Jump to content
Калькуляторы

При подключении через l2tp - не видит локальную сеть

Суть задачи такая: человек с ноутбуком уехал в другой город. Ему надо предоставить доступ по VPN, чтобы он мог подключаться в нашу локалку.

Что сделано: создано l2tp profiles и secrets
https://i.paste.pics/b44c98d606bfd68268f34efda89d2777.png
https://i.paste.pics/675d1ceef03ae949ba96d621d75d522a.png

Далее на win 7 создал vpn подключение. Всё отлично коннектится, я вижу в списке подключений PPP - Active Connectins

Суть проблемы: если оставить галочку "использовать основной шлюз в удаленной сети" - то инет работает от Микротика. Если галочку убрать - то инет удаленого ноута.
НО! И так и этак не видит локальную сеть за микротиком. IP микротика 192.168.0.1 - пингуется без проблем, и больше ничего не пингуется.
Если в микротике пропинговать удаленного пользователя - то пинг идёт. А если с компа из локальной сети - то пинг до удаленного пользователя не идёт
подлючиться по ВПН пробовал с 3-х удаленных компов - эффект один и тот же
Подскажите как быть, и что сделать чтобы увидел удаленный комп локалку?

Вот настройки с удаленного компа:

route print
===========================================================================
Список интерфейсов
73...........................VPN-подключение
32...00 ff 5d 1c 11 1a ......TAP-Windows Adapter V9
31...00 ff e7 92 43 54 ......Kaspersky Security Data Escort Adapter
24...00 ff 9e 80 b9 dd ......TAP-Windows Adapter V9 #4
23...00 ff 56 8d a6 a1 ......TAP-Windows Adapter V9 #3
22...00 ff 85 79 d9 a4 ......TAP-Windows Adapter V9 #2
20...00 ff 62 72 07 80 ......TAP-Windows Adapter V9
15...48 d2 24 b6 2a e7 ......Устройства Bluetooth (личной сети) #2
13...48 d2 24 b5 cd ef ......[CommView] Atheros AR956x Wireless Network Adapter

12...30 65 ec 12 50 64 ......Qualcomm Atheros AR8171/8175 PCI-E Gigabit Etherne
t Controller (NDIS 6.20)
  1...........................Software Loopback Interface 1
74...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #12
26...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
40...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
30...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4
33...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5
34...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #6
35...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #7
28...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
36...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #9
37...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #10
38...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #11
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      172.20.10.1      172.20.10.9   4250
          0.0.0.0          0.0.0.0         On-link     192.168.1.254     26
    77.245.112.46  255.255.255.255      172.20.10.1      172.20.10.9   4251
    192.168.1.254  255.255.255.255         On-link     192.168.1.254    281
        224.0.0.0        240.0.0.0         On-link     192.168.1.254     26
  255.255.255.255  255.255.255.255         On-link     192.168.1.254    281
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      192.168.0.1    255.255.254.0      192.168.0.1       1
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
  Отсутствует
Постоянные маршруты:
  Отсутствует

 

Share this post


Link to post
Share on other sites

@siszone Если адрес удаленному клиенту из той же подсети выдаете (маска в локалке /23 ?), надо proxy-arp включать на лок. интерфейсе микротика. 

Маршрут постоянный уберите этот бесполезный.  Если нужен доступ в локалку без перенаправления всего трафика, нужен маршрут до СЕТИ, а не до ХОСТА, т.е. до 192.168.0.0/23. 

Share this post


Link to post
Share on other sites
8 минут назад, McSea сказал:

@siszone Если адрес удаленному клиенту из той же подсети выдаете (маска в локалке /23 ?), надо proxy-arp включать на лок. интерфейсе микротика. 

маска подсети /23 - 255.255.254.0

Сейчас все пользователи сидят в сети 192.168.0.0/23, так же next pool настроен на 192.168.1.0/23 (это на случай когда закончатся IP из первой подсети)

т.е надо на BRIDGE1 сменить APR с enable на proxy-apr? верно? Не слетит ли вообще вся сеть, потому что я сперва пытался прописать proxy-arp для порта с сетью и всё слегло, прошлось в микротик захлодить не по IP а по mac-адресу

https://i.paste.pics/99ea39cf4fd70083ea3c73164a220027.png

 

8 минут назад, McSea сказал:

@siszone Маршрут постоянный уберите этот бесполезный.  Если нужен доступ в локалку без перенаправления всего трафика, нужен маршрут до СЕТИ, а не до ХОСТА, т.е. до 192.168.0.0/23

А как прописать верный маршрут, если к примеру я выделил пул адресов для vpn 192.168.1.50-192.168.1.70, шлюз по умолчанию 192.168.0.1?

Edited by siszone

Share this post


Link to post
Share on other sites
21 minutes ago, siszone said:

Сейчас все пользователи сидят в сети 192.168.0.0/23, так же next pool настроен на 192.168.1.0/23 (это на случай когда закончатся IP из первой подсети)

Для сети 192.168.0.0/23 диапазон адресов 0.1 - 1.254, а для сети 192.168.1.0/23 это 1.1 - 2.254, т.е. они у вас частично пересекаются, зачем так сделано ?

 

proxy-arp на локальный интерфейс, если это BRIDGE1, значит на него, я вашего конфига не вижу.  Либо можно давать VPN клиентам адреса из другой подсети, тогда будет без proxy-arp работать, но нужно будет проверить файрвол на микротике и на компах в локальной сети, чтобы не блокировался трафик.

 

Маршруты для VPN клиентов под виндовс лучше всего через Add-VpnConnectionRoute добавлять (это в powershell, в 10-ке точно есть, про 7-ку не скажу).

Обычная команда будет типа "route add -p 192.168.0.0/23 192.168.1.254", т.е. шлюзом указывается адрес VPN интерфейса клиента.

Если адрес клиенту не постоянный выдается, так не прописать, нужен батник для подключения VPN с командой route, там шлюзом можно поставить VPN адрес микротика. Для постоянного маршрута VPN адрес микротика не будет работать, после переподключения маршрута не будет. 

 

 

Share this post


Link to post
Share on other sites
36 минут назад, McSea сказал:

Для сети 192.168.0.0/23 диапазон адресов 0.1 - 1.254, а для сети 192.168.1.0/23 это 1.1 - 2.254, т.е. они у вас частично пересекаются, зачем так сделано ?

