Перейти к содержимому
Калькуляторы

Проброс порта, VPN

<PC1>192.168.55.150/24 --ЛВС1-- 192.168.55.1/24 <Mikrotik1> White IP (VPN IP 10.10.10.1) --------(L2tp+IPsec)-------- Gray IP (VPN IP 10.10.10.101) <Mikrotik2>192.168.101.1/24 --ЛВС2-- 192.168.101.201/24 <Videoreg>

<Mikrotik2>192.168.101.1/24 --ЛВС2-- 192.168.101.202/24 <PC2>

 

Есть два роутера Mikrotik, расположены в сетях разных провайдеров (на каждом настроен masquerade). Между ними поднят VPN (L2tp+IPsec). Маршруты на роутерах прописаны руками. Из сети 192.168.55.0/24 я могу пинговать 192.168.101.0/24 и обратно. Trace route показывает, что пакеты ходят через VPN. К роутеру Mikrotik2 подключен видеорегистратор Videoreg и PC2. Правила сетевого фильтра – нет.

 

При прочих равных настройках:

При VPN L2tp+IPsec я не могу подключиться с PC1 (192.168.55.150/24) к Videoreg (192.168.101.201/24).

При VPN L2tp+IPsec я не могу подключиться с PC1 (192.168.55.150/24) к Mikrotik2 (10.10.10.101) через Winbox.

При VPN L2tp+IPsec я не могу подключиться с PC1 (192.168.55.150/24) к PC2 (192.168.101.202/24) по RDP.

 

При VPN L2tp я могу подключиться с PC1 (192.168.55.150/24) к Videoreg (192.168.101.201/24).

При VPN L2tp я могу подключиться с PC1 (192.168.55.150/24) к Mikrotik2 (10.10.10.101).

 

При VPN L2tp+IPsec я могу подключиться с PC2 (192.168.101.202/24) к PC1 (192.168.55.150/24) по RDP.

При VPN L2tp+IPsec я могу подключиться с PC2 (192.168.101.202/24) к Mikrotik1 (10.10.10.1) через Winbox.

 

В чем может быть причина?

Изменено пользователем j0nnyff

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извините, переосмыслив проблему - изменил постановку вопроса (первый топик темы)

 

/ip service set www port=не_80_порт сделали?

Сервис WWW на Mikrotik был отключен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чем может быть причина?

 

В IPSEC - отключите его и все заработает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В чем может быть причина?

Очевидно же, криво работает IPSec.

Скорее всего где-то забыли выключить src-nat/masquerade в сторону туннеля.

Или отключить IPSec совсем, или собрать заново, убрав лишний маскарад.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В IPSEC - отключите его и все заработает.

К сожалению, IPsec нужен для шифрования тоннеля.

 

 

Очевидно же, криво работает IPSec.

Скорее всего где-то забыли выключить src-nat/masquerade в сторону туннеля.

Или отключить IPSec совсем, или собрать заново, убрав лишний маскарад.

Маскарад на обоих роутерах только в сторону провайдера (в одном случае в сторону ether1, в другом ppoe-client ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К сожалению, IPsec нужен для шифрования тоннеля.

кому вы нужны?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К сожалению, IPsec нужен для шифрования тоннеля.

 

SSTP туннель сам шифрует, можно использовать его.

 

 

Маскарад на обоих роутерах только в сторону провайдера (в одном случае в сторону ether1, в другом ppoe-client ).

 

Маскард должен работать не в сторону провайдера, а по направлениям с src адресов = ваша серая адресация, по направлению dst адресов не равных вашей серой адресации, возможно после уточнений правил ната все заработает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Маскард должен работать не в сторону провайдера, а по направлениям с src адресов = ваша серая адресация, по направлению dst адресов не равных вашей серой адресации, возможно после уточнений правил ната все заработает.

Спасибо за ответ.

Можно ли увидеть пример корректной настройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

j0nnyff, например для локалки 192.168.1.0/24 SRC-NAT выглядит так:

/ip firewall nat add action=src-nat chain=srcnat comment="Src-nat LAN->WAN" out-interface=ether1-gateway src-address=192.168.1.0/24 to-addresses=X.X.X.X

Где "Х.Х.Х.Х" - внешний ip-адрес на интерфейсе "ether1-gateway"

 

Или вариант для динамического внешнего IP - маскарад:

/ip firewall nat add action=masquerade chain=srcnat comment="Masqe LAN->WAN" out-interface=ether1-gateway src-address=192.168.1.0/24

 

Еще более строгий вариант подразумевает наличие связных маршрутизируемых подсетей в диапазоне 192.168.0.0/16 и делает выборочный маскарад по адресам:

/ip firewall nat add action=masquerade chain=srcnat comment="Masque NOT LAN" dst-address=!192.168.0.0/16 src-address=192.168.0.0/16

 

Таким образом натится то, что идёт из серой сети НЕ в связывающие туннели, а в Интернет.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно ли увидеть пример корректной настройки?

 

В предыдущем сообщении смотрите строгий вариант. Если у вас подсетей локальный больше одной, тогда вместо src и dst адресов используйте аналогичные адрес листы, они находятся на вкладке ADVANCED.

 

Интерфейсы в настройке ната указывать не нужно. Если требуется привязка к интерфейсу, то используется src-nat и указывается IP адрес, с которого выходить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95

,т.е. при таблице маршрутизации

 

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 10.29.12.1 1

2 ADC 10.29.12.0/22 10.29.13.205 ether1 0

3 ADC 192.168.23.0/24 192.168.23.1 bridge1

 

# ADDRESS NETWORK INTERFACE

0 192.168.23.1/24 192.168.23.0 ether2

1 10.29.q.z/22 10.29.12.0 ether1

правила

 

0 chain=srcnat action=masquerade src-address=192.168.23.0/24 log=no

log-prefix=""

 

достаточно для корректной работы маскарада (локальная сеть одна, выход в Интернет - один)?

Изменено пользователем j0nnyff

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да. Т.к. запросы от абонентов идут по маршруту 0.0.0.0/0, и если ната нет, они уходят в сторону провайдера, сайты отвечают обратно на микротик, но он запросы дропает. Когда НАТ включен, он знает куда отправлять ответы.

Если вы делаете нат по выходному интерфейсу, то по идее тоже все работает, однако это не правильно, при усложнении конфигурации начинаются проблемы, потому что под нат попадает то, что не должно попадать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.