста, что делать и самое главное как?) Может логи какие показать Вам необходимо? Посвятите какие именно?

И совсем подзабыл спросить - подскажите пожалуйста, каким образом и трафик клиентов VPN сервера так же пустить через VPN тунель?

 

Хм.... могу ошибаться, то возможно как то натить c dstport=80,443 (hhtp, https) на vpn интерфейс, в этом случае дефолный маршрут у вас должен быть только в провайдера. То есть на vpn до сервера, add default gateway=no.
Правило НАТ не подскажу, честно. ) Более знающие люди может подскажут.

 

Вот в этой теме посмотрите https://spw.ru/forum/threads/internet-iz-pptp-dlja-opredelennyx-ip.718/ , настроили выход в инет для определенной под сети через PPTP туннель. Что бы настроить для определенных протоколов маршрутизацию через VPN, тоже, скорей всего, нужно будет маркировать трафик.

 

Благодарю Вас.

 

Друзья, столкнулся с такой проблемой.
Сейчас настроил доступ через VPN сервер и интернат. Только сейчас могу заходить лишь на сайты http, а вот на сайты https заходить с клиентов VPN серебра не могу. Подскажите пожалуйста куда копать?

 

Выше поставленный вопрос решил (описание здесь) - Денис еще раз благодарю Вас.
Теперь стоит другая проблема.
Как и писал выше, имеется сеть за микротиком. Сам микротик подключается к провайдеру через pppoe. На микротике настроен L2TP/IPSec сервер к которому подключаются клиенты. Задача стоит чтобы l2tp клиенты смогли заходить на ресурсы локальной сети за микротиком. Подскажите пожалуйста как это реализовать? Что необходимо сделать?
Какие логи показать и какими командами?

 

Дайте экспорт IP address
IP route
IP firwall

 

Настройки следующие:

/ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 ;;; LAN_ADDRESS
192.168.100.1/24 192.168.100.0 lan-bridge
1 D 222.44.699.12/32 222.44.699.0 wan-pppoe-isp
2 D 192.168.30.10/32 1.0.0.1 vpn-tunnel-softether
3 D 192.168.200.105/32 192.168.200.104 l2tp-server-user1

/ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 vpn-tunnel-softether 1
1 A S 0.0.0.0/0 vpn-tunnel-softether 1
2 ADS 0.0.0.0/0 222.44.699.0 2
3 ADC 1.0.0.1/32 192.168.30.10 vpn-tunnel-softether 0
4 ADC 192.168.100.0/24 192.168.100.1 lan-bridge 0
5 ADC 192.168.200.104/32 192.168.200.105 l2tp-server-user1 0
6 ADC 222.44.699.0/32 222.44.699.46 wan-pppoe-isp 0


/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Record ssh brute forcers
chain=input action=add-src-to-address-list protocol=tcp address-list=ssh_blacklist address-list-timeout=1h dst-port=22 log=yes log-prefix="-SSH ATTEMPT-"

1 ;;; Drop ssh brute forcers
chain=input action=drop protocol=tcp src-address-list=ssh_blacklist

2 ;;; Drop for BOGON lans
chain=input action=drop src-address-list=BOGON in-interface=wan-pppoe-isp

3 ;;; Drop echo request
chain=input action=drop protocol=icmp in-interface=ether1 icmp-options=8:0

4 ;;; Allow icmp
chain=input protocol=icmp in-interface=!ether1

5 ;;; INSERT BELOW FOR ROUTER -- Allow established & related
chain=input connection-state=established,related

6 ;;; Open VPN ports from outside
chain=input protocol=udp port=1701,500,4500

7 ;;; Allow access for ManageIP group
chain=input src-address-list=ManageIP

8 ;;; Allow DNS request from LAN
chain=input protocol=udp in-interface=!ether1 dst-port=53

9 ;;; Allow DNS request
chain=input protocol=udp in-interface=ether1 src-port=53

10 ;;; INSERT BEFORE FOR ROUTER -- All other drop
chain=input action=drop

11 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

12 ;;; Drop 25 port
chain=forward action=drop protocol=tcp src-address-list=spammer dst-port=25

13 ;;; Save spamers to blocklist
chain=forward action=add-src-to-address-list connection-limit=30,32 protocol=tcp src-address-list=!spammer address-list=spammer address-list-timeout=4w2d dst-port=25
limit=50,5

14 ;;; Allow established & related
chain=forward connection-state=established,related in-interface=vpn-tunnel-softether out-interface=lan-bridge