 

извиняюсь что неверно написал. 192.168.0.1/23 и больше никак нету

 

36 минут назад, McSea сказал:

Либо можно давать VPN клиентам адреса из другой подсети, тогда будет без proxy-arp работать, но нужно будет проверить файрвол на микротике и на компах в локальной сети, чтобы не блокировался трафик.

этот вариант кажется очень интересным, чтобы не менять proxy-arp

Смотрите сделал как вы и сказали про другую подсеть:

1)создал pool адресов L2TP-Pool 172.16.0.2-172.16.0.50

2)настроил l2tp-profile, указав local adress 172.16.0.1 \ Remote adress L2TP-Pool \ DNS server 8.8.8.8

https://i.paste.pics/f86e6a10aecf7703073df583360f6d55.png

3)подключаюсь с компа через vpn, получаю IP 172.16.0.2, инет работает

4)через компьютер который в сети пингую 172.16.0.2 - пинг проходит, но если пинговать с удаленного пк 192.168.0.129 - то пинг не проходит. Что еще надо настроить? чувствую что истина где-то рядом...но только где она хз)) может то что маска подсети присваивается 255.255.255.255 и из-за этого не проходит. На локальных Пк маска подсети 255.255.254.0

 

Какойто route add -p  поди указать надо на удаленном пк?

Edited by siszone

Share this post


Link to post
Share on other sites
48 minutes ago, siszone said:

но если пинговать с удаленного пк 192.168.0.129 - то пинг не проходит.

Файрвол на этом 0.129 смотрели ?  Виндовс по дефолту блокирует не свои подсети.

Share this post


Link to post
Share on other sites
38 минут назад, McSea сказал:

Файрвол на этом 0.129 смотрели ?  Виндовс по дефолту блокирует не свои подсети.

c подсети 192.168.1.1 нормально заходит на 0.129, это с локального ПК

так же тестил на файловом сервере 0.50 и др. Пинга нету нигде((

Share this post


Link to post
Share on other sites

Ребята, помогите мне пожалуйста.

Очень надо:)

Share this post


Link to post
Share on other sites

@siszone У тебя есть глобальное правило ната(скорее всего маскарад). Наверное стоит туда добавить исключение. 

Share this post


Link to post
Share on other sites
22 минуты назад, pingz сказал:

@siszone У тебя есть глобальное правило ната(скорее всего маскарад). Наверное стоит туда добавить исключение. 

Вот что у меня в правилах Ната стоит

https://i.paste.pics/cae2d884a4399a0482f63f306d5f5305.png

Share this post


Link to post
Share on other sites
5 hours ago, siszone said:

Вот что у меня в правилах Ната стоит

Ну не видно же большей части полей, Out Interface List прописан в правиле маскарада ?

Полный конфиг бы дали командой "/export hide-sensitive".

 

Сначала добейтесь работы с галочкой "Использовать основной шлюз ...", потом с маршрутами на клиенте разберетесь.

Выше про файрвол писал - отключали для проверки ?

 

On 1/25/2019 at 6:49 PM, siszone said:

c подсети 192.168.1.1 нормально заходит на 0.129

У вас маска /23 и это адреса из одной подсети !

Edited by McSea

Share this post


Link to post
Share on other sites
22 минуты назад, McSea сказал:

Ну не видно же большей части полей, Out Interface List прописан в правиле маскарада ?

Полный конфиг бы дали командой "/export hide-sensitive".

 

Сначала добейтесь работы с галочкой "Использовать основной шлюз ...", потом с маршрутами на клиенте разберетесь.

Выше про файрвол писал - отключали для проверки ?

 

У вас маска /23 и это адреса из одной подсети !

 

Вот Out Interface List в правиле маскарада

2c017fde7e3846da5298f51c21e84ac8.png

 

