siszone Posted January 25, 2019 Posted January 25, 2019 Суть задачи такая: человек с ноутбуком уехал в другой город. Ему надо предоставить доступ по VPN, чтобы он мог подключаться в нашу локалку.Что сделано: создано l2tp profiles и secretshttps://i.paste.pics/b44c98d606bfd68268f34efda89d2777.pnghttps://i.paste.pics/675d1ceef03ae949ba96d621d75d522a.pngДалее на win 7 создал vpn подключение. Всё отлично коннектится, я вижу в списке подключений PPP - Active ConnectinsСуть проблемы: если оставить галочку "использовать основной шлюз в удаленной сети" - то инет работает от Микротика. Если галочку убрать - то инет удаленого ноута.НО! И так и этак не видит локальную сеть за микротиком. IP микротика 192.168.0.1 - пингуется без проблем, и больше ничего не пингуется.Если в микротике пропинговать удаленного пользователя - то пинг идёт. А если с компа из локальной сети - то пинг до удаленного пользователя не идётподлючиться по ВПН пробовал с 3-х удаленных компов - эффект один и тот жеПодскажите как быть, и что сделать чтобы увидел удаленный комп локалку?Вот настройки с удаленного компа: route print =========================================================================== Список интерфейсов 73...........................VPN-подключение 32...00 ff 5d 1c 11 1a ......TAP-Windows Adapter V9 31...00 ff e7 92 43 54 ......Kaspersky Security Data Escort Adapter 24...00 ff 9e 80 b9 dd ......TAP-Windows Adapter V9 #4 23...00 ff 56 8d a6 a1 ......TAP-Windows Adapter V9 #3 22...00 ff 85 79 d9 a4 ......TAP-Windows Adapter V9 #2 20...00 ff 62 72 07 80 ......TAP-Windows Adapter V9 15...48 d2 24 b6 2a e7 ......Устройства Bluetooth (личной сети) #2 13...48 d2 24 b5 cd ef ......[CommView] Atheros AR956x Wireless Network Adapter 12...30 65 ec 12 50 64 ......Qualcomm Atheros AR8171/8175 PCI-E Gigabit Etherne t Controller (NDIS 6.20) 1...........................Software Loopback Interface 1 74...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #12 26...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP 40...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3 30...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4 33...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5 34...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #6 35...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #7 28...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 36...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #9 37...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #10 38...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #11 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 172.20.10.1 172.20.10.9 4250 0.0.0.0 0.0.0.0 On-link 192.168.1.254 26 77.245.112.46 255.255.255.255 172.20.10.1 172.20.10.9 4251 192.168.1.254 255.255.255.255 On-link 192.168.1.254 281 224.0.0.0 240.0.0.0 On-link 192.168.1.254 26 255.255.255.255 255.255.255.255 On-link 192.168.1.254 281 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 192.168.0.1 255.255.254.0 192.168.0.1 1 =========================================================================== IPv6 таблица маршрута =========================================================================== Активные маршруты: Отсутствует Постоянные маршруты: Отсутствует Вставить ник Quote
McSea Posted January 25, 2019 Posted January 25, 2019 @siszone Если адрес удаленному клиенту из той же подсети выдаете (маска в локалке /23 ?), надо proxy-arp включать на лок. интерфейсе микротика. Маршрут постоянный уберите этот бесполезный. Если нужен доступ в локалку без перенаправления всего трафика, нужен маршрут до СЕТИ, а не до ХОСТА, т.е. до 192.168.0.0/23. Вставить ник Quote
siszone Posted January 25, 2019 Author Posted January 25, 2019 (edited) 8 минут назад, McSea сказал: @siszone Если адрес удаленному клиенту из той же подсети выдаете (маска в локалке /23 ?), надо proxy-arp включать на лок. интерфейсе микротика. маска подсети /23 - 255.255.254.0 Сейчас все пользователи сидят в сети 192.168.0.0/23, так же next pool настроен на 192.168.1.0/23 (это на случай когда закончатся IP из первой подсети) т.е надо на BRIDGE1 сменить APR с enable на proxy-apr? верно? Не слетит ли вообще вся сеть, потому что я сперва пытался прописать proxy-arp для порта с сетью и всё слегло, прошлось в микротик захлодить не по IP а по mac-адресу https://i.paste.pics/99ea39cf4fd70083ea3c73164a220027.png 8 минут назад, McSea сказал: @siszone Маршрут постоянный уберите этот бесполезный. Если нужен доступ в локалку без перенаправления всего трафика, нужен маршрут до СЕТИ, а не до ХОСТА, т.е. до 192.168.0.0/23. А как прописать верный маршрут, если к примеру я выделил пул адресов для vpn 192.168.1.50-192.168.1.70, шлюз по умолчанию 192.168.0.1? Edited January 25, 2019 by siszone Вставить ник Quote
McSea Posted January 25, 2019 Posted January 25, 2019 21 minutes ago, siszone said: Сейчас все пользователи сидят в сети 192.168.0.0/23, так же next pool настроен на 192.168.1.0/23 (это на случай когда закончатся IP из первой подсети) Для сети 192.168.0.0/23 диапазон адресов 0.1 - 1.254, а для сети 192.168.1.0/23 это 1.1 - 2.254, т.е. они у вас частично пересекаются, зачем так сделано ? proxy-arp на локальный интерфейс, если это BRIDGE1, значит на него, я вашего конфига не вижу. Либо можно давать VPN клиентам адреса из другой подсети, тогда будет без proxy-arp работать, но нужно будет проверить файрвол на микротике и на компах в локальной сети, чтобы не блокировался трафик. Маршруты для VPN клиентов под виндовс лучше всего через Add-VpnConnectionRoute добавлять (это в powershell, в 10-ке точно есть, про 7-ку не скажу). Обычная команда будет типа "route add -p 192.168.0.0/23 192.168.1.254", т.е. шлюзом указывается адрес VPN интерфейса клиента. Если адрес клиенту не постоянный выдается, так не прописать, нужен батник для подключения VPN с командой route, там шлюзом можно поставить VPN адрес микротика. Для постоянного маршрута VPN адрес микротика не будет работать, после переподключения маршрута не будет. Вставить ник Quote