15 ;;; INSERT BELOW FOR FORWARD -- Allow established & new
chain=forward action=accept connection-state=new in-interface=lan-bridge out-interface=vpn-tunnel-softether log=no log-prefix=""

16 ;;; ALLOW REQUEST FROM VPN USER - user1
chain=forward action=accept in-interface=l2tp-server-user1 out-interface=vpn-tunnel-softether

17 ;;; ALLOW DOWNLOAD FOR VPN USER - user1
chain=forward action=accept in-interface=vpn-tunnel-softether out-interface=l2tp-server-user1

18 ;;; Allow Internet via VPN tunnel
chain=forward src-address-list=Internet in-interface=lan-bridge out-interface=vpn-tunnel-softether

19 ;;; NAT protection
chain=forward action=drop connection-state=new connection-nat-state=!dstnat log=no log-prefix=""

20 ;;; INSERT BEFORE FOR FORWARD -- All other drop
chain=forward action=drop log=no log-prefix=""


/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Redirect web port on proxy port
chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address-list=!FREE-ACCESS-TO-INTERNET dst-port=80

1 ;;; VPN TRAFIC
chain=srcnat action=masquerade out-interface=vpn-tunnel-softether


/ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Hide router from provider TTL-filter
chain=prerouting action=change-ttl new-ttl=increment:1 passthrough=yes

1 ;;; Mark HOME LAN route
chain=prerouting action=mark-routing new-routing-mark=lan-route src-address=192.168.100.0/24

2 ;;; Mark VPN Server clients route
chain=prerouting action=mark-routing new-routing-mark=l2tp-route src-address=192.168.200.0/24


/ip firewall address-list print
Flags: X - disabled, D - dynamic
# LIST ADDRESS CREATION-TIME TIMEOUT
0 FREE-ACCESS-TO-INTERNET 192.168.100.101 1 FREE-ACCESS-TO-INTERNET 192.168.200.101 2 ManageIP 192.168.100.0/24 3 ManageIP 192.168.200.0/24 4 Internet 192.168.100.0/24 5 BOGON 0.0.0.0/8 6 BOGON 100.64.0.0/10 7 BOGON 127.0.0.0/8 8 BOGON 169.254.0.0/16 9 BOGON 172.16.0.0/12 10 BOGON 192.0.0.0/24 11 BOGON 192.0.2.0/24 12 BOGON 192.168.0.0/16 13 BOGON 198.18.0.0/15 14 BOGON 198.51.100.0/24 15 BOGON 203.0.113.0/24 16 BOGON 224.0.0.0/4 17 BOGON 240.0.0.0/4

 

Сделайте вывод таблицы маршрутизации с компа который туннелем подключается. Дайте traceroute до внутреннего адреса который за микротиком с включенным туннелем и без него.

 

Не вполне уверен, что понял Вас правильно и в тоже время результаты ниже:
С компьютера (VPN клиент подключенный к микротику)
netstat -r
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.200.1 UGSc 15 0 ppp0
default 10.0.12.3 UGScI 2 0 en0
10.0.12/24 link#4 UCS 1 0 en0
10.0.12.3/32 link#4 UCS 1 0 en0
10.0.12.3 0:1a:a0:dc:10:72 UHLWIir 5 417 en0 1195
10.0.12.20/32 link#4 UCS 0 0 en0
10.0.12.61 78:44:76:90:8e:22 UHLWI 0 486 en0 1110
192.168.200/24 ppp0 USc 0 0 ppp0
192.168.200.1 192.168.200.100 UHr 16 16 ppp0
192.168.200.1/32 link#11 UCS 0 0 ppp0
127 localhost UCS 0 1539 lo0
localhost localhost UH 38 6045395 lo0
169.254 link#4 UCS 0 0 en0
pppoe. 222.44.699.12 10.0.12.3 UGHS 5 48838 en0
224.0.0/4 link#11 UmCS 0 0 ppp0
224.0.0/4 link#4 UmCSI 0 0 en0
255.255.255.255/32 link#11 UCS 0 0 ppp0
255.255.255.255/32 link#4 UCSI 0 0 en0

C микротика:
Traceroute молчит совсем - 100% потерь(
Без тоннеля пока не смогу дать ответ по traceroute, так как сейчас не дома.

 

Попробуйте добавьте маршрут вида: 192.168.100.0/24(ваша локалка за микротиком) на 192.168.200.1(ваш впн туннель)

 

Не помогло(