Вот конфиги

[admin@media] > /export hide-sensitive
# jan/28/2019 19:18:54 by RouterOS 6.42.5
# software id = BJUB-UXGC
#
# model = 951Ui-2HnD
# serial number = 64310685377E
/interface l2tp-server
add name=l2tp-in-macbook user=macbook
add name=l2tp-in-server user=server
/interface bridge
add admin-mac=6C:3B:6B:5E:4A:5B arp=proxy-arp auto-mac=no fast-forward=no name=\
    BRIDGE1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] name=ETH1
set [ find default-name=ether2 ] name=ETH2
set [ find default-name=ether3 ] name=ETH3-MASTER
set [ find default-name=ether4 ] name=ETH4-SLAVE
set [ find default-name=ether5 ] name=ETH5-SLAVE
/interface pppoe-client
add add-default-route=yes comment="D: 2 U: 2" default-route-distance=4 \
    interface=ETH1 keepalive-timeout=60 name=ISP1.ERT user=v1570701
add add-default-route=yes comment="D: 40 U: 40" default-route-distance=2 \
    disabled=no interface=ETH2 keepalive-timeout=60 name=ISP2.MTS user=\
    79127458618_serv3
add add-default-route=yes default-route-distance=3 disabled=no interface=ETH2 \
    keepalive-timeout=60 name="MTS UL" user=30408201137
/interface pptp-server
add name=pptp-in1 user=""
/interface list
add name=ISPS
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
    mode=dynamic-keys name=media supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    band=2ghz-b/g/n country=russia default-forwarding=no disabled=no distance=\
    indoors hw-protection-mode=rts-cts mode=ap-bridge name=wlan1_media \
    radio-name=media security-profile=media ssid=Mikrotik \
    tx-power-mode=all-rates-fixed wps-mode=disabled
/interface wireless nstreme
set wlan1_media enable-polling=no
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] disabled=yes enc-algorithms=\
    aes-256-cbc,aes-128-cbc,3des
add disabled=yes enc-algorithms=aes-256-cbc,aes-128-cbc,3des name=proposal1
add enc-algorithms=aes-256-cbc,3des name=L2TP-Proposal pfs-group=none
/ip pool
add name=vpn-pool ranges=172.16.30.102-172.16.30.110
add name=OVPN_srv_pool ranges=192.168.100.2-192.168.100.254
add name=L2TP-Pool ranges=172.16.0.2-172.16.0.50
add name=POOL2 ranges=192.168.1.101-192.168.1.254
add name=POOL1 next-pool=POOL2 ranges=\
    192.168.0.131-192.168.0.156,192.168.0.158-192.168.0.254
/ip dhcp-server
add address-pool=POOL1 disabled=no interface=BRIDGE1 lease-time=1d name=DHCP1
/ppp profile
add local-address=192.168.100.1 name=OVPN_server remote-address=OVPN_srv_pool
add change-tcp-mss=yes dns-server=8.8.8.8 local-address=172.16.0.1 name=\
    l2tp-profile remote-address=L2TP-Pool use-encryption=yes
add bridge=BRIDGE1 local-address=192.168.0.1 name=vpn-connect-l2tp \
    remote-address=POOL1
/queue simple
add disabled=yes max-limit=256k/256k name=Local target=192.168.0.204/32
add disabled=yes max-limit=256k/256k name="Local(batov)" target=\
    192.168.0.141/32
add disabled=yes max-limit=256k/256k name="Local(batov2)" target=\
    192.168.0.143/32
add max-limit=256k/256k name="Local(uf-printer-shahtirov)" target=\
    192.168.0.195/32
add max-limit=256k/256k name="Local(uf-printer-chernov)" target=\
    192.168.0.147/32
add max-limit=256k/256k name="Local(gibochnii)" target=192.168.0.184/32
add max-limit=256k/256k name="Local(gibochnii2)" target=192.168.0.176/32
add max-limit=256k/256k name="Local((tronin)" target=192.168.0.165/32
add max-limit=256k/256k name="Local(new-stanok)" packet-marks="" target=\
    192.168.0.203/32
/queue tree
add disabled=yes max-limit=512k name=Local-upload packet-mark=Local-upload \
    parent=global
add disabled=yes max-limit=512k name=Local-download packet-mark=Local-download \
    parent=global
add disabled=yes name=IN parent=global queue=default
add disabled=yes name=OUT parent=global queue=default
add disabled=yes max-limit=2M name=FROM_SIP packet-mark=FROM_SIP parent=IN \
    priority=4
add disabled=yes max-limit=2M name=TO_SIP packet-mark=TO_SIP parent=OUT \
    priority=4
add disabled=yes max-limit=7M name=FROM_ALL packet-mark=FROM_ALL parent=IN \
    queue=default
add disabled=yes max-limit=7M name=TO_ALL packet-mark=TO_ALL parent=OUT queue=\
    default
add disabled=yes max-limit=45M name=FROM_ALL_MTS packet-mark=FROM_ALL_MTS \
    parent=IN
add disabled=yes max-limit=18M name=TO_ALL_MTS packet-mark=TO_ALL_MTS parent=\
    OUT
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/system logging action
set 0 memory-lines=10000
/interface bridge port
add bridge=BRIDGE1 interface=ETH3-MASTER
add bridge=BRIDGE1 interface=wlan1_media
add bridge=BRIDGE1 interface=ETH4-SLAVE
add bridge=BRIDGE1 interface=ETH5-SLAVE
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp-profile enabled=yes use-ipsec=\
    yes
/interface list member
add interface=ISP2.MTS list=ISPS
add interface=ETH2 list=discover
add interface=ETH3-MASTER list=discover
add interface=ETH4-SLAVE list=discover
add interface=ETH5-SLAVE list=discover
add interface=wlan1_media list=discover
add interface=BRIDGE1 list=discover
add interface=ISP1.ERT list=ISPS
add interface=ISP2.MTS list=discover
add interface=BRIDGE1 list=mactel
add interface=BRIDGE1 list=mac-winbox
add interface="MTS UL" list=ISPS
add interface=ISP2.MTS list=WAN
add interface="MTS UL" list=WAN
add interface=ETH1 list=WAN
add interface=ETH1 list=discover
add interface=ETH1 list=ISPS
/interface ovpn-server server
set auth=sha1 certificate=srv-OVPN cipher=blowfish128 default-profile=\
    OVPN_server enabled=yes require-client-certificate=yes
/interface pptp-server server
set enabled=yes
/interface wireless access-list
add vlan-mode=no-tag
/ip address
add address=192.168.0.1/23 interface=BRIDGE1 network=192.168.0.0
add address=192.168.1.1/24 disabled=yes interface=BRIDGE1 network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ETH1
/ip dhcp-server alert
