VPN IPSec/L2TP

Тема в разделе "Вопросы начинающих", создана пользователем 50baksov, 19 дек 2016.

  1. 50baksov

    50baksov Новый участник

    Добрый вечер!
    Задача следующая: нужно пднять VPN IPSec/L2TP чтобы к ниму подключались клиенты из под windows.
    В краце, что было сделано!

    Роутер сеть 192.168.31.0.24
    1) диапазон адресов выдаваемых VPN-пользователям
    IP - Pool
    Name: vpn_pool
    Addresses: 192.168.76.50-192.168.76.100
    Next pool: none

    2) Профиль для туннел
    PPP - Profiles
    General:
    Name: l2tp_profile
    Local address: vpn_pool
    Remote address: vpn_pool
    Change TCP MSS: yes

    Protocols:
    all to default:
    Use MPLS: default
    Use compression: default
    Use Encription: default

    Limits:
    Only one: default

    3) Создал пользователя VPN
    4) Включил сервер L2TP и IPSec
    5) создал правила в фаэрволе

    После подключения VPN пользователя из windows? вижу ресурсы удаленной сети за vpn
    Но интернет на компьютер с windows пропадает.
    Если в настройках подключения (на винде) у брать галку (Использовать основной шлюз в удаленной сети), то интернет начинает работать но, ресурсы сети не видно(

    Пробывал в профиле PPP в Bridge выставить Bridge-local, а в интерфейсах в Bridge-local ARP выставить proxy-arp.... не помогло (или я что-то не так сделал)
    Наверно для решения проблемы нужно создать какие то статические маршруты на mikrotik?
    Подскажите какие именно! Заранее Спасибо!

    забал :()
    MikroTik RouterOS 6.34.6
    RB2011UiAS
     
    Последнее редактирование: 19 дек 2016
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Так сделайте чтобы пользователь получал интернет через l2tp с уделенного маршрутизатора.
     
  3. unt0njs

    unt0njs Новый участник

    Тоже интересует этот вопрос. Каким образом?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Поставить галку "использовать шлюз в удаленной сети" в свойстве l2tp клиента на винде ?
     
  5. unt0njs

    unt0njs Новый участник

    Локальная сеть: 192.168.10.100-192.168.10.200
    На RB2011 ether1 и ether5 - master, остальные в слейве, ether10 - WAN с динамическим IP.
    Кидаю туннель L2TP, создаю пользователя, ios 10 подключается, но локалки за маршрутизатором не видно, доступа в WAN нет. Если в локальном бридже установить ARP: proxy-arp, все отваливается и даже не коннектится. В настройках ВПНа на клиенте
    стоит триггер "Для всех данных".
     
  6. Dmitry_S

    Dmitry_S Участник

    А маршруты на клиенте в ту сеть вы прописали? Иначе, откуда клиенту знать, что там есть такая сеть? Он и шлет все пакеты на "шлюз по умолчанию"
     
  7. unt0njs

    unt0njs Новый участник

    Если маршруты настраиваются на стороне клиента, то в iOS 10 про маршруты нет ни слова.
     

    Вложения:

    • IMG_0709.PNG
      IMG_0709.PNG
      Размер файла:
      82,7 КБ
      Просмотров:
      9
  8. Dmitry_S

    Dmitry_S Участник

    unt0njs, во-первых, я отвечал не вам. Во вторых, в windows статические маршруты прописываются через route add. Как прописать статические маршруты в iOS вы уж разберитесь сами
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    Конфиг покажите микротика
     
  10. dimbo

    dimbo Новый участник

    Извините что вмешиваюсь, у меня быстрый вопрос: на тике л2тп сервер. Подключаемся с андройда локальная сеть доступна, а вот из локальной сети не видно, но вопрос не в этом :) почему когда пингуем андройда в столбце хост адрес другой???
     

    Вложения:

    • pipi.png
      pipi.png
      Размер файла:
      11,3 КБ
      Просмотров:
      6
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Указывается второй конец туннеля.
     
  12. dimbo

    dimbo Новый участник

    А почему не оставить первый? Может это из за udp по icmp пинг не проходит, кстате при подключении из dmz на адрес wan такого не наблюдалось
     
  13. Илья Князев

    Илья Князев Администратор Команда форума

    Первый конец сам роутер. Удаленный конец - удаленный маршрутизатор.
     
  14. dimbo

    dimbo Новый участник

    Еще интересно а почему на вкладке FW - CON остаются соединения которых уже нет?
     
    Последнее редактирование: 11 янв 2017
  15. Илья Князев

    Илья Князев Администратор Команда форума

    Потому что таймаут еще не закончился.
     
  16. Geforce257

    Geforce257 Новый участник

    У меня на routerOS версии 6.19 поднят l2tp+ipsec, все в принципе как у автора темы. Но проблема наоборот, без proxy-arp клиент не видит сервер. Если включаю proxy-arp, vpn клиент сервер видит, но и по мимо него много чего видно, а не хотелось бы. Еще слышал что "proxy-arp включать бездумно не стоит" (правда ли?) а как добиться доступности сервера без включения proxy-arp я не понял. Подскажите пожалуйста, как правильнее настроить routerOS чтобы vpn клиенты имели доступ только к серверу? (или к нескольким серверам)
    Спасибо.

    p.s. пока я вышел из положения таким образом: дропаю весь трафик vpn юзеров на все кроме ip сервера, но подозреваю это не самое удачное решение :))
     
  17. Илья Князев

    Илья Князев Администратор Команда форума

    Или вы отдаете клиенту адрес из другой сети и ставите что-то типа "использовать шлюз в удаленной сети" в настройках клиента - тогда весь трафик пойдет через микротик.
    Или вы настраиваете фильтр на бридже.
     
  18. Geforce257

    Geforce257 Новый участник

    не совсем понял, если я выключу proxy-arp то смогу добиться доступности серверов через фильтр в бридже? ("использовать шлюз в удаленной сети" мне не подходит)
     
  19. Илья Князев

    Илья Князев Администратор Команда форума

    Не выключайте proxy-arp
    Разрешите в бридже проход трафика только между нужными MAC и портами.
     
  20. Рустам

    Рустам Участник

    в таком же случае не пускает в локальные ресурсы