L2tp микротик не видит сеть за роутером
Обновлено: 06.07.2024
Возникла проблема с прохождением VPN трафика через роутер. Сервер: удалённый сервер Совкомбанка. Клиент: Windows 10 за NAT. Не может подключиться к VPN серверу банка. Поднял такой же L2tp/ipsec сервер на микротике в другой организации, к которому я спокойно подключаюсь из дома. Точно также не может подключиться. Поднял L2tp-клиент на проблемном микротике - подключился без проблем. В firewall пробовал разблокировать весь forward трафик для VPN согласно инструкции по настройке. Не помогло. Куда ещё копать?
Принт firewall:
[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; VPN_allow
chain=forward action=accept protocol=udp port=1701,500,4500 log=no
log-prefix=""
1 X ;;; Sovcombank
chain=forward action=accept src-address=X.X.X.X log=no log-prefix=""
2 X chain=forward action=accept dst-address=X.X.X.X log=no log-prefix=""
3 ;;; DROP_social_networks
chain=forward action=reject reject-with=icmp-network-unreachable
src-address-list=!social_acc dst-address-list=social_networks
in-interface-list=LAN log=no log-prefix=""
4 ;;; NTP port
chain=input action=accept protocol=udp in-interface=LAN-bridge1 port=123
log=no log-prefix="NTP port 123"
5 ;;; POST_server
chain=forward action=accept src-address=X.X.X.X log=no
log-prefix=""
-- [Q quit|D dump|down]
Помощь в написании контрольных, курсовых и дипломных работ здесь
RDP через l2tp/ipsec
Здравствуйте! В микротиках новичок, прошу понять)Проблема следующая. Имеется MikroTik RouterBOARD.
L2TP+IPSec. Рвет Соединение
Здравствуйте. Необходимо настроить VPN клиент - L2TP IpSec. Был выбран один из множества на рынке.
L2tp/IPSec проблема доступа из вне
Поднял l2tp server c поддержкой шифрования IPSEC ПК и Микротик в локальной сети при включенных.
L2TP чистый или через IPSEC?
В файрволле для первого надо открыть dst-port UDP 1701,
для второго UDP 1701 вообще открывать не надо, а надо открыть UDP 500 и протокол ESP (если не используется NAT-T) или UDP 4500 (если NAT-T используется)
VPN - L2tp/ipsec.
Не могу подключиться ни с одного компьютера из локальной сети за микротиком, даже с Android смартфона через Wi-Fi не могу зацепиться. При этом как только переключаюсь на мобильного провайдера, то смартфон коннектится без проблем. Это я проверял на своём импровизированном стенде (микротик в другой организации - сервер L2tp/ipsec; клиенты - устройства локальной сети за проблемным микротиком).
Что там с настройками VPN сервера Совкомбанка, я понятия не имею и никто мне никаких данных, кроме того что там тоже L2tp/ipsec, само собой не даст.
какие порты смотрят в локалку?
сколько всего локальных сетей на L3? две в одном броадкасте?
в какие порты приходят провайдеры? например тот, через который pppoe поднимается
Вторая большая ошибка
Не используйте action=netmap, если не знаете как он работает, для перенаправления портов используйте action=dst-nat
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
l2tp+ipsec клиент не видит локальную сеть
Раздел для тех, кто начинает знакомиться с MikroTikПравила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Добрый день. Обращаюсь за помощью, так как google не помог(
Удаленный пользователь не видит сеть за портом lan, tracert соответственно идет до 192.168.90.1, при этом в интернет доступ есть.
Все правила фаервола убрал, думал что он блокирует. Не помогло.
На клиете (Windows 7) стоит галка использовать удаленный шлюз сети.
Железо RB2011UiAS RouterOS 6.36
For every complex problem, there is a solution that is simple, neat, and wrong.
Не видны локальные машины по VPN. L2TP
Не видны локальные машины по VPN. L2TP
Добрый день. Подскажите что не так настроил.
Есть роутер (huawei) с инетом. К нему подключены сервер, пару компов и микротик RBwap2nd. Микротик работает в качестве точки доступа и сейчас понадобилось поднять на нём l2tp/ipsec. Поднял. Настроил на удалённом компе подключение - vpn соединение работает. Но удалённый комп не видит компы офиса, как и офисные не видят удалённый комп. Микротик пингует и удалённый и внутренние компы.
Желательно, конечно, что бы сети были разные у vpn клиентов и локальных пользователей.Итак, если pool vpn делать из той же подсети, что и офисные компы то проблема решается очень просто. Interfaces -> bridge1, в пункте ARP выбираете proxy-arp.
А как решить задачу с разными подсетями для офисных и vpn пользователей?
Доброго. Проверяли брандмауэр? По умолчанию в Шindoшs доступ разрешён только из своей подсети. Я добавил на сервере дополнительный IP с подсетью как у VPN. Сам себя сервер пингует по дополнительному IP, а вот микротик и сервер не пингуют друг друга по этой сети. Брандмауер ничего не блочит. Т.е. вы с сервера не пингуете адрес микротика в подсети ВПН? А трассировка что говорит? А то вдруг у вас policy routing эти пакеты куда-нибудь дальше отправляет. Добрый всем.Не могу увидеть клиента с клиента. Не сети за клиентами, а сами клиенты не видят друг друга.
По VPN L2TP поднято два канала. Сервер(микрот1)-клиент1(микрот2) и сервер(микрот1)-клиент2(комп).