add disabled=no interface=BRIDGE1
/ip dhcp-server lease
add address=192.168.0.148 always-broadcast=yes client-id=1:b8:97:5a:7e:6e:d \
    mac-address=B8:97:5A:7E:6E:0D server=DHCP1
add address=192.168.0.151 client-id=1:90:2b:34:e3:f1:e8 mac-address=\
    90:2B:34:E3:F1:E8 server=DHCP1
add address=192.168.0.250 always-broadcast=yes client-id=1:0:b:82:af:41:60 \
    mac-address=00:0B:82:AF:41:60 server=DHCP1
add address=192.168.0.238 always-broadcast=yes client-id=1:f4:6d:4:94:d1:88 \
    mac-address=F4:6D:04:94:D1:88 server=DHCP1
add address=192.168.0.162 always-broadcast=yes client-id=1:0:71:c2:24:f2:17 \
    mac-address=00:71:C2:24:F2:17 server=DHCP1
add address=192.168.0.246 client-id=1:0:a8:59:cf:13:54 mac-address=\
    00:A8:59:CF:13:54 server=DHCP1
add address=192.168.0.144 always-broadcast=yes client-id=1:f4:6d:4:71:e1:55 \
    mac-address=F4:6D:04:71:E1:55 server=DHCP1
add address=192.168.0.174 client-id=1:c4:e9:84:3:a3:24 mac-address=\
    C4:E9:84:03:A3:24 server=DHCP1
add address=192.168.0.181 client-id=1:0:f:ea:37:18:60 mac-address=\
    00:0F:EA:37:18:60 server=DHCP1
add address=192.168.0.161 always-broadcast=yes client-id=1:0:19:66:94:2a:6 \
    mac-address=00:19:66:94:2A:06 server=DHCP1
add address=192.168.0.146 always-broadcast=yes client-id=1:34:97:f6:88:ee:ff \
    mac-address=34:97:F6:88:EE:FF server=DHCP1
add address=192.168.0.163 always-broadcast=yes client-id=1:10:bf:48:78:54:a1 \
    mac-address=10:BF:48:78:54:A1 server=DHCP1
add address=192.168.0.164 always-broadcast=yes client-id=1:0:25:22:93:cf:f6 \
    mac-address=00:25:22:93:CF:F6 server=DHCP1
add address=192.168.0.171 always-broadcast=yes client-id=1:e8:39:35:57:d:db \
    mac-address=E8:39:35:57:0D:DB server=DHCP1
add address=192.168.0.173 always-broadcast=yes client-id=1:d4:3d:7e:7f:7c:f1 \
    mac-address=D4:3D:7E:7F:7C:F1 server=DHCP1
add address=192.168.0.176 client-id=1:bc:ae:c5:b5:b5:b4 mac-address=\
    BC:AE:C5:B5:B5:B4 server=DHCP1
add address=192.168.0.179 client-id=1:74:d4:35:40:c1:77 mac-address=\
    74:D4:35:40:C1:77 server=DHCP1
add address=192.168.0.182 always-broadcast=yes client-id=1:0:22:4d:7c:48:99 \
    mac-address=00:22:4D:7C:48:99 server=DHCP1
add address=192.168.0.183 always-broadcast=yes client-id=1:74:d0:2b:26:f1:60 \
    mac-address=74:D0:2B:26:F1:60 server=DHCP1
add address=192.168.0.186 client-id=1:bc:5f:f4:67:b6:fb mac-address=\
    BC:5F:F4:67:B6:FB server=DHCP1
add address=192.168.0.194 always-broadcast=yes client-id=1:0:1d:92:be:75:a6 \
    mac-address=00:1D:92:BE:75:A6 server=DHCP1
add address=192.168.0.196 client-id=1:0:15:58:59:46:35 mac-address=\
    00:15:58:59:46:35 server=DHCP1
add address=192.168.0.198 always-broadcast=yes client-id=1:f0:92:1c:e8:1b:16 \
    mac-address=F0:92:1C:E8:1B:16 server=DHCP1
add address=192.168.0.199 client-id=1:0:19:66:62:ac:13 mac-address=\
    00:19:66:62:AC:13 server=DHCP1
add address=192.168.0.160 client-id=1:48:5b:39:c4:23:4a mac-address=\
    48:5B:39:C4:23:4A server=DHCP1
add address=192.168.0.141 client-id=1:0:1e:58:9f:70:18 mac-address=\
    00:1E:58:9F:70:18 server=DHCP1
add address=192.168.0.143 client-id=1:94:de:80:e3:a:ad mac-address=\
    94:DE:80:E3:0A:AD server=DHCP1
add address=192.168.0.150 always-broadcast=yes client-id=1:0:1a:4d:fc:66:16 \
    mac-address=00:1A:4D:FC:66:16 server=DHCP1
add address=192.168.0.172 always-broadcast=yes client-id=1:50:e5:49:90:6a:68 \
    mac-address=50:E5:49:90:6A:68 server=DHCP1
add address=192.168.0.170 always-broadcast=yes client-id=1:90:2b:34:61:fc:72 \
    mac-address=90:2B:34:61:FC:72 server=DHCP1
add address=192.168.0.185 always-broadcast=yes client-id=1:0:f:fe:d1:44:df \
    mac-address=00:0F:FE:D1:44:DF server=DHCP1
add address=192.168.0.193 always-broadcast=yes client-id=1:d4:3d:7e:fc:85:2e \
    mac-address=D4:3D:7E:FC:85:2E server=DHCP1
add address=192.168.0.184 client-id=1:0:e0:66:da:b4:c6 mac-address=\
    00:E0:66:DA:B4:C6 server=DHCP1
add address=192.168.0.205 client-id=1:64:70:2:2:4c:d mac-address=\
    64:70:02:02:4C:0D server=DHCP1
add address=192.168.0.207 client-id=1:1c:6f:65:93:d5:47 mac-address=\
    1C:6F:65:93:D5:47 server=DHCP1
add address=192.168.0.202 always-broadcast=yes mac-address=00:80:48:25:0B:A7 \
    server=DHCP1
add address=192.168.0.153 always-broadcast=yes client-id=1:14:da:e9:ef:83:e5 \
    mac-address=14:DA:E9:EF:83:E5 server=DHCP1
add address=192.168.0.167 always-broadcast=yes client-id=1:bc:5f:f4:59:76:61 \
    mac-address=BC:5F:F4:59:76:61 server=DHCP1
add address=192.168.0.206 client-id=1:70:54:d2:52:c4:d8 mac-address=\
    70:54:D2:52:C4:D8 server=DHCP1
add address=192.168.0.156 always-broadcast=yes client-id=1:b8:97:5a:d1:d9:20 \
    mac-address=B8:97:5A:D1:D9:20 server=DHCP1
add address=192.168.0.195 client-id=1:90:2b:34:43:e0:4c mac-address=\
    90:2B:34:43:E0:4C server=DHCP1
add address=192.168.0.168 client-id=1:b8:97:5a:90:66:90 mac-address=\
    B8:97:5A:90:66:90 server=DHCP1
add address=192.168.0.177 always-broadcast=yes client-id=1:bc:5f:f4:ed:be:cb \
    mac-address=BC:5F:F4:ED:BE:CB server=DHCP1
add address=192.168.0.197 always-broadcast=yes client-id=1:14:da:e9:93:f1:18 \
    mac-address=14:DA:E9:93:F1:18 server=DHCP1
add address=192.168.0.147 always-broadcast=yes client-id=1:2c:56:dc:3f:b7:c6 \
    mac-address=2C:56:DC:3F:B7:C6 server=DHCP1
add address=192.168.0.212 client-id=1:0:1f:d0:5e:62:89 mac-address=\
    00:1F:D0:5E:62:89 server=DHCP1
add address=192.168.0.211 always-broadcast=yes client-id=1:10:78:d2:38:3c:15 \
    mac-address=10:78:D2:38:3C:15 server=DHCP1
add address=192.168.0.216 always-broadcast=yes client-id=1:10:1f:74:b9:f:58 \
    mac-address=10:1F:74:B9:0F:58 server=DHCP1
add address=192.168.0.223 always-broadcast=yes client-id=1:90:2b:34:60:76:d0 \
    mac-address=90:2B:34:60:76:D0 server=DHCP1