siszone Posted January 25, 2019 Author Posted January 25, 2019 (edited) 36 минут назад, McSea сказал: Для сети 192.168.0.0/23 диапазон адресов 0.1 - 1.254, а для сети 192.168.1.0/23 это 1.1 - 2.254, т.е. они у вас частично пересекаются, зачем так сделано ? извиняюсь что неверно написал. 192.168.0.1/23 и больше никак нету 36 минут назад, McSea сказал: Либо можно давать VPN клиентам адреса из другой подсети, тогда будет без proxy-arp работать, но нужно будет проверить файрвол на микротике и на компах в локальной сети, чтобы не блокировался трафик. этот вариант кажется очень интересным, чтобы не менять proxy-arp Смотрите сделал как вы и сказали про другую подсеть: 1)создал pool адресов L2TP-Pool 172.16.0.2-172.16.0.50 2)настроил l2tp-profile, указав local adress 172.16.0.1 \ Remote adress L2TP-Pool \ DNS server 8.8.8.8 https://i.paste.pics/f86e6a10aecf7703073df583360f6d55.png 3)подключаюсь с компа через vpn, получаю IP 172.16.0.2, инет работает 4)через компьютер который в сети пингую 172.16.0.2 - пинг проходит, но если пинговать с удаленного пк 192.168.0.129 - то пинг не проходит. Что еще надо настроить? чувствую что истина где-то рядом...но только где она хз)) может то что маска подсети присваивается 255.255.255.255 и из-за этого не проходит. На локальных Пк маска подсети 255.255.254.0 Какойто route add -p поди указать надо на удаленном пк? Edited January 25, 2019 by siszone Вставить ник Quote
McSea Posted January 25, 2019 Posted January 25, 2019 48 minutes ago, siszone said: но если пинговать с удаленного пк 192.168.0.129 - то пинг не проходит. Файрвол на этом 0.129 смотрели ? Виндовс по дефолту блокирует не свои подсети. Вставить ник Quote
siszone Posted January 25, 2019 Author Posted January 25, 2019 38 минут назад, McSea сказал: Файрвол на этом 0.129 смотрели ? Виндовс по дефолту блокирует не свои подсети. c подсети 192.168.1.1 нормально заходит на 0.129, это с локального ПК так же тестил на файловом сервере 0.50 и др. Пинга нету нигде(( Вставить ник Quote
siszone Posted January 28, 2019 Author Posted January 28, 2019 Ребята, помогите мне пожалуйста. Очень надо:) Вставить ник Quote
pingz Posted January 28, 2019 Posted January 28, 2019 @siszone У тебя есть глобальное правило ната(скорее всего маскарад). Наверное стоит туда добавить исключение. Вставить ник Quote
siszone Posted January 28, 2019 Author Posted January 28, 2019 22 минуты назад, pingz сказал: @siszone У тебя есть глобальное правило ната(скорее всего маскарад). Наверное стоит туда добавить исключение. Вот что у меня в правилах Ната стоит https://i.paste.pics/cae2d884a4399a0482f63f306d5f5305.png Вставить ник Quote
McSea Posted January 28, 2019 Posted January 28, 2019 (edited) 5 hours ago, siszone said: Вот что у меня в правилах Ната стоит Ну не видно же большей части полей, Out Interface List прописан в правиле маскарада ? Полный конфиг бы дали командой "/export hide-sensitive". Сначала добейтесь работы с галочкой "Использовать основной шлюз ...", потом с маршрутами на клиенте разберетесь. Выше про файрвол писал - отключали для проверки ? On 1/25/2019 at 6:49 PM, siszone said: c подсети 192.168.1.1 нормально заходит на 0.129 У вас маска /23 и это адреса из одной подсети ! Edited January 28, 2019 by McSea Вставить ник Quote
siszone Posted January 28, 2019 Author Posted January 28, 2019 22 минуты назад, McSea сказал: Ну не видно же большей части полей, Out Interface List прописан в правиле маскарада ? Полный конфиг бы дали командой "/export hide-sensitive". Сначала добейтесь работы с галочкой "Использовать основной шлюз ...", потом с маршрутами на клиенте разберетесь. Выше про файрвол писал - отключали для проверки ? У вас маска /23 и это адреса из одной подсети ! Вот Out Interface List в правиле маскарада Вот конфиги [admin@media] > /export hide-sensitive # jan/28/2019 19:18:54 by RouterOS 6.42.5 # software id = BJUB-UXGC # # model = 951Ui-2HnD # serial number = 64310685377E /interface l2tp-server add name=l2tp-in-macbook user=macbook add name=l2tp-in-server user=server /interface bridge add admin-mac=6C:3B:6B:5E:4A:5B arp=proxy-arp auto-mac=no fast-forward=no name=\ BRIDGE1 protocol-mode=none /interface ethernet set [ find default-name=ether1 ] name=ETH1 set [ find default-name=ether2 ] name=ETH2 set [ find default-name=ether3 ] name=ETH3-MASTER set [ find default-name=ether4 ] name=ETH4-SLAVE set [ find default-name=ether5 ] name=ETH5-SLAVE /interface pppoe-client add add-default-route=yes comment="D: 2 U: 2" default-route-distance=4 \ interface=ETH1 keepalive-timeout=60 name=ISP1.ERT user=v1570701 add add-default-route=yes comment="D: 40 U: 40" default-route-distance=2 \ disabled=no interface=ETH2 keepalive-timeout=60 name=ISP2.MTS user=\ 79127458618_serv3 add add-default-route=yes default-route-distance=3 disabled=no interface=ETH2 \ keepalive-timeout=60 name="MTS UL" user=30408201137 /interface pptp-server add name=pptp-in1 user="" /interface list add name=ISPS add exclude=dynamic name=discover add name=mactel add name=mac-winbox