Site-to-Site L2TP не видно сеть клиента

Тема в разделе "Вопросы начинающих", создана пользователем Селим, 15 июл 2015.

  1. Селим

    Селим Новый участник

    Приветствую.
    Ситуация возможно банальна, но я уже весь мозг сломал.

    Есть 2 сети.
    1. 172.23.67.0/24 - основная
    2. 192.168.10.0/24 - удаленный офис
    В качестве шлюзов в обеих сетях стоят микротики с белыми внешними IP
    На основной сети поднят L2TP сервер к которому цепляется микротик удаленного офиса.
    Тоннель поднимается, все узлы основной сети видно из удаленного офиса, значит вроде с правилами файрвола на VPN сервере я не накосячил.
    L2TP клиенту выдается адрес 172.23.67.254 который вполне доступен из основной сети.
    Однако упорно не могу пингами достучаться до любого адреса в 192.168.10.0/24(клиентская подсеть). Хотя маршрут где в качестве шлюза выступает 172.23.67.254 прописан.

    P.S: При подключении в качестве PPTP-клиента к удаленному офису, сетку я вижу.

    Где копать? Или может какие-то еще данные нужны?
     
    Последнее редактирование: 15 июл 2015
  2. Илья Князев

    Илья Князев Администратор Команда форума

    дайте конфигурацию
    ppp
    firewall
    ip routes
     
  3. Селим

    Селим Новый участник

    Все, разобрался. Моя ошибка была в том что L2TP клиенту назначался адрес из основной сети.

    З.Ы: Ну может еще малость в правилах файрвола накосячил, их я с нуля переписал.
     
    Последнее редактирование: 21 июл 2015
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Последнее редактирование модератором: 6 фев 2019
  5. Селим

    Селим Новый участник

    Нда. История получила продолжение. Не понимаю, как так получилось, но после одной из перезагрузок роутера картинка следующая:
    С роутера все сети пингуются. И своя и удаленная. С удаленного роутера, то же самое. Но ни один из компов в этих подсетях не может достучаться до удаленной.
    При этом компы с любой из подсетей "видят" узлы подсети L2TP канала
    10.0.0.1 (1 роутер) и 10.0.0.2(2 роутер).
    терзают меня подозрения, что где-то в правилах NAT ошибка, но где - понять не могу.

    Конфиги:
    Основной офис
    /ppp profile
    set *0 dns-server=172.23.67.2,172.23.67.1 local-address=172.23.67.1 remote-address=vpn_users
    set *FFFFFFFE dns-server=172.23.67.2,172.23.67.1
    /ppp secret
    add name=*** password=*** service=pptp
    add local-address=10.0.0.1 name=L2TP password=***** profile=default-encryption remote-address=10.0.0.2 service=l2tp

    /ip firewall filter
    add chain=input comment="VPN L2TP+IPSEC" protocol=ipsec-esp
    add chain=input protocol=ipsec-esp
    add chain=input port=1701,500,4500 protocol=udp
    add chain=input comment="VPN PPTP" in-interface=sfp1 protocol=gre
    add chain=input dst-port=1723 in-interface=sfp1 protocol=tcp
    add chain=input comment="\CE\F1\ED\EE\E2\ED\FB\E5 \EF\F0\E0\E2\E8\EB\E0" in-interface=all-ethernet
    add chain=input in-interface=all-ppp
    add chain=input dst-port=16085 protocol=tcp
    add action=drop chain=input in-interface=sfp1
    add chain=forward in-interface=<l2tp-L2TP>
    add chain=forward out-interface=<l2tp-L2TP>
    add chain=forward connection-state=established,related in-interface=sfp1
    add chain=forward connection-state=established,related in-interface=all-ppp
    add action=drop chain=forward connection-state=invalid in-interface=sfp1
    /ip firewall nat
    add action=masquerade chain=srcnat dst-address=192.168.10.0/24 out-interface=sfp1 src-address=172.23.67.0/24
    add action=masquerade chain=srcnat dst-address=172.23.67.0/24 out-interface=sfp1 src-address=192.168.10.0/24
    add action=masquerade chain=srcnat out-interface=sfp1

    /ip route
    add distance=1 gateway=37.9.129.121
    add check-gateway=ping distance=1 dst-address=192.168.10.0/24 gateway=10.0.0.2


    Правила на втором роутере в принципе аналогичны.

    З.Ы: От безысходности даже правило нат по разному крутил, не выходит каменный цветок. Где напорол, понять не могу в упор.
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Ну для начала файрвол можно отключить и посмотреть как будет работать. Но скорее всего косяк в маршрутизации.
    На PPP правильно маршруты на интерфейс ставить, а не на адрес шлюза.
    Ну и с той стороны тоже проверьте. Вообще Site-to-Site VPN при правильной настройке не требует правил NAT
     
  7. Селим

    Селим Новый участник

    Хм... Ну отключение запрещающих правил файрвола на обоих роутерах не помогло.
    Маршрут переписал на интерфейс - те же яйца, вид в профиль.
    Правила NAT убрал, действительно ничего не поменялось. Картинка перманентно остается той же: роутеры видят сеть соседнего офиса, а компы нет. При чем даже если компу насильно подпихнуть маршрут типа "route add 192.168.10.0/24 10.0.0.2"(кстати в качестве маршрута, то что прописано на роутере почему то компам не раздается)


    *Апдейт: Неведомым шаманством, оно заработало. Как - не понимаю. Почти с нуля переписал конфиг, выкинул из него лишнее типа правил NAT и добавил L2TP профиль в бридж на ведомом роутере. В общем логика того что сделал мне нифига не понятна, видимо где-то я забыл галку поставить тупо... 8(
     
    Последнее редактирование: 12 авг 2015
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Зачем вам L2TP в бридже не совсем понятно. А так да, видимо где-то чего-то не хватало.