add address=192.168.0.249 always-broadcast=yes client-id=1:0:a8:59:cf:13:56 \
    mac-address=00:A8:59:CF:13:56 server=DHCP1
add address=192.168.0.209 always-broadcast=yes client-id=1:80:ee:73:3c:bc:99 \
    mac-address=80:EE:73:3C:BC:99 server=DHCP1
add address=192.168.0.210 always-broadcast=yes client-id=1:0:e0:4c:e5:94:7 \
    mac-address=00:E0:4C:E5:94:07 server=DHCP1
add address=192.168.0.217 always-broadcast=yes client-id=1:8:78:8:ee:53:6e \
    mac-address=08:78:08:EE:53:6E server=DHCP1
add address=192.168.0.218 client-id=1:1c:36:bb:12:fb:60 mac-address=\
    1C:36:BB:12:FB:60 server=DHCP1
add address=192.168.0.235 always-broadcast=yes client-id=1:90:2b:34:2:f7:6f \
    mac-address=90:2B:34:02:F7:6F server=DHCP1
add address=192.168.0.244 client-id=1:70:54:d2:52:98:a4 mac-address=\
    70:54:D2:52:98:A4 server=DHCP1
add address=192.168.0.248 always-broadcast=yes client-id=1:e8:8d:28:c0:c0:a2 \
    mac-address=E8:8D:28:C0:C0:A2 server=DHCP1
add address=192.168.0.247 client-id=1:10:78:d2:d5:ce:92 mac-address=\
    10:78:D2:D5:CE:92 server=DHCP1
add address=192.168.0.243 always-broadcast=yes client-id=1:0:24:1d:de:75:9f \
    mac-address=00:24:1D:DE:75:9F server=DHCP1
add address=192.168.0.245 always-broadcast=yes client-id=1:74:d0:2b:7c:7a:f1 \
    mac-address=74:D0:2B:7C:7A:F1 server=DHCP1
add address=192.168.0.253 always-broadcast=yes client-id=1:94:7b:e7:16:23:9 \
    mac-address=94:7B:E7:16:23:09 server=DHCP1
add address=192.168.0.139 always-broadcast=yes client-id=1:1c:6f:65:45:58:d3 \
    mac-address=1C:6F:65:45:58:D3 server=DHCP1
add address=192.168.0.136 client-id=1:0:40:d0:c2:a:74 mac-address=\
    00:40:D0:C2:0A:74 server=DHCP1
add address=192.168.0.133 client-id=1:f8:da:c:50:20:5d mac-address=\
    F8:DA:0C:50:20:5D server=DHCP1
add address=192.168.0.132 client-id=1:90:b1:1c:66:b7:ef mac-address=\
    90:B1:1C:66:B7:EF server=DHCP1
add address=192.168.0.208 mac-address=3C:D9:2B:49:D6:37 server=DHCP1
/ip dhcp-server network
add address=192.168.0.0/23 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=\
    23
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4,77.88.8.8,77.88.8.1
/ip dns static
add address=192.168.0.1 name=router
/ip firewall address-list
add address=78.85.4.* list=White
add address=85.140.7.* list=White
add address=91.185.67.* list=White
add address=92.39.216.* list=White
add address=91.223.44.* comment="\CD\CF" list=White
add address=78.85.40.* list=White
add address=78.85.34.* list=White
add address=78.85.32.* list=White
add address=78.850.32.* list=White
add address=78.85.41.* list=White
add address=92.61.31.* list=White
add address=91.146.20.* list=White
add address=92.39.216.* list=White
add address=46.188.125.* disabled=yes list=White
add address=31.173.85.* list=White
add address=77.245.124.* list=White
add address=46.188.59.* list=White
add address=192.168.0.50 list=Local_MTS
add address=192.168.0.182 comment="Surin P" list=Local
add address=192.168.0.198 list=Local_MTS_UL
add address=192.168.0.174 list=Local_MTS_UL
add address=192.168.0.151 list=Local_MTS
add address=192.168.0.148 list=Local
add address=192.168.0.156 list=Local_MTS
add address=192.168.0.154 list=Local_MTS_UL
add address=192.168.0.171 list=Local_MTS_UL
add address=192.168.0.170 list=Local_MTS_UL
add address=192.168.0.163 list=Local_MTS_UL
add address=192.168.0.172 list=Local_MTS_UL
add address=192.168.0.150 list=Local_MTS_UL
add address=192.168.0.161 list=Local_MTS_UL
add address=192.168.0.212 list=Local_MTS_UL
add address=192.168.0.207 list=Local_MTS_UL
add address=192.168.0.173 list=Local_MTS
add address=192.168.0.168 list=Local_MTS
add address=192.168.0.238 list=Local_MTS
add address=192.168.0.146 list=Local_MTS
add address=192.168.0.167 list=Local_MTS
add address=192.168.0.153 list=Local_MTS
add address=192.168.0.179 list=Local_MTS
add address=192.168.0.183 list=Local_MTS
add address=192.168.0.185 list=Local_MTS
add address=192.168.0.144 list=Local_MTS
add address=192.168.0.194 list=Local_MTS
add address=192.168.0.206 list=Local_MTS
add address=192.168.0.197 list=Local_MTS
add address=192.168.0.193 list=Local_MTS
add address=192.168.0.177 list=Local_MTS
add address=192.168.0.186 list=Local_MTS
add address=192.168.0.213 list=Local_MTS
add address=192.168.0.211 list=Local_MTS
add address=192.168.0.216 list=Local_MTS_UL
add address=192.168.0.223 list=Local_MTS
add address=192.168.0.129 comment=SERVER list=Local
add address=192.168.0.202 list=Local_MTS_UL
add address=192.168.0.203 list=Local_MTS_UL
add address=192.168.0.143 list=Local
add address=192.168.0.141 list=Local
add address=192.168.0.139 comment=SISADMIN list=Local
add address=192.168.0.195 list=Local
add address=192.168.0.147 list=Local
add address=192.168.0.184 list=Local
add address=192.168.0.176 list=Local
add address=192.168.0.100 list=Local_MTS
add address=192.168.0.200 list=Local_MTS
add address=192.168.0.160 list=Local
add address=192.168.0.175 list=Local_MTS
add address=192.168.0.254 list=Local_MTS
add address=192.168.0.152 list=Local_MTS
add address=192.168.0.250 list=Local_MTS
add address=192.168.0.145 list=Local_MTS
add address=192.168.0.188 list=Local_MTS
add address=192.168.0.246 list=Local_MTS
add address=192.168.0.169 list=Local_MTS_UL
add address=192.168.0.249 list=Local_MTS
add address=192.168.0.166 list=Local_MTS
add address=192.168.0.90 comment=ATC-server list=Local
add address=92.61.31.* list=White
add address=192.168.0.210 list=Local_MTS
add address=192.168.0.2 comment=IP-camera list=Local_MTS_UL
add address=192.168.0.214 list=Local_MTS
add address=192.168.0.215 list=Local_MTS
add address=78.85.5.* list=White
add address=192.168.0.208 list=Local
add address=192.168.0.217 comment="Galaxy A8" list=Local_MTS
add address=192.168.0.218 list=Local_MTS
