j0nnyff Опубликовано 25 января, 2017 (изменено) · Жалоба <PC1>192.168.55.150/24 --ЛВС1-- 192.168.55.1/24 <Mikrotik1> White IP (VPN IP 10.10.10.1) --------(L2tp+IPsec)-------- Gray IP (VPN IP 10.10.10.101) <Mikrotik2>192.168.101.1/24 --ЛВС2-- 192.168.101.201/24 <Videoreg> <Mikrotik2>192.168.101.1/24 --ЛВС2-- 192.168.101.202/24 <PC2> Есть два роутера Mikrotik, расположены в сетях разных провайдеров (на каждом настроен masquerade). Между ними поднят VPN (L2tp+IPsec). Маршруты на роутерах прописаны руками. Из сети 192.168.55.0/24 я могу пинговать 192.168.101.0/24 и обратно. Trace route показывает, что пакеты ходят через VPN. К роутеру Mikrotik2 подключен видеорегистратор Videoreg и PC2. Правила сетевого фильтра – нет. При прочих равных настройках: При VPN L2tp+IPsec я не могу подключиться с PC1 (192.168.55.150/24) к Videoreg (192.168.101.201/24). При VPN L2tp+IPsec я не могу подключиться с PC1 (192.168.55.150/24) к Mikrotik2 (10.10.10.101) через Winbox. При VPN L2tp+IPsec я не могу подключиться с PC1 (192.168.55.150/24) к PC2 (192.168.101.202/24) по RDP. При VPN L2tp я могу подключиться с PC1 (192.168.55.150/24) к Videoreg (192.168.101.201/24). При VPN L2tp я могу подключиться с PC1 (192.168.55.150/24) к Mikrotik2 (10.10.10.101). При VPN L2tp+IPsec я могу подключиться с PC2 (192.168.101.202/24) к PC1 (192.168.55.150/24) по RDP. При VPN L2tp+IPsec я могу подключиться с PC2 (192.168.101.202/24) к Mikrotik1 (10.10.10.1) через Winbox. В чем может быть причина? Изменено 25 января, 2017 пользователем j0nnyff Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GeeZeeNburg Опубликовано 25 января, 2017 · Жалоба /ip service set www port=не_80_порт сделали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
j0nnyff Опубликовано 25 января, 2017 · Жалоба Извините, переосмыслив проблему - изменил постановку вопроса (первый топик темы) /ip service set www port=не_80_порт сделали? Сервис WWW на Mikrotik был отключен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 января, 2017 · Жалоба В чем может быть причина? В IPSEC - отключите его и все заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 26 января, 2017 (изменено) · Жалоба В чем может быть причина? Очевидно же, криво работает IPSec. Скорее всего где-то забыли выключить src-nat/masquerade в сторону туннеля. Или отключить IPSec совсем, или собрать заново, убрав лишний маскарад. Изменено 26 января, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
j0nnyff Опубликовано 26 января, 2017 · Жалоба В IPSEC - отключите его и все заработает. К сожалению, IPsec нужен для шифрования тоннеля. Очевидно же, криво работает IPSec. Скорее всего где-то забыли выключить src-nat/masquerade в сторону туннеля. Или отключить IPSec совсем, или собрать заново, убрав лишний маскарад. Маскарад на обоих роутерах только в сторону провайдера (в одном случае в сторону ether1, в другом ppoe-client ). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 26 января, 2017 · Жалоба К сожалению, IPsec нужен для шифрования тоннеля. кому вы нужны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
j0nnyff Опубликовано 26 января, 2017 · Жалоба кому вы нужны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 января, 2017 · Жалоба К сожалению, IPsec нужен для шифрования тоннеля. SSTP туннель сам шифрует, можно использовать его. Маскарад на обоих роутерах только в сторону провайдера (в одном случае в сторону ether1, в другом ppoe-client ). Маскард должен работать не в сторону провайдера, а по направлениям с src адресов = ваша серая адресация, по направлению dst адресов не равных вашей серой адресации, возможно после уточнений правил ната все заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
j0nnyff Опубликовано 26 января, 2017 · Жалоба Маскард должен работать не в сторону провайдера, а по направлениям с src адресов = ваша серая адресация, по направлению dst адресов не равных вашей серой адресации, возможно после уточнений правил ната все заработает. Спасибо за ответ. Можно ли увидеть пример корректной настройки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 27 января, 2017 (изменено) · Жалоба j0nnyff, например для локалки 192.168.1.0/24 SRC-NAT выглядит так: /ip firewall nat add action=src-nat chain=srcnat comment="Src-nat LAN->WAN" out-interface=ether1-gateway src-address=192.168.1.0/24 to-addresses=X.X.X.X Где "Х.Х.Х.Х" - внешний ip-адрес на интерфейсе "ether1-gateway" Или вариант для динамического внешнего IP - маскарад: /ip firewall nat add action=masquerade chain=srcnat comment="Masqe LAN->WAN" out-interface=ether1-gateway src-address=192.168.1.0/24 Еще более строгий вариант подразумевает наличие связных маршрутизируемых подсетей в диапазоне 192.168.0.0/16 и делает выборочный маскарад по адресам: /ip firewall nat add action=masquerade chain=srcnat comment="Masque NOT LAN" dst-address=!192.168.0.0/16 src-address=192.168.0.0/16 Таким образом натится то, что идёт из серой сети НЕ в связывающие туннели, а в Интернет. Изменено 27 января, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 января, 2017 · Жалоба Можно ли увидеть пример корректной настройки? В предыдущем сообщении смотрите строгий вариант. Если у вас подсетей локальный больше одной, тогда вместо src и dst адресов используйте аналогичные адрес листы, они находятся на вкладке ADVANCED. Интерфейсы в настройке ната указывать не нужно. Если требуется привязка к интерфейсу, то используется src-nat и указывается IP адрес, с которого выходить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
j0nnyff Опубликовано 28 января, 2017 (изменено) · Жалоба Saab95 ,т.е. при таблице маршрутизации # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 10.29.12.1 1 2 ADC 10.29.12.0/22 10.29.13.205 ether1 0 3 ADC 192.168.23.0/24 192.168.23.1 bridge1 # ADDRESS NETWORK INTERFACE 0 192.168.23.1/24 192.168.23.0 ether2 1 10.29.q.z/22 10.29.12.0 ether1 правила 0 chain=srcnat action=masquerade src-address=192.168.23.0/24 log=no log-prefix="" достаточно для корректной работы маскарада (локальная сеть одна, выход в Интернет - один)? Изменено 28 января, 2017 пользователем j0nnyff Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 января, 2017 · Жалоба Да. Т.к. запросы от абонентов идут по маршруту 0.0.0.0/0, и если ната нет, они уходят в сторону провайдера, сайты отвечают обратно на микротик, но он запросы дропает. Когда НАТ включен, он знает куда отправлять ответы. Если вы делаете нат по выходному интерфейсу, то по идее тоже все работает, однако это не правильно, при усложнении конфигурации начинаются проблемы, потому что под нат попадает то, что не должно попадать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...