add name=WAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\ dynamic-keys supplicant-identity=MikroTik add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \ mode=dynamic-keys name=media supplicant-identity="" /interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \ band=2ghz-b/g/n country=russia default-forwarding=no disabled=no distance=\ indoors hw-protection-mode=rts-cts mode=ap-bridge name=wlan1_media \ radio-name=media security-profile=media ssid=Mikrotik \ tx-power-mode=all-rates-fixed wps-mode=disabled /interface wireless nstreme set wlan1_media enable-polling=no /ip ipsec policy group add name=group1 /ip ipsec proposal set [ find default=yes ] disabled=yes enc-algorithms=\ aes-256-cbc,aes-128-cbc,3des add disabled=yes enc-algorithms=aes-256-cbc,aes-128-cbc,3des name=proposal1 add enc-algorithms=aes-256-cbc,3des name=L2TP-Proposal pfs-group=none /ip pool add name=vpn-pool ranges=172.16.30.102-172.16.30.110 add name=OVPN_srv_pool ranges=192.168.100.2-192.168.100.254 add name=L2TP-Pool ranges=172.16.0.2-172.16.0.50 add name=POOL2 ranges=192.168.1.101-192.168.1.254 add name=POOL1 next-pool=POOL2 ranges=\ 192.168.0.131-192.168.0.156,192.168.0.158-192.168.0.254 /ip dhcp-server add address-pool=POOL1 disabled=no interface=BRIDGE1 lease-time=1d name=DHCP1 /ppp profile add local-address=192.168.100.1 name=OVPN_server remote-address=OVPN_srv_pool add change-tcp-mss=yes dns-server=8.8.8.8 local-address=172.16.0.1 name=\ l2tp-profile remote-address=L2TP-Pool use-encryption=yes add bridge=BRIDGE1 local-address=192.168.0.1 name=vpn-connect-l2tp \ remote-address=POOL1 /queue simple add disabled=yes max-limit=256k/256k name=Local target=192.168.0.204/32 add disabled=yes max-limit=256k/256k name="Local(batov)" target=\ 192.168.0.141/32 add disabled=yes max-limit=256k/256k name="Local(batov2)" target=\ 192.168.0.143/32 add max-limit=256k/256k name="Local(uf-printer-shahtirov)" target=\ 192.168.0.195/32 add max-limit=256k/256k name="Local(uf-printer-chernov)" target=\ 192.168.0.147/32 add max-limit=256k/256k name="Local(gibochnii)" target=192.168.0.184/32 add max-limit=256k/256k name="Local(gibochnii2)" target=192.168.0.176/32 add max-limit=256k/256k name="Local((tronin)" target=192.168.0.165/32 add max-limit=256k/256k name="Local(new-stanok)" packet-marks="" target=\ 192.168.0.203/32 /queue tree add disabled=yes max-limit=512k name=Local-upload packet-mark=Local-upload \ parent=global add disabled=yes max-limit=512k name=Local-download packet-mark=Local-download \ parent=global add disabled=yes name=IN parent=global queue=default add disabled=yes name=OUT parent=global queue=default add disabled=yes max-limit=2M name=FROM_SIP packet-mark=FROM_SIP parent=IN \ priority=4 add disabled=yes max-limit=2M name=TO_SIP packet-mark=TO_SIP parent=OUT \ priority=4 add disabled=yes max-limit=7M name=FROM_ALL packet-mark=FROM_ALL parent=IN \ queue=default add disabled=yes max-limit=7M name=TO_ALL packet-mark=TO_ALL parent=OUT queue=\ default add disabled=yes max-limit=45M name=FROM_ALL_MTS packet-mark=FROM_ALL_MTS \ parent=IN add disabled=yes max-limit=18M name=TO_ALL_MTS packet-mark=TO_ALL_MTS parent=\ OUT /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /system logging action set 0 memory-lines=10000 /interface bridge port add bridge=BRIDGE1 interface=ETH3-MASTER add bridge=BRIDGE1 interface=wlan1_media add bridge=BRIDGE1 interface=ETH4-SLAVE add bridge=BRIDGE1 interface=ETH5-SLAVE /ip neighbor discovery-settings set discover-interface-list=discover /interface l2tp-server server set authentication=mschap2 default-profile=l2tp-profile enabled=yes use-ipsec=\ yes /interface list member add interface=ISP2.MTS list=ISPS add interface=ETH2 list=discover add interface=ETH3-MASTER list=discover add interface=ETH4-SLAVE list=discover add interface=ETH5-SLAVE list=discover add interface=wlan1_media list=discover add interface=BRIDGE1 list=discover add interface=ISP1.ERT list=ISPS add interface=ISP2.MTS list=discover add interface=BRIDGE1 list=mactel add interface=BRIDGE1 list=mac-winbox add interface="MTS UL" list=ISPS add interface=ISP2.MTS list=WAN add interface="MTS UL" list=WAN add interface=ETH1 list=WAN add interface=ETH1 list=discover add interface=ETH1 list=ISPS /interface ovpn-server server set auth=sha1 certificate=srv-OVPN cipher=blowfish128 default-profile=\ OVPN_server enabled=yes require-client-certificate=yes /interface pptp-server server set enabled=yes /interface wireless access-list add vlan-mode=no-tag /ip address add address=192.168.0.1/23 interface=BRIDGE1 network=192.168.0.0 add address=192.168.1.1/24 disabled=yes interface=BRIDGE1 network=192.168.1.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ETH1 /ip dhcp-server alert add disabled=no interface=BRIDGE1 /ip dhcp-server lease add address=192.168.0.148 always-broadcast=yes client-id=1:b8:97:5a:7e:6e:d \ mac-address=B8:97:5A:7E:6E:0D server=DHCP1 add address=192.168.0.151 client-id=1:90:2b:34:e3:f1:e8 mac-address=\ 90:2B:34:E3:F1:E8 server=DHCP1 add address=192.168.0.250 always-broadcast=yes client-id=1:0:b:82:af:41:60 \ mac-address=00:0B:82:AF:41:60 server=DHCP1 add address=192.168.0.238 always-broadcast=yes client-id=1:f4:6d:4:94:d1:88 \ mac-address=F4:6D:04:94:D1:88 server=DHCP1 add address=192.168.0.162 always-broadcast=yes client-id=1:0:71:c2:24:f2:17 \ mac-address=00:71:C2:24:F2:17 server=DHCP1 add address=192.168.0.246 client-id=1:0:a8:59:cf:13:54 mac-address=\ 00:A8:59:CF:13:54 server=DHCP1 add address=192.168.0.144 