add address=192.168.0.221 list=Local_MTS
add address=192.168.0.226 list=Local_MTS
add address=192.168.0.162 list=Local
add address=192.168.0.164 list=Local
add address=213.87.132.* list=White
add address=192.168.0.159 list=Local_MTS_UL
add address=192.168.0.231 list=Local_MTS_UL
add address=192.168.0.234 list=Local_MTS_UL
add address=192.168.0.235 list=Local_MTS_UL
add address=192.168.0.244 list=Local_MTS
add address=192.168.0.243 list=Local_MTS
add address=192.168.0.245 list=Local_MTS_UL
add address=192.168.0.247 list=Local_MTS
add address=192.168.0.248 comment=iPhone list=Local_MTS
add address=192.168.0.253 comment="Galaxy A3" list=Local_MTS
add address=192.168.0.138 comment="nout packartBell" list=Local_MTS
add address=192.168.0.134 comment="pc roman" list=Local_MTS
add address=192.168.0.133 comment="nout roman" list=Local_MTS
add address=192.168.1.151 list=Local_MTS
add address=192.168.0.132 list=Local_MTS
add address=77.245.112.* list=White
add address=192.168.0.137 list=Local_MTS
add address=78.85.25.* list=White
add address=192.168.0.99 list=Local_MTS
/ip firewall filter
add action=accept chain=input comment="ACCEPT VPN" dst-port=1701,500,4500 \
    protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=OPENVPN dst-port=1194 in-interface=ETH2 \
    protocol=tcp
add action=accept chain=input comment="ACCEPT EVOLVEX" dst-port=8291 protocol=\
    tcp src-address=91.223.44.*/28
add action=accept chain=input comment="ACCEPT EVOLVEX" disabled=yes \
    src-address=91.223.44.*/28
add action=accept chain=input comment="ACCEPT ICMP" protocol=icmp
add action=accept chain=input comment="ACCEPT ESTABLISHED RELATED" \
    connection-state=established,related
add action=drop chain=input comment="DROP ALL" in-interface=ISP2.MTS
add action=drop chain=input comment="DROP ALL" in-interface="MTS UL"
# ISP1.ERT not ready
add action=drop chain=input comment="DROP ALL" in-interface=ISP1.ERT
add action=accept chain=forward protocol=icmp
add action=accept chain=forward disabled=yes dst-port=80,443,3389,1593 \
    protocol=tcp src-address=172.16.0.0/24
add action=accept chain=forward disabled=yes dst-address=172.16.0.0/24
add action=drop chain=forward comment="DROP TORRENT KEYWORD" content=torrent \
    src-address=192.168.0.0/23
add action=drop chain=forward comment="DROP TORRENT TRACKERS" content=tracker \
    src-address=192.168.0.0/23
add action=drop chain=forward comment="DROP TORRENT GET PEERS" content=getpeers \
    src-address=192.168.0.0/23
add action=drop chain=forward comment="DROP TORRENT INFO HASH" content=\
    info_hash src-address=192.168.0.0/23
add action=drop chain=forward comment="DROP TORRENT ANNOUNCE PEERS" content=\
    announce_peers src-address=192.168.0.0/23
add action=accept chain=forward comment="ACCEPT VOIP" dst-address=91.223.44.67
add action=accept chain=forward comment="ACCEPT WHITE FROM WAN TO LAN" \
    in-interface-list=ISPS src-address-list=White
add action=accept chain=forward comment="ACCEPT LOCAL" src-address-list=Local
add action=accept chain=forward comment="ACCEPT LOCAL MTS" src-address-list=\
    Local_MTS
add action=accept chain=forward comment="ACCEPT LOCAL_MTS_UL" src-address-list=\
    Local_MTS_UL
add action=accept chain=forward comment="ACCEPT ESTABLISHED RELATED" \
    connection-state=established,related
add action=drop chain=forward comment="DROP ALL" connection-state=""
add action=drop chain=forward comment="DROP INVALID" connection-state=invalid
# ISP1.ERT not ready
add action=drop chain=forward comment="DROP ALL NOT DSTNAT" \
    connection-nat-state=!dstnat connection-state=new in-interface=ISP1.ERT
add action=drop chain=forward comment="DROP ALL NOT DSTNAT" \
    connection-nat-state=!dstnat connection-state=new in-interface=ISP2.MTS
add action=accept chain=forward comment="ACCEPT LOCAL_RT" src-address-list=\
    Local_RT
add action=drop chain=input comment="DROP ALL ROSTEL" in-interface=ETH1
add action=drop chain=forward comment="DROP ALL NOT DSTNAT RT" \
    connection-limit=100,32 connection-nat-state=!dstnat connection-state=new \
    dst-limit=1,5,dst-address/1m40s in-interface=ETH1 limit=1,5:packet
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=91.223.44.67 \
    new-routing-mark=RM-MTS-UL-OUT passthrough=no
add action=mark-routing chain=prerouting in-interface=BRIDGE1 new-routing-mark=\
    RM-MTS-OUT passthrough=yes src-address-list=Local_MTS
add action=mark-routing chain=prerouting in-interface=BRIDGE1 new-routing-mark=\
    RM-MTS-UL-OUT passthrough=yes src-address-list=Local_MTS_UL
# ISP1.ERT not ready
add action=mark-connection chain=input in-interface=ISP1.ERT \
    new-connection-mark=CM-LT-IN passthrough=no
add action=mark-routing chain=output connection-mark=CM-LT-IN new-routing-mark=\
    RT-LT-OUT passthrough=no
# ISP1.ERT not ready
add action=mark-connection chain=forward connection-state=new in-interface=\
    ISP1.ERT new-connection-mark=CM-LT-FRW passthrough=no
add action=mark-routing chain=prerouting connection-mark=CM-LT-FRW \
    in-interface=BRIDGE1 new-routing-mark=RT-LT-OUT passthrough=no
add action=mark-connection chain=input in-interface=ISP2.MTS \
    new-connection-mark=CM-MTS-IN passthrough=no
add action=mark-routing chain=output connection-mark=CM-MTS-IN \
    new-routing-mark=RT-MTS-OUT passthrough=no
add action=mark-connection chain=forward connection-state=new in-interface=\
    ISP2.MTS new-connection-mark=CM-MTS-FRW passthrough=no
add action=mark-routing chain=prerouting connection-mark=CM-MTS-FRW \
    in-interface=BRIDGE1 new-routing-mark=RT-MTS-OUT passthrough=no
add action=mark-connection chain=input in-interface="MTS UL" \
    new-connection-mark=CM-MTS-UL-IN passthrough=no
add action=mark-routing chain=output connection-mark=CM-MTS-UL-IN \
    new-routing-mark=RM-MTS-UL-OUT passthrough=no
add action=mark-connection chain=forward connection-state=new in-interface=\
    "MTS UL" new-connection-mark=CM-MTS-UL-FRW passthrough=no
add action=mark-routing chain=prerouting connection-mark=CM-MTS-UL-FRW \
    in-interface=BRIDGE1 new-routing-mark=RM-MTS-UL-OUT passthrough=no
add action=mark-packet chain=prerouting disabled=yes new-packet-mark=FROM_SIP \
    passthrough=no src-address=91.223.44.*
add action=mark-packet chain=prerouting disabled=yes dst-address=91.223.44.* \
    new-packet-mark=TO_SIP passthrough=no
add action=mark-packet chain=prerouting disabled=yes in-interface=ISP1.ERT \
    new-packet-mark=FROM_ALL passthrough=yes
add action=mark-packet chain=forward disabled=yes new-packet-mark=TO_ALL \
    out-interface=ISP1.ERT passthrough=yes
add action=mark-packet chain=prerouting disabled=yes in-interface=ISP2.MTS \
    new-packet-mark=FROM_ALL_MTS passthrough=yes
add action=mark-packet chain=forward disabled=yes new-packet-mark=TO_ALL_MTS \
    out-interface=ISP2.MTS passthrough=yes
add action=mark-packet chain=forward comment=Local-upload dst-address-list=\
    Local new-packet-mark=Local-upload out-interface=BRIDGE1 passthrough=yes
add action=mark-packet chain=forward comment=Local-download in-interface=\
    BRIDGE1 new-packet-mark=Local-download passthrough=yes src-address-list=\
    Local
add action=mark-routing chain=prerouting comment=ROSTEL in-interface=BRIDGE1 \
    new-routing-mark=RM-ROSTEL-OUT passthrough=yes src-address-list=Local
add action=mark-routing chain=output comment=ROSTEL connection-mark=\
    CM-ROSTEL-IN new-routing-mark=RM-ROSTEL-OUT passthrough=no
add action=mark-connection chain=input comment=ROSTEL in-interface=ETH1 \
    new-connection-mark=CM-ROSTEL-IN passthrough=no
add action=mark-connection chain=forward comment=ROSTEL connection-state=new \
    in-interface=ETH1 new-connection-mark=CM-ROSTEL-FRW passthrough=no
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=1593 in-interface-list=ISPS log=yes \
    protocol=udp src-address-list=White to-addresses=192.168.0.129 to-ports=\
    1593
add action=masquerade chain=srcnat out-interface-list=ISPS
add action=dst-nat chain=dstnat dst-port=1593 in-interface-list=ISPS protocol=\
    tcp src-address=91.223.44.66 to-addresses=192.168.0.129 to-ports=1593
add action=dst-nat chain=dstnat dst-port=80 in-interface-list=ISPS protocol=tcp \
    src-address=91.223.44.66 to-addresses=192.168.0.100 to-ports=80
add action=dst-nat chain=dstnat dst-port=1593 in-interface-list=ISPS protocol=\
    tcp src-address-list=White to-addresses=192.168.0.129 to-ports=1593
add action=netmap chain=dstnat comment=RDP4000 dst-port=4000 protocol=tcp \
    to-addresses=192.168.0.86 to-ports=4000
add action=dst-nat chain=dstnat comment=WEB dst-port=4001 in-interface-list=\
    ISPS protocol=tcp to-addresses=192.168.0.2 to-ports=80
add action=netmap chain=dstnat comment=RDP3999 disabled=yes dst-port=3999 \
    in-interface=ISP2.MTS protocol=tcp to-addresses=192.168.0.145 to-ports=0
add action=netmap chain=dstnat disabled=yes dst-port=3999 in-interface=ISP2.MTS \
    protocol=udp to-addresses=192.168.0.145 to-ports=0
/ip firewall service-port
set sip disabled=yes
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1024 disabled=yes enc-algorithm=\
    aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-strict
add address=0.0.0.0/0 dh-group=modp1024 enc-algorithm=aes-256,3des \
    exchange-mode=main-l2tp generate-policy=port-override \
    policy-template-group=group1
/ip ipsec policy
set 0 disabled=yes
add group=group1 proposal=L2TP-Proposal template=yes
/ip route
add distance=1 gateway="MTS UL" routing-mark=RM-MTS-UL-OUT
add distance=1 gateway=ISP2.MTS routing-mark=RM-MTS-OUT
add distance=1 gateway=ISP1.ERT routing-mark=RT-LT-OUT
add distance=1 gateway=ISP2.MTS routing-mark=RT-MTS-OUT
add distance=1 gateway=78.85.25.* routing-mark=RM-ROSTEL-OUT
add distance=1 gateway=ISP1.ERT routing-mark=RM-ERT-OUT
add distance=1 gateway="MTS UL,ISP2.MTS"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add disabled=yes name=server profile=l2tp-profile service=l2tp
add disabled=yes name=serverovpn profile=OVPN_server service=ovpn
add name=macbook profile=l2tp-profile service=l2tp
add name=test profile=l2tp-profile service=l2tp
add name=piter profile=vpn-connect-l2tp service=l2tp
add local-address=192.168.0.1 name=ppp1 profile=default-encryption \
    remote-address=192.168.0.99 service=pptp
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Samara
/system identity
set name=media
/system logging
add disabled=yes topics=pppoe
add disabled=yes topics=ipsec
/system ntp client
set enabled=yes primary-ntp=94.247.111.* secondary-ntp=95.104.192.10
/system routerboard settings
set silent-boot=no
/system scheduler
add disabled=yes interval=1d name=system_reboot on-event="/system reboot" \
    policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=oct/25/2017 start-time=05:00:00
add disabled=yes interval=5m name=resetSipConnections on-event=\
    resetSipConnections policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=oct/25/2017 start-time=09:00:00
/system script
add name=resetSipConnections owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=
    reach i in=[/ip firewall connection find assured=no && dst-address~\":50
    ] do={/ip firewall connection remove \$i}"
add name=btest owner=admin policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=
    ol bandwidth-test address=91.223.44.66 user=btest password=enumfl protoc
    cp direction=both random-data=yes tcp-connection-count=10\r\
    \n"
/tool graphing interface
add interface=ETH1
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool sniffer
set filter-interface=l2tp-in-server

