siszone Posted January 25, 2019 · Report post Суть задачи такая: человек с ноутбуком уехал в другой город. Ему надо предоставить доступ по VPN, чтобы он мог подключаться в нашу локалку.Что сделано: создано l2tp profiles и secretshttps://i.paste.pics/b44c98d606bfd68268f34efda89d2777.pnghttps://i.paste.pics/675d1ceef03ae949ba96d621d75d522a.pngДалее на win 7 создал vpn подключение. Всё отлично коннектится, я вижу в списке подключений PPP - Active ConnectinsСуть проблемы: если оставить галочку "использовать основной шлюз в удаленной сети" - то инет работает от Микротика. Если галочку убрать - то инет удаленого ноута.НО! И так и этак не видит локальную сеть за микротиком. IP микротика 192.168.0.1 - пингуется без проблем, и больше ничего не пингуется.Если в микротике пропинговать удаленного пользователя - то пинг идёт. А если с компа из локальной сети - то пинг до удаленного пользователя не идётподлючиться по ВПН пробовал с 3-х удаленных компов - эффект один и тот жеПодскажите как быть, и что сделать чтобы увидел удаленный комп локалку?Вот настройки с удаленного компа: route print =========================================================================== Список интерфейсов 73...........................VPN-подключение 32...00 ff 5d 1c 11 1a ......TAP-Windows Adapter V9 31...00 ff e7 92 43 54 ......Kaspersky Security Data Escort Adapter 24...00 ff 9e 80 b9 dd ......TAP-Windows Adapter V9 #4 23...00 ff 56 8d a6 a1 ......TAP-Windows Adapter V9 #3 22...00 ff 85 79 d9 a4 ......TAP-Windows Adapter V9 #2 20...00 ff 62 72 07 80 ......TAP-Windows Adapter V9 15...48 d2 24 b6 2a e7 ......Устройства Bluetooth (личной сети) #2 13...48 d2 24 b5 cd ef ......[CommView] Atheros AR956x Wireless Network Adapter 12...30 65 ec 12 50 64 ......Qualcomm Atheros AR8171/8175 PCI-E Gigabit Etherne t Controller (NDIS 6.20) 1...........................Software Loopback Interface 1 74...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #12 26...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP 40...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3 30...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #4 33...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #5 34...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #6 35...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #7 28...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 36...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #9 37...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #10 38...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #11 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 172.20.10.1 172.20.10.9 4250 0.0.0.0 0.0.0.0 On-link 192.168.1.254 26 77.245.112.46 255.255.255.255 172.20.10.1 172.20.10.9 4251 192.168.1.254 255.255.255.255 On-link 192.168.1.254 281 224.0.0.0 240.0.0.0 On-link 192.168.1.254 26 255.255.255.255 255.255.255.255 On-link 192.168.1.254 281 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 192.168.0.1 255.255.254.0 192.168.0.1 1 =========================================================================== IPv6 таблица маршрута =========================================================================== Активные маршруты: Отсутствует Постоянные маршруты: Отсутствует Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 25, 2019 · Report post @siszone Если адрес удаленному клиенту из той же подсети выдаете (маска в локалке /23 ?), надо proxy-arp включать на лок. интерфейсе микротика. Маршрут постоянный уберите этот бесполезный. Если нужен доступ в локалку без перенаправления всего трафика, нужен маршрут до СЕТИ, а не до ХОСТА, т.е. до 192.168.0.0/23. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siszone Posted January 25, 2019 (edited) · Report post 8 минут назад, McSea сказал: @siszone Если адрес удаленному клиенту из той же подсети выдаете (маска в локалке /23 ?), надо proxy-arp включать на лок. интерфейсе микротика. маска подсети /23 - 255.255.254.0 Сейчас все пользователи сидят в сети 192.168.0.0/23, так же next pool настроен на 192.168.1.0/23 (это на случай когда закончатся IP из первой подсети) т.е надо на BRIDGE1 сменить APR с enable на proxy-apr? верно? Не слетит ли вообще вся сеть, потому что я сперва пытался прописать proxy-arp для порта с сетью и всё слегло, прошлось в микротик захлодить не по IP а по mac-адресу https://i.paste.pics/99ea39cf4fd70083ea3c73164a220027.png 8 минут назад, McSea сказал: @siszone Маршрут постоянный уберите этот бесполезный. Если нужен доступ в локалку без перенаправления всего трафика, нужен маршрут до СЕТИ, а не до ХОСТА, т.е. до 192.168.0.0/23. А как прописать верный маршрут, если к примеру я выделил пул адресов для vpn 192.168.1.50-192.168.1.70, шлюз по умолчанию 192.168.0.1? Edited January 25, 2019 by siszone Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 25, 2019 · Report post 21 minutes ago, siszone said: Сейчас все пользователи сидят в сети 192.168.0.0/23, так же next pool настроен на 192.168.1.0/23 (это на случай когда закончатся IP из первой подсети) Для сети 192.168.0.0/23 диапазон адресов 0.1 - 1.254, а для сети 192.168.1.0/23 это 1.1 - 2.254, т.