always-broadcast=yes client-id=1:f4:6d:4:71:e1:55 \ mac-address=F4:6D:04:71:E1:55 server=DHCP1 add address=192.168.0.174 client-id=1:c4:e9:84:3:a3:24 mac-address=\ C4:E9:84:03:A3:24 server=DHCP1 add address=192.168.0.181 client-id=1:0:f:ea:37:18:60 mac-address=\ 00:0F:EA:37:18:60 server=DHCP1 add address=192.168.0.161 always-broadcast=yes client-id=1:0:19:66:94:2a:6 \ mac-address=00:19:66:94:2A:06 server=DHCP1 add address=192.168.0.146 always-broadcast=yes client-id=1:34:97:f6:88:ee:ff \ mac-address=34:97:F6:88:EE:FF server=DHCP1 add address=192.168.0.163 always-broadcast=yes client-id=1:10:bf:48:78:54:a1 \ mac-address=10:BF:48:78:54:A1 server=DHCP1 add address=192.168.0.164 always-broadcast=yes client-id=1:0:25:22:93:cf:f6 \ mac-address=00:25:22:93:CF:F6 server=DHCP1 add address=192.168.0.171 always-broadcast=yes client-id=1:e8:39:35:57:d:db \ mac-address=E8:39:35:57:0D:DB server=DHCP1 add address=192.168.0.173 always-broadcast=yes client-id=1:d4:3d:7e:7f:7c:f1 \ mac-address=D4:3D:7E:7F:7C:F1 server=DHCP1 add address=192.168.0.176 client-id=1:bc:ae:c5:b5:b5:b4 mac-address=\ BC:AE:C5:B5:B5:B4 server=DHCP1 add address=192.168.0.179 client-id=1:74:d4:35:40:c1:77 mac-address=\ 74:D4:35:40:C1:77 server=DHCP1 add address=192.168.0.182 always-broadcast=yes client-id=1:0:22:4d:7c:48:99 \ mac-address=00:22:4D:7C:48:99 server=DHCP1 add address=192.168.0.183 always-broadcast=yes client-id=1:74:d0:2b:26:f1:60 \ mac-address=74:D0:2B:26:F1:60 server=DHCP1 add address=192.168.0.186 client-id=1:bc:5f:f4:67:b6:fb mac-address=\ BC:5F:F4:67:B6:FB server=DHCP1 add address=192.168.0.194 always-broadcast=yes client-id=1:0:1d:92:be:75:a6 \ mac-address=00:1D:92:BE:75:A6 server=DHCP1 add address=192.168.0.196 client-id=1:0:15:58:59:46:35 mac-address=\ 00:15:58:59:46:35 server=DHCP1 add address=192.168.0.198 always-broadcast=yes client-id=1:f0:92:1c:e8:1b:16 \ mac-address=F0:92:1C:E8:1B:16 server=DHCP1 add address=192.168.0.199 client-id=1:0:19:66:62:ac:13 mac-address=\ 00:19:66:62:AC:13 server=DHCP1 add address=192.168.0.160 client-id=1:48:5b:39:c4:23:4a mac-address=\ 48:5B:39:C4:23:4A server=DHCP1 add address=192.168.0.141 client-id=1:0:1e:58:9f:70:18 mac-address=\ 00:1E:58:9F:70:18 server=DHCP1 add address=192.168.0.143 client-id=1:94:de:80:e3:a:ad mac-address=\ 94:DE:80:E3:0A:AD server=DHCP1 add address=192.168.0.150 always-broadcast=yes client-id=1:0:1a:4d:fc:66:16 \ mac-address=00:1A:4D:FC:66:16 server=DHCP1 add address=192.168.0.172 always-broadcast=yes client-id=1:50:e5:49:90:6a:68 \ mac-address=50:E5:49:90:6A:68 server=DHCP1 add address=192.168.0.170 always-broadcast=yes client-id=1:90:2b:34:61:fc:72 \ mac-address=90:2B:34:61:FC:72 server=DHCP1 add address=192.168.0.185 always-broadcast=yes client-id=1:0:f:fe:d1:44:df \ mac-address=00:0F:FE:D1:44:DF server=DHCP1 add address=192.168.0.193 always-broadcast=yes client-id=1:d4:3d:7e:fc:85:2e \ mac-address=D4:3D:7E:FC:85:2E server=DHCP1 add address=192.168.0.184 client-id=1:0:e0:66:da:b4:c6 mac-address=\ 00:E0:66:DA:B4:C6 server=DHCP1 add address=192.168.0.205 client-id=1:64:70:2:2:4c:d mac-address=\ 64:70:02:02:4C:0D server=DHCP1 add address=192.168.0.207 client-id=1:1c:6f:65:93:d5:47 mac-address=\ 1C:6F:65:93:D5:47 server=DHCP1 add address=192.168.0.202 always-broadcast=yes mac-address=00:80:48:25:0B:A7 \ server=DHCP1 add address=192.168.0.153 always-broadcast=yes client-id=1:14:da:e9:ef:83:e5 \ mac-address=14:DA:E9:EF:83:E5 server=DHCP1 add address=192.168.0.167 always-broadcast=yes client-id=1:bc:5f:f4:59:76:61 \ mac-address=BC:5F:F4:59:76:61 server=DHCP1 add address=192.168.0.206 client-id=1:70:54:d2:52:c4:d8 mac-address=\ 70:54:D2:52:C4:D8 server=DHCP1 add address=192.168.0.156 always-broadcast=yes client-id=1:b8:97:5a:d1:d9:20 \ mac-address=B8:97:5A:D1:D9:20 server=DHCP1 add address=192.168.0.195 client-id=1:90:2b:34:43:e0:4c mac-address=\ 90:2B:34:43:E0:4C server=DHCP1 add address=192.168.0.168 client-id=1:b8:97:5a:90:66:90 mac-address=\ B8:97:5A:90:66:90 server=DHCP1 add address=192.168.0.177 always-broadcast=yes client-id=1:bc:5f:f4:ed:be:cb \ mac-address=BC:5F:F4:ED:BE:CB server=DHCP1 add address=192.168.0.197 always-broadcast=yes client-id=1:14:da:e9:93:f1:18 \ mac-address=14:DA:E9:93:F1:18 server=DHCP1 add address=192.168.0.147 always-broadcast=yes client-id=1:2c:56:dc:3f:b7:c6 \ mac-address=2C:56:DC:3F:B7:C6 server=DHCP1 add address=192.168.0.212 client-id=1:0:1f:d0:5e:62:89 mac-address=\ 00:1F:D0:5E:62:89 server=DHCP1 add address=192.168.0.211 always-broadcast=yes client-id=1:10:78:d2:38:3c:15 \ mac-address=10:78:D2:38:3C:15 server=DHCP1 add address=192.168.0.216 always-broadcast=yes client-id=1:10:1f:74:b9:f:58 \ mac-address=10:1F:74:B9:0F:58 server=DHCP1 add address=192.168.0.223 always-broadcast=yes client-id=1:90:2b:34:60:76:d0 \ mac-address=90:2B:34:60:76:D0 server=DHCP1 add address=192.168.0.249 always-broadcast=yes client-id=1:0:a8:59:cf:13:56 \ mac-address=00:A8:59:CF:13:56 server=DHCP1 add address=192.168.0.209 always-broadcast=yes client-id=1:80:ee:73:3c:bc:99 \ mac-address=80:EE:73:3C:BC:99 server=DHCP1 add address=192.168.0.210 always-broadcast=yes client-id=1:0:e0:4c:e5:94:7 \ mac-address=00:E0:4C:E5:94:07 server=DHCP1 add address=192.168.0.217 always-broadcast=yes client-id=1:8:78:8:ee:53:6e \ mac-address=08:78:08:EE:53:6E server=DHCP1 add address=192.168.0.218 client-id=1:1c:36:bb:12:fb:60 mac-address=\ 1C:36:BB:12:FB:60 server=DHCP1 add address=192.168.0.235 always-broadcast=yes client-id=1:90:2b:34:2:f7:6f \ mac-address=90:2B:34:02:F7:6F server=DHCP1 add address=192.168.0.244 client-id=1:70:54:d2:52:98:a4 mac-address=\ 70:54:D2:52:98:A4 server=DHCP1 add address=192.168.0.248 always-broadcast=yes client-id=1:e8:8d:28:c0:c0:a2 \ mac-address=E8:8D:28:C0:C0:A2 server=DHCP1 add address=192.168.0.247 client-id=1:10:78:d2:d5:ce:92 mac-address=\ 10:78:D2:D5:CE:92 server=DHCP1 add address=192.168.0.243 always-broadcast=yes client-id=1:0:24:1d:de:75:9f \ mac-address=00:24:1D:DE:75:9F server=DHCP1 add address=192.168.0.245 always-broadcast=yes client-id=1:74:d0:2b:7c:7a:f1 \ mac-address=74:D0:2B:7C:7A:F1 server=DHCP1 add address=192.168.0.253 always-broadcast=yes client-id=1:94:7b:e7:16:23:9 \ mac-address=94:7B:E7:16:23:09 server=DHCP1 add address=192.168.0.139 always-broadcast=yes client-id=1:1c:6f:65:45:58:d3 \ mac-address=1C:6F:65:45:58:D3 server=DHCP1 add address=192.168.0.136 client-id=1:0:40:d0:c2:a:74 mac-address=\ 00:40:D0:C2:0A:74 server=DHCP1 add address=192.168.0.133 client-id=1:f8:da:c:50:20:5d mac-address=\ F8:DA:0C:50:20:5D server=DHCP1 add address=192.168.0.132 client-id=1:90:b1:1c:66:b7:ef mac-address=\ 90:B1:1C:66:B7:EF server=DHCP1 add address=192.168.0.208 mac-address=3C:D9:2B:49:D6:37 server=DHCP1 /ip dhcp-server network add address=192.168.0.0/23 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=\ 23 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4,77.88.8.8,77.88.8.1 /ip dns static add address=192.168.0.1 name=router /ip firewall address-list add address=78.85.4.* list=White add address=85.140.7.* list=White add address=91.185.67.* list=White add address=92.39.216.* list=White add address=91.223.44.* comment="\CD\CF" list=White add address=78.85.40.* list=White add address=78.85.34.* list=White add address=78.85.32.* list=White add address=78.850.32.* list=White add address=78.85.41.* list=White add address=92.61.31.* list=White add address=91.146.20.* list=White add address=92.39.216.* list=White add address=46.188.125.* disabled=yes list=White add address=31.173.85.* list=White add address=77.245.124.* list=White add address=46.188.59.* list=White add address=192.168.0.50 list=Local_MTS add address=192.168.0.182 comment="Surin P" list=Local add address=192.168.0.198 list=Local_MTS_UL add address=192.168.0.174 list=Local_MTS_UL add address=192.168.0.151 list=Local_MTS add address=192.168.0.148 list=Local add address=192.168.0.156 list=Local_MTS add address=192.168.0.154 list=Local_MTS_UL add address=192.168.0.171 list=Local_MTS_UL add address=192.168.0.170 list=Local_MTS_UL add address=192.168.0.163 list=Local_MTS_UL add address=192.168.0.172 list=Local_MTS_UL add address=192.168.0.150 list=Local_MTS_UL add address=192.168.0.161 list=Local_MTS_UL add address=192.168.0.212 list=Local_MTS_UL add address=192.168.0.207 list=Local_MTS_UL add address=192.168.0.173 list=Local_MTS add address=192.168.0.168 list=Local_MTS add address=192.168.0.238 list=Local_MTS add address=192.168.0.146 list=Local_MTS add address=192.168.0.167 list=Local_MTS add address=192.168.0.153 list=Local_MTS add address=192.168.0.179 list=Local_MTS add address=192.168.0.183 list=Local_MTS add address=192.168.0.185 list=Local_MTS add address=192.168.0.144 list=Local_MTS add address=192.168.0.194 list=Local_MTS add address=192.168.0.206 list=Local_MTS add address=192.168.0.197 list=Local_MTS add address=192.168.0.193 list=Local_MTS add address=192.168.0.177 list=Local_MTS add address=192.168.0.186 list=Local_MTS add address=192.168.0.213 list=Local_MTS add address=192.168.0.211 list=Local_MTS add address=192.168.0.216 list=Local_MTS_UL add address=192.168.0.223 list=Local_MTS add address=192.168.0.129 comment=SERVER list=Local add address=192.168.0.202 list=Local_MTS_UL add address=192.168.0.203 list=Local_MTS_UL add address=192.168.0.143 list=Local add address=192.168.0.141 list=Local add address=192.168.0.139 comment=SISADMIN list=Local add address=192.168.0.195 list=Local add address=192.168.0.147 list=Local add address=192.168.0.184 list=Local add address=192.168.0.176 list=Local add address=192.168.0.100 list=Local_MTS add address=192.168.0.200 list=Local_MTS add address=192.168.0.160 list=Local add address=192.168.0.175 list=Local_MTS add address=192.168.0.254 list=Local_MTS add address=192.168.0.152 list=Local_MTS add address=192.168.0.250 list=Local_MTS add address=192.168.0.145 list=Local_MTS add address=192.168.0.188 list=Local_MTS add address=192.168.0.246 list=Local_MTS add address=192.168.0.169 list=Local_MTS_UL add address=192.168.0.249 list=Local_MTS add address=192.168.0.166 list=Local_MTS add address=192.168.0.90 comment=ATC-server list=Local add address=92.61.31.* list=White add address=192.168.0.210 list=Local_MTS add address=192.168.0.2 comment=IP-camera list=Local_MTS_UL add address=192.168.0.214 list=Local_MTS add address=192.168.0.215 list=Local_MTS add address=78.85.5.* list=White add address=192.168.0.208 list=Local add address=192.168.0.217 comment="Galaxy A8" list=Local_MTS add address=192.168.0.218 list=Local_MTS add address=192.168.0.221 list=Local_MTS add address=192.168.0.226 list=Local_MTS add address=192.168.0.162 list=Local add address=192.168.0.164 list=Local add address=213.87.132.