 

Share this post


Link to post
Share on other sites

@siszone  сейчас пишу с телефона на пальцах. У тебя стоит регулировщик на перекрестке и всех шлёт на право ему глубоко все равно трафик с локалки или с ВПН все шлёт на право.

Тебе либо делать исключения, чтобы трафик с ВПН не попадал под правило ната(есть входящий и исходящий если с точки а плюнуть пакет в точку б, то для ответа нужно, чтобы точка б мога плавать в точку а) и прописывать маршруты.

 

Либо добавить в нат исключения и прописать срц нат.

 

З.ы. для начало нарисуй схему, будет проще тебе и советчикам тебе помочь.

Share this post


Link to post
Share on other sites

@pingz 

 

У него там Out Interface List прописан в правиле маскарада, а также нет interface листа в профиле L2TP, так что трафик VPN клиента не должен попадать под маскарад.

 

 

 

@siszone 

 

Так вы для проверки файрвол на 0.129 пробовали отключать или нет ?

Edited by McSea

Share this post


Link to post
Share on other sites
1 минуту назад, McSea сказал:

 

@siszone 

 

Так вы для проверки файрвол на 0.129 пробовали отключать или нет ?

Да выключил брандмауэр, антивирусы на обоих машинах.

Так же пинговал другие IP - эффект один и тот же((

Share this post


Link to post
Share on other sites

@McSea отсыпь 

 

З.ы. исключение со знаком "!"

Share this post


Link to post
Share on other sites
20 minutes ago, pingz said:

@McSea отсыпь 

 

З.ы. исключение со знаком "!"

Причем тут исключение, в правиле маскарада указан Out Interface List  ISPS в который входят четыре интерфейса (интернет видимо).

Т.е. для трафика на VPN клиента (для которого свой интерфейс создается при подключении) это правило не будет отрабатывать, как и для трафика в лок.сеть интерфейс BRIDGE1

 

Т.е. правило маскарада отрабатывает ТОЛЬКО НА ВЫХОДЕ для указанных интерфейсов из этого листа.

Если бы этот интерфейс лист был указан в профиле, тогда бы было динамическое добавление интерфейса VPN клиента, но этого нет ! 

 

25 minutes ago, siszone said:

Да выключил брандмауэр, антивирусы на обоих машинах.

Так же пинговал другие IP - эффект один и тот же((

Давайте посмотрим куда пинги идут, запустите на микротике команду

/tool sniffer quick ip-protocol=icmp ip-address=192.168.0.129

Пропингайте с VPN клиента этот адрес и покажите выдачу команды.

Edited by McSea

Share this post


Link to post
Share on other sites

@siszone Я делаю все через нат 

 

Правило основного ната(нет возможности сделать маскарад):

chain=srcnat action=src-nat to-addresses=x.x.x.239 src-address-list=pool dst-address-list=!mgm log=no log-prefix="" 

Адрес листы:

ip firewall address-lis add address=y.y.y.2-y.y.y.15 list=pool (pptp клиенты)

ip firewall address-lis add address=z.z.z.0/24 list=mgm(устройства за микротиком)

Профиль pptp:

ppp profile name="default" local-address=pptp remote-address=pptp session-timeout=4h 
     idle-timeout=10m use-mpls=default use-compression=default 
     use-encryption=default only-one=default change-tcp-mss=yes 
     use-upnp=default address-list="" dns-server=8.8.8.8,
     on-up="" on-down=

Пул для pptp:

ip pool
add name=pptp ranges=y.y.y.2-y.y.y.15

 

Правило ната для устройств за микротиком, чтобы могли клиенты pptp ходить туда. 

add action=src-nat chain=srcnat dst-address=z.z.z.0/24 src-address-list=pool \
    to-addresses=z.z.z.32

 

@McSea  А через какое правило у него клиент с l2tp выходит в интернет через микротик? 

З.Ы. отсыпь, если не согласен конфиг в студию, как написать пример выше. 

Share this post


Link to post
Share on other sites
10 hours ago, pingz said:

А через какое правило у него клиент с l2tp выходит в интернет через микротик? 

Да причем тут выход в интернет, ТС нужно, чтобы клиент L2TP получил доступ в ЛОКАЛЬНУЮ сеть ЗА микротиком !!

Это обычный РОУТИНГ, зачем там NAT вообще ??

 

Чтобы это работало, в дефолтном конфиге вообще ничего не надо делать, кроме настройки  L2TP подключения.

Когда L2TP клиент подключается, создается интерфейс + добавляется маршрут автоматом на него.

И если в файрволе доступ не закрыт, а по дефолту от не закрыт, все работает отлично.

 

 

Edited by McSea

Share this post


Link to post
Share on other sites

@McSea  у ТС есть глобальное правило ната и его подключение l2tp попадает под это правило. 

Share this post


Link to post
Share on other sites

Скорее всего конфиг сильно избыточен, из него можно удалить 80 процентов содержания без потери функционала.

Share this post


Link to post
Share on other sites
6 hours ago, pingz said:

у ТС есть глобальное правило ната и его подключение l2tp попадает под это правило. 

Трафик между L2TP клиентами и локальной сетью не попадает под это правило, выше писал почему - Out Interface List прописан там, попадает трафик исходящий в инет только.

 

@siszone 

 

У вас много правил в mangle, которые перенаправляют трафик из локальной сети по разным провайдерам, и не сделано исключение для трафика на локальные подсети. 

Рекомендую сделать адрес лист для локальных подсетей (включая VPN pool), и прописать его исключением в dst-address-list в правила mark-routing

 

 

 

Share this post


Link to post
Share on other sites

я не понял, а почему на бридже proxy-mode=none? ясно же сказали: "включить" 

кстати может кому пригодится: в случае модели БЕЗ WiFi-я бриджа дефолтом нет. и создавать - огород городить

на мастер-порте включил proxy-arp

Edited by Spartac

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this