Проброс порта, VPN

[j0nnyff]

<PC1>192.168.55.150/24 --ЛВС1-- 192.168.55.1/24 <Mikrotik1> White IP (VPN IP 10.10.10.1) --------(L2tp+IPsec)-------- Gray IP (VPN IP 10.10.10.101) <Mikrotik2>192.168.101.1/24 --ЛВС2-- 192.168.101.201/24 <Videoreg>

<Mikrotik2>192.168.101.1/24 --ЛВС2-- 192.168.101.202/24 <PC2>

 

Есть два роутера Mikrotik, расположены в сетях разных провайдеров (на каждом настроен masquerade). Между ними поднят VPN (L2tp+IPsec). Маршруты на роутерах прописаны руками. Из сети 192.168.55.0/24 я могу пинговать 192.168.101.0/24 и обратно. Trace route показывает, что пакеты ходят через VPN. К роутеру Mikrotik2 подключен видеорегистратор Videoreg и PC2. Правила сетевого фильтра – нет.

 

При прочих равных настройках:

При VPN L2tp+IPsec я не могу подключиться с PC1 (192.168.55.150/24) к Videoreg (192.168.101.201/24).

При VPN L2tp+IPsec я не могу подключиться с PC1 (192.168.55.150/24) к Mikrotik2 (10.10.10.101) через Winbox.

При VPN L2tp+IPsec я не могу подключиться с PC1 (192.168.55.150/24) к PC2 (192.168.101.202/24) по RDP.

 

При VPN L2tp я могу подключиться с PC1 (192.168.55.150/24) к Videoreg (192.168.101.201/24).

При VPN L2tp я могу подключиться с PC1 (192.168.55.150/24) к Mikrotik2 (10.10.10.101).

 

При VPN L2tp+IPsec я могу подключиться с PC2 (192.168.101.202/24) к PC1 (192.168.55.150/24) по RDP.

При VPN L2tp+IPsec я могу подключиться с PC2 (192.168.101.202/24) к Mikrotik1 (10.10.10.1) через Winbox.

 

В чем может быть причина?

Edited January 25, 2017 by j0nnyff

[GeeZeeNburg]

/ip service set www port=не_80_порт сделали?

[j0nnyff]

Извините, переосмыслив проблему - изменил постановку вопроса (первый топик темы)

 

/ip service set www port=не_80_порт сделали?

Сервис WWW на Mikrotik был отключен.

[Saab95]

В чем может быть причина?

 

В IPSEC - отключите его и все заработает.

[nkusnetsov]

В чем может быть причина?

Очевидно же, криво работает IPSec.

Скорее всего где-то забыли выключить src-nat/masquerade в сторону туннеля.

Или отключить IPSec совсем, или собрать заново, убрав лишний маскарад.

Edited January 26, 2017 by nkusnetsov

[j0nnyff]

В IPSEC - отключите его и все заработает.

К сожалению, IPsec нужен для шифрования тоннеля.

 

 

Очевидно же, криво работает IPSec.

Скорее всего где-то забыли выключить src-nat/masquerade в сторону туннеля.

Или отключить IPSec совсем, или собрать заново, убрав лишний маскарад.

Маскарад на обоих роутерах только в сторону провайдера (в одном случае в сторону ether1, в другом ppoe-client ).

[myth]

К сожалению, IPsec нужен для шифрования тоннеля.

кому вы нужны?

[j0nnyff]

кому вы нужны?

[Saab95]

К сожалению, IPsec нужен для шифрования тоннеля.

 

SSTP туннель сам шифрует, можно использовать его.

 

 

Маскарад на обоих роутерах только в сторону провайдера (в одном случае в сторону ether1, в другом ppoe-client ).

 

Маскард должен работать не в сторону провайдера, а по направлениям с src адресов = ваша серая адресация, по направлению dst адресов не равных вашей серой адресации, возможно после уточнений правил ната все заработает.

[j0nnyff]

Маскард должен работать не в сторону провайдера, а по направлениям с src адресов = ваша серая адресация, по направлению dst адресов не равных вашей серой адресации, возможно после уточнений правил ната все заработает.

Спасибо за ответ.

Можно ли увидеть пример корректной настройки?

[nkusnetsov]

j0nnyff, например для локалки 192.168.1.0/24 SRC-NAT выглядит так:

/ip firewall nat add action=src-nat chain=srcnat comment="Src-nat LAN->WAN" out-interface=ether1-gateway src-address=192.168.1.0/24 to-addresses=X.X.X.X

Где "Х.Х.Х.Х" - внешний ip-адрес на интерфейсе "ether1-gateway"

 

Или вариант для динамического внешнего IP - маскарад:

/ip firewall nat add action=masquerade chain=srcnat comment="Masqe LAN->WAN" out-interface=ether1-gateway src-address=192.168.1.0/24

 

Еще более строгий вариант подразумевает наличие связных маршрутизируемых подсетей в диапазоне 192.168.0.0/16 и делает выборочный маскарад по адресам:

/ip firewall nat add action=masquerade chain=srcnat comment="Masque NOT LAN" dst-address=!192.168.0.0/16 src-address=192.168.0.0/16

 

Таким образом натится то, что идёт из серой сети НЕ в связывающие туннели, а в Интернет.

Edited January 27, 2017 by nkusnetsov

[Saab95]

Можно ли увидеть пример корректной настройки?

 

В предыдущем сообщении смотрите строгий вариант. Если у вас подсетей локальный больше одной, тогда вместо src и dst адресов используйте аналогичные адрес листы, они находятся на вкладке ADVANCED.

 

Интерфейсы в настройке ната указывать не нужно. Если требуется привязка к интерфейсу, то используется src-nat и указывается IP адрес, с которого выходить.

[j0nnyff]

Saab95

,т.е. при таблице маршрутизации

 

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 10.29.12.1 1

2 ADC 10.29.12.0/22 10.29.13.205 ether1 0

3 ADC 192.168.23.0/24 192.168.23.1 bridge1

 

# ADDRESS NETWORK INTERFACE

0 192.168.23.1/24 192.168.23.0 ether2

1 10.29.q.z/22 10.29.12.0 ether1

правила

 

0 chain=srcnat action=masquerade src-address=192.168.23.0/24 log=no

log-prefix=""

 

достаточно для корректной работы маскарада (локальная сеть одна, выход в Интернет - один)?

Edited January 28, 2017 by j0nnyff

[Saab95]

Да. Т.к. запросы от абонентов идут по маршруту 0.0.0.0/0, и если ната нет, они уходят в сторону провайдера, сайты отвечают обратно на микротик, но он запросы дропает. Когда НАТ включен, он знает куда отправлять ответы.

Если вы делаете нат по выходному интерфейсу, то по идее тоже все работает, однако это не правильно, при усложнении конфигурации начинаются проблемы, потому что под нат попадает то, что не должно попадать.