* list=White add address=192.168.0.159 list=Local_MTS_UL add address=192.168.0.231 list=Local_MTS_UL add address=192.168.0.234 list=Local_MTS_UL add address=192.168.0.235 list=Local_MTS_UL add address=192.168.0.244 list=Local_MTS add address=192.168.0.243 list=Local_MTS add address=192.168.0.245 list=Local_MTS_UL add address=192.168.0.247 list=Local_MTS add address=192.168.0.248 comment=iPhone list=Local_MTS add address=192.168.0.253 comment="Galaxy A3" list=Local_MTS add address=192.168.0.138 comment="nout packartBell" list=Local_MTS add address=192.168.0.134 comment="pc roman" list=Local_MTS add address=192.168.0.133 comment="nout roman" list=Local_MTS add address=192.168.1.151 list=Local_MTS add address=192.168.0.132 list=Local_MTS add address=77.245.112.* list=White add address=192.168.0.137 list=Local_MTS add address=78.85.25.* list=White add address=192.168.0.99 list=Local_MTS /ip firewall filter add action=accept chain=input comment="ACCEPT VPN" dst-port=1701,500,4500 \ protocol=udp add action=accept chain=input protocol=ipsec-esp add action=accept chain=input comment=OPENVPN dst-port=1194 in-interface=ETH2 \ protocol=tcp add action=accept chain=input comment="ACCEPT EVOLVEX" dst-port=8291 protocol=\ tcp src-address=91.223.44.*/28 add action=accept chain=input comment="ACCEPT EVOLVEX" disabled=yes \ src-address=91.223.44.*/28 add action=accept chain=input comment="ACCEPT ICMP" protocol=icmp add action=accept chain=input comment="ACCEPT ESTABLISHED RELATED" \ connection-state=established,related add action=drop chain=input comment="DROP ALL" in-interface=ISP2.MTS add action=drop chain=input comment="DROP ALL" in-interface="MTS UL" # ISP1.ERT not ready add action=drop chain=input comment="DROP ALL" in-interface=ISP1.ERT add action=accept chain=forward protocol=icmp add action=accept chain=forward disabled=yes dst-port=80,443,3389,1593 \ protocol=tcp src-address=172.16.0.0/24 add action=accept chain=forward disabled=yes dst-address=172.16.0.0/24 add action=drop chain=forward comment="DROP TORRENT KEYWORD" content=torrent \ src-address=192.168.0.0/23 add action=drop chain=forward comment="DROP TORRENT TRACKERS" content=tracker \ src-address=192.168.0.0/23 add action=drop chain=forward comment="DROP TORRENT GET PEERS" content=getpeers \ src-address=192.168.0.0/23 add action=drop chain=forward comment="DROP TORRENT INFO HASH" content=\ info_hash src-address=192.168.0.0/23 add action=drop chain=forward comment="DROP TORRENT ANNOUNCE PEERS" content=\ announce_peers src-address=192.168.0.0/23 add action=accept chain=forward comment="ACCEPT VOIP" dst-address=91.223.44.67 add action=accept chain=forward comment="ACCEPT WHITE FROM WAN TO LAN" \ in-interface-list=ISPS src-address-list=White add action=accept chain=forward comment="ACCEPT LOCAL" src-address-list=Local add action=accept chain=forward comment="ACCEPT LOCAL MTS" src-address-list=\ Local_MTS add action=accept chain=forward comment="ACCEPT LOCAL_MTS_UL" src-address-list=\ Local_MTS_UL add action=accept chain=forward comment="ACCEPT ESTABLISHED RELATED" \ connection-state=established,related add action=drop chain=forward comment="DROP ALL" connection-state="" add action=drop chain=forward comment="DROP INVALID" connection-state=invalid # ISP1.ERT not ready add action=drop chain=forward comment="DROP ALL NOT DSTNAT" \ connection-nat-state=!dstnat connection-state=new in-interface=ISP1.ERT add action=drop chain=forward comment="DROP ALL NOT DSTNAT" \ connection-nat-state=!dstnat connection-state=new in-interface=ISP2.MTS add action=accept chain=forward comment="ACCEPT LOCAL_RT" src-address-list=\ Local_RT add action=drop chain=input comment="DROP ALL ROSTEL" in-interface=ETH1 add action=drop chain=forward comment="DROP ALL NOT DSTNAT RT" \ connection-limit=100,32 connection-nat-state=!dstnat connection-state=new \ dst-limit=1,5,dst-address/1m40s in-interface=ETH1 limit=1,5:packet /ip firewall mangle add action=mark-routing chain=prerouting dst-address=91.223.44.67 \ new-routing-mark=RM-MTS-UL-OUT passthrough=no add action=mark-routing chain=prerouting in-interface=BRIDGE1 new-routing-mark=\ RM-MTS-OUT passthrough=yes src-address-list=Local_MTS add action=mark-routing chain=prerouting in-interface=BRIDGE1 new-routing-mark=\ RM-MTS-UL-OUT passthrough=yes src-address-list=Local_MTS_UL # ISP1.ERT not ready add action=mark-connection chain=input in-interface=ISP1.ERT \ new-connection-mark=CM-LT-IN passthrough=no add action=mark-routing chain=output connection-mark=CM-LT-IN new-routing-mark=\ RT-LT-OUT passthrough=no # ISP1.ERT not ready add action=mark-connection chain=forward connection-state=new in-interface=\ ISP1.ERT new-connection-mark=CM-LT-FRW passthrough=no add action=mark-routing chain=prerouting connection-mark=CM-LT-FRW \ in-interface=BRIDGE1 new-routing-mark=RT-LT-OUT passthrough=no add action=mark-connection chain=input in-interface=ISP2.MTS \ new-connection-mark=CM-MTS-IN passthrough=no add action=mark-routing chain=output connection-mark=CM-MTS-IN \ new-routing-mark=RT-MTS-OUT passthrough=no add action=mark-connection chain=forward connection-state=new in-interface=\ ISP2.MTS new-connection-mark=CM-MTS-FRW passthrough=no add action=mark-routing chain=prerouting connection-mark=CM-MTS-FRW \ in-interface=BRIDGE1 new-routing-mark=RT-MTS-OUT passthrough=no add action=mark-connection chain=input in-interface="MTS UL" \ new-connection-mark=CM-MTS-UL-IN passthrough=no add action=mark-routing chain=output connection-mark=CM-MTS-UL-IN \ new-routing-mark=RM-MTS-UL-OUT passthrough=no add action=mark-connection chain=forward connection-state=new in-interface=\ "MTS UL" new-connection-mark=CM-MTS-UL-FRW passthrough=no add action=mark-routing chain=prerouting connection-mark=CM-MTS-UL-FRW \ in-interface=BRIDGE1 new-routing-mark=RM-MTS-UL-OUT passthrough=no add action=mark-packet chain=prerouting disabled=yes new-packet-mark=FROM_SIP \ passthrough=no src-address=91.223.44.