Реальные IP по концам тоннелей Х.Х.Х.1(микрот1-сервер) Х.Х.Х.2(микрот2-клиент) Х.Х.Х.3(комп)
Виртуальные IP в тоннеле, те, что устанавливаются при соединении Y.Y.Y.1(микрот1сервер) Y.Y.Y.2(микрот2клиент) Y.Y.Y.3(комп)
Комп и микрот2 не пингуются, т.е. Y.Y.Y.2 и Y.Y.Y.3 не видят друг друга.
Оба клиента видят L2TP сервер.
Маршрутизация только динамическая, доп.маршрутов не делал. Interface binding тоже не делал.
Почему не видятся IP-ы, которые самые первые в тоннеле? Здравствуйте. Да миллион причин может быть, а вы даже базовую диагностику не предоставили, которую я просил в посте над вашим почти два года назад Сделайте трассировку. Смотрите на правила файрвола. Нет. У меня все проще. Никаких сетей за клиентами не создано. Просто L2TP клиент --- L2TP сервер.
Это я с первого раза понял, а трассировку вы даже со второго не осилили
Если это не настройки роутера - то ещё нужно проверить файрвол на компе, Windows любит по умолчанию блокировать такого рода доступ к себе, например.
Руки отвалятся если сделать скриншоты?
1.IP-Firewall-Filter rules
2.IP-Firewall-NAT
3.IP-Routes
[*****@MikroTik] /ip firewall>> filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; icmp
chain=input action=accept protocol=icmp log=no log-prefix=""
1 ;;; established
chain=input action=accept connection-state=established log=no log-prefix=""
2 ;;; related
chain=input action=accept connection-state=related log=no log-prefix=""
3 ;;; manage
chain=input action=accept in-interface=bridge1-local log=no log-prefix=""
4 ;;; VPN
chain=input action=accept connection-state=new protocol=udp in-interface=ether1-gateway dst-port=1701,500,4500 log=no log-prefix=""
5 ;;; VPN
chain=input action=accept connection-state=new protocol=ipsec-esp in-interface=ether1-gateway log=no log-prefix=""
6 ;;; https NAS
chain=input action=accept protocol=tcp in-interface=ether1-gateway dst-port=443 log=no log-prefix=""
8 ;;; all other drop
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""
9 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid log=no log-prefix=""
10 ;;; Allow established connections
chain=forward action=accept connection-state=established log=no log-prefix=""
11 ;;; Allow related connections
chain=forward action=accept connection-state=related log=no log-prefix=""
12 ;;; Allow acess to internet
chain=forward action=accept src-address-list=inet in-interface=bridge1-local out-interface=ether1-gateway log=no log-prefix=""
13 chain=forward action=accept src-address-list=inet2 in-interface=wlan2 out-interface=ether1-gateway log=no log-prefix=""
15 ;;; https NAS
chain=forward action=accept protocol=tcp dst-port=443 log=no log-prefix=""
16 ;;; VPN
chain=forward action=accept protocol=ipsec-esp log=no log-prefix=""
17 ;;; VPN
chain=forward action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix=""
18 ;;; All other drop
chain=forward action=drop log=no log-prefix=""
[admin@MikroTik] /ip firewall nat>> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=192.168.88.111 protocol=tcp in-interface=ether1-gateway dst-port=443 log=no log-prefix=""
После двух дней мучений, готов признать что хвалёный MikroTik не справился с простой задачей, которая на Keenetic Ultra II решается в пару кликов. Возможно, это вовсе не связано с недоработками в RouterOS, а у меня просто не хватило терпения или знании, чтобы заставить L2TP/IPsec на «микротике» добавлять маршрут клиенту при соединении.
Полазив по тематическим форумам и wiki, посвященных настройке оборудования MikroTik, найти решения так и не удалось. Собственно, в чём суть проблемы? При подключении к L2TP/IPsec серверу, клиент не видит компьютеры локальной сети за ним, впрочем как и самого роутера. Пинги дальше виртуальной сети не проходят.
Решение 1: Отправлять весь трафик клиента через VPN
Если в настройке соединения на клиенте указать что следует «Отправлять весь трафик через VPN», локальная сеть за роутером прекрасно видится. Но в этом случае мы гоним весь собственный трафик, вместе торрентами и прочим барахлом через удалённый офис, где запущен L2TP/IPsec сервер. Зачем это всё, если нам требуется просто получить доступ к терминальному серверу в удалённой сети?
Windows 10 по умолчанию заворачивает весь трафик в VPN канал при создании подключения. Проверить это можно открыв свойства протокола IP версии 4 (TCP/IPv4) и в дополнительных параметрах TCP/IP будет активирован пункт «Использовать основной шлюз удаленной сети».
Решение 2: Прописать дополнительный статический маршрут на клиенте
Странно, но по всей видимости, MikroTik не умеет самостоятельно отправлять дополнительный маршрут клиенту при подключении к L2TP/IPsec серверу. Замечу, что Keenetic Ultra II прекрасно справляется с аналогичной задачей и поднять на нём L2TP/IPsec сервер может обычный пользователь. Лишний раз убеждаюсь, что «микроты» придуманы, чтобы наполнять жизнь упоротых любителей копания в настройках смыслом.
Раз не получилось сотворить задуманное в настройках L2TP сервера, придётся добавить требуемый маршрут к удалённой сети на клиенте ручками. Для примера, пусть локальная сеть за MikroTik будет 192.168.88.0/24 и local-address L2TP/IPsec сервера 10.8.0.10:
sudo route -n add 192.168.88.0/24 10.8.0.10
Как ни крути, но такое решение тоже "костыль". И как бы не утверждали на одном из форумов по настройке "микротов", что заворачивать весь клиентский трафик в VPN канал благо, я с этим не согласен. Потому буду рад, если кто напишет как заставить MikroTik самостоятельно назначать маршруты клиентам вместе с выдачей IP.
Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.
Читайте также: