Site-to-Site L2TP не видно сеть клиента

Тема в разделе "Вопросы начинающих", создана пользователем Селим, 15 июл 2015.

  1. Селим

    Селим Новый участник

    Приветствую.
    Ситуация возможно банальна, но я уже весь мозг сломал.

    Есть 2 сети.
    1. 172.23.67.0/24 - основная
    2. 192.168.10.0/24 - удаленный офис
    В качестве шлюзов в обеих сетях стоят микротики с белыми внешними IP
    На основной сети поднят L2TP сервер к которому цепляется микротик удаленного офиса.
    Тоннель поднимается, все узлы основной сети видно из удаленного офиса, значит вроде с правилами файрвола на VPN сервере я не накосячил.
    L2TP клиенту выдается адрес 172.23.67.254 который вполне доступен из основной сети.
    Однако упорно не могу пингами достучаться до любого адреса в 192.168.10.0/24(клиентская подсеть). Хотя маршрут где в качестве шлюза выступает 172.23.67.254 прописан.

    P.S: При подключении в качестве PPTP-клиента к удаленному офису, сетку я вижу.

    Где копать? Или может какие-то еще данные нужны?
     
    Последнее редактирование: 15 июл 2015
  2. Илья Князев

    Илья Князев Администратор Команда форума

    дайте конфигурацию
    ppp
    firewall
    ip routes
     
  3. Селим

    Селим Новый участник

    Все, разобрался. Моя ошибка была в том что L2TP клиенту назначался адрес из основной сети.

    З.Ы: Ну может еще малость в правилах файрвола накосячил, их я с нуля переписал.
     
    Последнее редактирование: 21 июл 2015
  4. Илья Князев

    Илья Князев Администратор Команда форума

  5. Селим

    Селим Новый участник

    Нда. История получила продолжение. Не понимаю, как так получилось, но после одной из перезагрузок роутера картинка следующая:
    С роутера все сети пингуются. И своя и удаленная. С удаленного роутера, то же самое. Но ни один из компов в этих подсетях не может достучаться до удаленной.
    При этом компы с любой из подсетей "видят" узлы подсети L2TP канала
    10.0.0.1 (1 роутер) и 10.0.0.2(2 роутер).
    терзают меня подозрения, что где-то в правилах NAT ошибка, но где - понять не могу.

    Конфиги:
    Основной офис
    /ppp profile
    set *0 dns-server=172.23.67.2,172.23.67.1 local-address=172.23.67.1 remote-address=vpn_users
    set *FFFFFFFE dns-server=172.23.67.2,172.23.67.1
    /ppp secret
    add name=*** password=*** service=pptp
    add local-address=10.0.0.1 name=L2TP password=***** profile=default-encryption remote-address=10.0.0.2 service=l2tp

    /ip firewall filter
    add chain=input comment="VPN L2TP+IPSEC" protocol=ipsec-esp
    add chain=input protocol=ipsec-esp
    add chain=input port=1701,500,4500 protocol=udp
    add chain=input comment="VPN PPTP" in-interface=sfp1 protocol=gre
    add chain=input dst-port=1723 in-interface=sfp1 protocol=tcp
    add chain=input comment="\CE\F1\ED\EE\E2\ED\FB\E5 \EF\F0\E0\E2\E8\EB\E0" in-interface=all-ethernet
    add chain=input in-interface=all-ppp
    add chain=input dst-port=16085 protocol=tcp
    add action=drop chain=input in-interface=sfp1
    add chain=forward in-interface=<l2tp-L2TP>
    add chain=forward out-interface=<l2tp-L2TP>
    add chain=forward connection-state=established,related in-interface=sfp1
    add chain=forward connection-state=established,related in-interface=all-ppp
    add action=drop chain=forward connection-state=invalid in-interface=sfp1
    /ip firewall nat
    add action=masquerade chain=srcnat dst-address=192.168.10.0/24 out-interface=sfp1 src-address=172.23.67.0/24
    add action=masquerade chain=srcnat dst-address=172.23.67.0/24 out-interface=sfp1 src-address=192.168.10.0/24
    add action=masquerade chain=srcnat out-interface=sfp1

    /ip route
    add distance=1 gateway=37.9.129.121
    add check-gateway=ping distance=1 dst-address=192.168.10.0/24 gateway=10.0.0.2


    Правила на втором роутере в принципе аналогичны.

    З.Ы: От безысходности даже правило нат по разному крутил, не выходит каменный цветок. Где напорол, понять не могу в упор.
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Ну для начала файрвол можно отключить и посмотреть как будет работать. Но скорее всего косяк в маршрутизации.
    На PPP правильно маршруты на интерфейс ставить, а не на адрес шлюза.
    Ну и с той стороны тоже проверьте. Вообще Site-to-Site VPN при правильной настройке не требует правил NAT
     
  7. Селим

    Селим Новый участник

    Хм... Ну отключение запрещающих правил файрвола на обоих роутерах не помогло.
    Маршрут переписал на интерфейс - те же яйца, вид в профиль.
    Правила NAT убрал, действительно ничего не поменялось. Картинка перманентно остается той же: роутеры видят сеть соседнего офиса, а компы нет. При чем даже если компу насильно подпихнуть маршрут типа "route add 192.168.10.0/24 10.0.0.2"(кстати в качестве маршрута, то что прописано на роутере почему то компам не раздается)


    *Апдейт: Неведомым шаманством, оно заработало. Как - не понимаю. Почти с нуля переписал конфиг, выкинул из него лишнее типа правил NAT и добавил L2TP профиль в бридж на ведомом роутере. В общем логика того что сделал мне нифига не понятна, видимо где-то я забыл галку поставить тупо... 8(
     
    Последнее редактирование: 12 авг 2015
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Зачем вам L2TP в бридже не совсем понятно. А так да, видимо где-то чего-то не хватало.