* add action=mark-packet chain=prerouting disabled=yes dst-address=91.223.44.* \ new-packet-mark=TO_SIP passthrough=no add action=mark-packet chain=prerouting disabled=yes in-interface=ISP1.ERT \ new-packet-mark=FROM_ALL passthrough=yes add action=mark-packet chain=forward disabled=yes new-packet-mark=TO_ALL \ out-interface=ISP1.ERT passthrough=yes add action=mark-packet chain=prerouting disabled=yes in-interface=ISP2.MTS \ new-packet-mark=FROM_ALL_MTS passthrough=yes add action=mark-packet chain=forward disabled=yes new-packet-mark=TO_ALL_MTS \ out-interface=ISP2.MTS passthrough=yes add action=mark-packet chain=forward comment=Local-upload dst-address-list=\ Local new-packet-mark=Local-upload out-interface=BRIDGE1 passthrough=yes add action=mark-packet chain=forward comment=Local-download in-interface=\ BRIDGE1 new-packet-mark=Local-download passthrough=yes src-address-list=\ Local add action=mark-routing chain=prerouting comment=ROSTEL in-interface=BRIDGE1 \ new-routing-mark=RM-ROSTEL-OUT passthrough=yes src-address-list=Local add action=mark-routing chain=output comment=ROSTEL connection-mark=\ CM-ROSTEL-IN new-routing-mark=RM-ROSTEL-OUT passthrough=no add action=mark-connection chain=input comment=ROSTEL in-interface=ETH1 \ new-connection-mark=CM-ROSTEL-IN passthrough=no add action=mark-connection chain=forward comment=ROSTEL connection-state=new \ in-interface=ETH1 new-connection-mark=CM-ROSTEL-FRW passthrough=no /ip firewall nat add action=dst-nat chain=dstnat dst-port=1593 in-interface-list=ISPS log=yes \ protocol=udp src-address-list=White to-addresses=192.168.0.129 to-ports=\ 1593 add action=masquerade chain=srcnat out-interface-list=ISPS add action=dst-nat chain=dstnat dst-port=1593 in-interface-list=ISPS protocol=\ tcp src-address=91.223.44.66 to-addresses=192.168.0.129 to-ports=1593 add action=dst-nat chain=dstnat dst-port=80 in-interface-list=ISPS protocol=tcp \ src-address=91.223.44.66 to-addresses=192.168.0.100 to-ports=80 add action=dst-nat chain=dstnat dst-port=1593 in-interface-list=ISPS protocol=\ tcp src-address-list=White to-addresses=192.168.0.129 to-ports=1593 add action=netmap chain=dstnat comment=RDP4000 dst-port=4000 protocol=tcp \ to-addresses=192.168.0.86 to-ports=4000 add action=dst-nat chain=dstnat comment=WEB dst-port=4001 in-interface-list=\ ISPS protocol=tcp to-addresses=192.168.0.2 to-ports=80 add action=netmap chain=dstnat comment=RDP3999 disabled=yes dst-port=3999 \ in-interface=ISP2.MTS protocol=tcp to-addresses=192.168.0.145 to-ports=0 add action=netmap chain=dstnat disabled=yes dst-port=3999 in-interface=ISP2.MTS \ protocol=udp to-addresses=192.168.0.145 to-ports=0 /ip firewall service-port set sip disabled=yes /ip ipsec peer add address=0.0.0.0/0 dh-group=modp1024 disabled=yes enc-algorithm=\ aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-strict add address=0.0.0.0/0 dh-group=modp1024 enc-algorithm=aes-256,3des \ exchange-mode=main-l2tp generate-policy=port-override \ policy-template-group=group1 /ip ipsec policy set 0 disabled=yes add group=group1 proposal=L2TP-Proposal template=yes /ip route add distance=1 gateway="MTS UL" routing-mark=RM-MTS-UL-OUT add distance=1 gateway=ISP2.MTS routing-mark=RM-MTS-OUT add distance=1 gateway=ISP1.ERT routing-mark=RT-LT-OUT add distance=1 gateway=ISP2.MTS routing-mark=RT-MTS-OUT add distance=1 gateway=78.85.25.* routing-mark=RM-ROSTEL-OUT add distance=1 gateway=ISP1.ERT routing-mark=RM-ERT-OUT add distance=1 gateway="MTS UL,ISP2.MTS" /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ppp secret add disabled=yes name=server profile=l2tp-profile service=l2tp add disabled=yes name=serverovpn profile=OVPN_server service=ovpn add name=macbook profile=l2tp-profile service=l2tp add name=test profile=l2tp-profile service=l2tp add name=piter profile=vpn-connect-l2tp service=l2tp add local-address=192.168.0.1 name=ppp1 profile=default-encryption \ remote-address=192.168.0.99 service=pptp /snmp set enabled=yes /system clock set time-zone-name=Europe/Samara /system identity set name=media /system logging add disabled=yes topics=pppoe add disabled=yes topics=ipsec /system ntp client set enabled=yes primary-ntp=94.247.111.* secondary-ntp=95.104.192.10 /system routerboard settings set silent-boot=no /system scheduler add disabled=yes interval=1d name=system_reboot on-event="/system reboot" \ policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-date=oct/25/2017 start-time=05:00:00 add disabled=yes interval=5m name=resetSipConnections on-event=\ resetSipConnections policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-date=oct/25/2017 start-time=09:00:00 /system script add name=resetSipConnections owner=admin policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source= reach i in=[/ip firewall connection find assured=no && dst-address~\":50 ] do={/ip firewall connection remove \$i}" add name=btest owner=admin policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source= ol bandwidth-test address=91.223.44.66 user=btest password=enumfl protoc cp direction=both random-data=yes tcp-connection-count=10\r\ \n" /tool graphing interface add interface=ETH1 /tool mac-server set allowed-interface-list=mactel /tool mac-server mac-winbox set allowed-interface-list=mac-winbox /tool sniffer set filter-interface=l2tp-in-server Вставить ник Quote
