Приветствую. Ситуация возможно банальна, но я уже весь мозг сломал. Есть 2 сети. 1. 172.23.67.0/24 - основная 2. 192.168.10.0/24 - удаленный офис В качестве шлюзов в обеих сетях стоят микротики с белыми внешними IP На основной сети поднят L2TP сервер к которому цепляется микротик удаленного офиса. Тоннель поднимается, все узлы основной сети видно из удаленного офиса, значит вроде с правилами файрвола на VPN сервере я не накосячил. L2TP клиенту выдается адрес 172.23.67.254 который вполне доступен из основной сети. Однако упорно не могу пингами достучаться до любого адреса в 192.168.10.0/24(клиентская подсеть). Хотя маршрут где в качестве шлюза выступает 172.23.67.254 прописан. P.S: При подключении в качестве PPTP-клиента к удаленному офису, сетку я вижу. Где копать? Или может какие-то еще данные нужны?
Все, разобрался. Моя ошибка была в том что L2TP клиенту назначался адрес из основной сети. З.Ы: Ну может еще малость в правилах файрвола накосячил, их я с нуля переписал.
На всякий случай. Настройка Site-to-Site PPTP (L2TP и SSTP настраивается аналогично) https://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#Site-to-Site_PPTP
Нда. История получила продолжение. Не понимаю, как так получилось, но после одной из перезагрузок роутера картинка следующая: С роутера все сети пингуются. И своя и удаленная. С удаленного роутера, то же самое. Но ни один из компов в этих подсетях не может достучаться до удаленной. При этом компы с любой из подсетей "видят" узлы подсети L2TP канала 10.0.0.1 (1 роутер) и 10.0.0.2(2 роутер). терзают меня подозрения, что где-то в правилах NAT ошибка, но где - понять не могу. Конфиги: Основной офис /ppp profile set *0 dns-server=172.23.67.2,172.23.67.1 local-address=172.23.67.1 remote-address=vpn_users set *FFFFFFFE dns-server=172.23.67.2,172.23.67.1 /ppp secret add name=*** password=*** service=pptp add local-address=10.0.0.1 name=L2TP password=***** profile=default-encryption remote-address=10.0.0.2 service=l2tp /ip firewall filter add chain=input comment="VPN L2TP+IPSEC" protocol=ipsec-esp add chain=input protocol=ipsec-esp add chain=input port=1701,500,4500 protocol=udp add chain=input comment="VPN PPTP" in-interface=sfp1 protocol=gre add chain=input dst-port=1723 in-interface=sfp1 protocol=tcp add chain=input comment="\CE\F1\ED\EE\E2\ED\FB\E5 \EF\F0\E0\E2\E8\EB\E0" in-interface=all-ethernet add chain=input in-interface=all-ppp add chain=input dst-port=16085 protocol=tcp add action=drop chain=input in-interface=sfp1 add chain=forward in-interface=<l2tp-L2TP> add chain=forward out-interface=<l2tp-L2TP> add chain=forward connection-state=established,related in-interface=sfp1 add chain=forward connection-state=established,related in-interface=all-ppp add action=drop chain=forward connection-state=invalid in-interface=sfp1 /ip firewall nat add action=masquerade chain=srcnat dst-address=192.168.10.0/24 out-interface=sfp1 src-address=172.23.67.0/24 add action=masquerade chain=srcnat dst-address=172.23.67.0/24 out-interface=sfp1 src-address=192.168.10.0/24 add action=masquerade chain=srcnat out-interface=sfp1 /ip route add distance=1 gateway=37.9.129.121 add check-gateway=ping distance=1 dst-address=192.168.10.0/24 gateway=10.0.0.2 Правила на втором роутере в принципе аналогичны. З.Ы: От безысходности даже правило нат по разному крутил, не выходит каменный цветок. Где напорол, понять не могу в упор.
Ну для начала файрвол можно отключить и посмотреть как будет работать. Но скорее всего косяк в маршрутизации. На PPP правильно маршруты на интерфейс ставить, а не на адрес шлюза. Ну и с той стороны тоже проверьте. Вообще Site-to-Site VPN при правильной настройке не требует правил NAT
Хм... Ну отключение запрещающих правил файрвола на обоих роутерах не помогло. Маршрут переписал на интерфейс - те же яйца, вид в профиль. Правила NAT убрал, действительно ничего не поменялось. Картинка перманентно остается той же: роутеры видят сеть соседнего офиса, а компы нет. При чем даже если компу насильно подпихнуть маршрут типа "route add 192.168.10.0/24 10.0.0.2"(кстати в качестве маршрута, то что прописано на роутере почему то компам не раздается) *Апдейт: Неведомым шаманством, оно заработало. Как - не понимаю. Почти с нуля переписал конфиг, выкинул из него лишнее типа правил NAT и добавил L2TP профиль в бридж на ведомом роутере. В общем логика того что сделал мне нифига не понятна, видимо где-то я забыл галку поставить тупо... 8(