pingz Posted January 28, 2019 Posted January 28, 2019 @siszone сейчас пишу с телефона на пальцах. У тебя стоит регулировщик на перекрестке и всех шлёт на право ему глубоко все равно трафик с локалки или с ВПН все шлёт на право. Тебе либо делать исключения, чтобы трафик с ВПН не попадал под правило ната(есть входящий и исходящий если с точки а плюнуть пакет в точку б, то для ответа нужно, чтобы точка б мога плавать в точку а) и прописывать маршруты. Либо добавить в нат исключения и прописать срц нат. З.ы. для начало нарисуй схему, будет проще тебе и советчикам тебе помочь. Вставить ник Quote
McSea Posted January 28, 2019 Posted January 28, 2019 (edited) @pingz У него там Out Interface List прописан в правиле маскарада, а также нет interface листа в профиле L2TP, так что трафик VPN клиента не должен попадать под маскарад. @siszone Так вы для проверки файрвол на 0.129 пробовали отключать или нет ? Edited January 28, 2019 by McSea Вставить ник Quote
siszone Posted January 28, 2019 Author Posted January 28, 2019 1 минуту назад, McSea сказал: @siszone Так вы для проверки файрвол на 0.129 пробовали отключать или нет ? Да выключил брандмауэр, антивирусы на обоих машинах. Так же пинговал другие IP - эффект один и тот же(( Вставить ник Quote
pingz Posted January 28, 2019 Posted January 28, 2019 @McSea отсыпь З.ы. исключение со знаком "!" Вставить ник Quote
McSea Posted January 28, 2019 Posted January 28, 2019 (edited) 20 minutes ago, pingz said: @McSea отсыпь З.ы. исключение со знаком "!" Причем тут исключение, в правиле маскарада указан Out Interface List ISPS в который входят четыре интерфейса (интернет видимо). Т.е. для трафика на VPN клиента (для которого свой интерфейс создается при подключении) это правило не будет отрабатывать, как и для трафика в лок.сеть интерфейс BRIDGE1 Т.е. правило маскарада отрабатывает ТОЛЬКО НА ВЫХОДЕ для указанных интерфейсов из этого листа. Если бы этот интерфейс лист был указан в профиле, тогда бы было динамическое добавление интерфейса VPN клиента, но этого нет ! 25 minutes ago, siszone said: Да выключил брандмауэр, антивирусы на обоих машинах. Так же пинговал другие IP - эффект один и тот же(( Давайте посмотрим куда пинги идут, запустите на микротике команду /tool sniffer quick ip-protocol=icmp ip-address=192.168.0.129 Пропингайте с VPN клиента этот адрес и покажите выдачу команды. Edited January 28, 2019 by McSea Вставить ник Quote
pingz Posted January 29, 2019 Posted January 29, 2019 @siszone Я делаю все через нат Правило основного ната(нет возможности сделать маскарад): chain=srcnat action=src-nat to-addresses=x.x.x.239 src-address-list=pool dst-address-list=!mgm log=no log-prefix="" Адрес листы: ip firewall address-lis add address=y.y.y.2-y.y.y.15 list=pool (pptp клиенты) ip firewall address-lis add address=z.z.z.0/24 list=mgm(устройства за микротиком) Профиль pptp: ppp profile name="default" local-address=pptp remote-address=pptp session-timeout=4h idle-timeout=10m use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes use-upnp=default address-list="" dns-server=8.8.8.8, on-up="" on-down= Пул для pptp: ip pool add name=pptp ranges=y.y.y.2-y.y.y.15 Правило ната для устройств за микротиком, чтобы могли клиенты pptp ходить туда. add action=src-nat chain=srcnat dst-address=z.z.z.0/24 src-address-list=pool \ to-addresses=z.z.z.32 @McSea А через какое правило у него клиент с l2tp выходит в интернет через микротик? З.Ы. отсыпь, если не согласен конфиг в студию, как написать пример выше. Вставить ник Quote
McSea Posted January 29, 2019 Posted January 29, 2019 (edited) 10 hours ago, pingz said: А через какое правило у него клиент с l2tp выходит в интернет через микротик? Да причем тут выход в интернет, ТС нужно, чтобы клиент L2TP получил доступ в ЛОКАЛЬНУЮ сеть ЗА микротиком !! Это обычный РОУТИНГ, зачем там NAT вообще ?? Чтобы это работало, в дефолтном конфиге вообще ничего не надо делать, кроме настройки L2TP подключения. Когда L2TP клиент подключается, создается интерфейс + добавляется маршрут автоматом на него. И если в файрволе доступ не закрыт, а по дефолту от не закрыт, все работает отлично. Edited January 29, 2019 by McSea Вставить ник Quote
pingz Posted January 30, 2019 Posted January 30, 2019 @McSea у ТС есть глобальное правило ната и его подключение l2tp попадает под это правило. Вставить ник Quote
Saab95 Posted January 30, 2019 Posted January 30, 2019 Скорее всего конфиг сильно избыточен, из него можно удалить 80 процентов содержания без потери функционала. Вставить ник Quote
McSea Posted January 30, 2019 Posted January 30, 2019 6 hours ago, pingz said: у ТС есть глобальное правило ната и его подключение l2tp попадает под это правило. Трафик между L2TP клиентами и локальной сетью не попадает под это правило, выше писал почему - Out Interface List прописан там, попадает трафик исходящий в инет только. @siszone У вас много правил в mangle, которые перенаправляют трафик из локальной сети по разным провайдерам, и не сделано исключение для трафика на локальные подсети. Рекомендую сделать адрес лист для локальных подсетей (включая VPN pool), и прописать его исключением в dst-address-list в правила mark-routing Вставить ник Quote
Spartac Posted May 8, 2019 Posted May 8, 2019 (edited) я не понял, а почему на бридже proxy-mode=none? ясно же сказали: "включить" кстати может кому пригодится: в случае модели БЕЗ WiFi-я бриджа дефолтом нет. и создавать - огород городить на мастер-порте включил proxy-arp Edited May 8, 2019 by Spartac Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.