е. они у вас частично пересекаются, зачем так сделано ? proxy-arp на локальный интерфейс, если это BRIDGE1, значит на него, я вашего конфига не вижу. Либо можно давать VPN клиентам адреса из другой подсети, тогда будет без proxy-arp работать, но нужно будет проверить файрвол на микротике и на компах в локальной сети, чтобы не блокировался трафик. Маршруты для VPN клиентов под виндовс лучше всего через Add-VpnConnectionRoute добавлять (это в powershell, в 10-ке точно есть, про 7-ку не скажу). Обычная команда будет типа "route add -p 192.168.0.0/23 192.168.1.254", т.е. шлюзом указывается адрес VPN интерфейса клиента. Если адрес клиенту не постоянный выдается, так не прописать, нужен батник для подключения VPN с командой route, там шлюзом можно поставить VPN адрес микротика. Для постоянного маршрута VPN адрес микротика не будет работать, после переподключения маршрута не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siszone Posted January 25, 2019 (edited) · Report post 36 минут назад, McSea сказал: Для сети 192.168.0.0/23 диапазон адресов 0.1 - 1.254, а для сети 192.168.1.0/23 это 1.1 - 2.254, т.е. они у вас частично пересекаются, зачем так сделано ? извиняюсь что неверно написал. 192.168.0.1/23 и больше никак нету 36 минут назад, McSea сказал: Либо можно давать VPN клиентам адреса из другой подсети, тогда будет без proxy-arp работать, но нужно будет проверить файрвол на микротике и на компах в локальной сети, чтобы не блокировался трафик. этот вариант кажется очень интересным, чтобы не менять proxy-arp Смотрите сделал как вы и сказали про другую подсеть: 1)создал pool адресов L2TP-Pool 172.16.0.2-172.16.0.50 2)настроил l2tp-profile, указав local adress 172.16.0.1 \ Remote adress L2TP-Pool \ DNS server 8.8.8.8 https://i.paste.pics/f86e6a10aecf7703073df583360f6d55.png 3)подключаюсь с компа через vpn, получаю IP 172.16.0.2, инет работает 4)через компьютер который в сети пингую 172.16.0.2 - пинг проходит, но если пинговать с удаленного пк 192.168.0.129 - то пинг не проходит. Что еще надо настроить? чувствую что истина где-то рядом...но только где она хз)) может то что маска подсети присваивается 255.255.255.255 и из-за этого не проходит. На локальных Пк маска подсети 255.255.254.0 Какойто route add -p поди указать надо на удаленном пк? Edited January 25, 2019 by siszone Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 25, 2019 · Report post 48 minutes ago, siszone said: но если пинговать с удаленного пк 192.168.0.129 - то пинг не проходит. Файрвол на этом 0.129 смотрели ? Виндовс по дефолту блокирует не свои подсети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siszone Posted January 25, 2019 · Report post 38 минут назад, McSea сказал: Файрвол на этом 0.129 смотрели ? Виндовс по дефолту блокирует не свои подсети. c подсети 192.168.1.1 нормально заходит на 0.129, это с локального ПК так же тестил на файловом сервере 0.50 и др. Пинга нету нигде(( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siszone Posted January 28, 2019 · Report post Ребята, помогите мне пожалуйста. Очень надо:) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted January 28, 2019 · Report post @siszone У тебя есть глобальное правило ната(скорее всего маскарад). Наверное стоит туда добавить исключение. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siszone Posted January 28, 2019 · Report post 22 минуты назад, pingz сказал: @siszone У тебя есть глобальное правило ната(скорее всего маскарад). Наверное стоит туда добавить исключение. Вот что у меня в правилах Ната стоит https://i.paste.pics/cae2d884a4399a0482f63f306d5f5305.png Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 28, 2019 (edited) · Report post 5 hours ago, siszone said: Вот что у меня в правилах Ната стоит Ну не видно же большей части полей, Out Interface List прописан в правиле маскарада ? Полный конфиг бы дали командой "/export hide-sensitive". Сначала добейтесь работы с галочкой "Использовать основной шлюз ...", потом с маршрутами на клиенте разберетесь. Выше про файрвол писал - отключали для проверки ? On 1/25/2019 at 6:49 PM, siszone said: c подсети 192.168.1.1 нормально заходит на 0.129 У вас маска /23 и это адреса из одной подсети ! Edited January 28, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siszone Posted January 28, 2019 · Report post 22 минуты назад, McSea сказал: Ну не видно же большей части полей, Out Interface List прописан в правиле маскарада ? Полный конфиг бы дали командой "/export hide-sensitive". Сначала добейтесь работы с галочкой "Использовать основной шлюз ...", потом с маршрутами на клиенте разберетесь. Выше про файрвол писал - отключали для проверки ? У вас маска /23 и это адреса из одной подсети ! Вот Out Interface List в правиле маскарада Вот конфиги [admin@media] > /export hide-sensitive # jan/28/2019 19:18:54 by RouterOS 6.42.5 # software id = BJUB-UXGC # # model = 951Ui-2HnD # serial number = 64310685377E /interface l2tp-server add name=l2tp-in-macbook user=macbook add name=l2tp-in-server user=server /interface bridge add admin-mac=6C:3B:6B:5E:4A:5B arp=proxy-arp auto-mac=no fast-forward=no name=\ BRIDGE1 protocol-mode=none /interface ethernet set [ find default-name=ether1 ] name=ETH1 set [ find default-name=ether2 ] name=ETH2 set [ find default-name=ether3 ] name=ETH3-MASTER set [ find default-name=ether4 ] name=ETH4-SLAVE set [ find default-name=ether5 ] name=ETH5-SLAVE /interface pppoe-client add add-default-route=yes comment="D: 2 U: 2" default-route-distance=4 \ interface=ETH1 keepalive-timeout=60 name=ISP1.ERT user=v1570701 add add-default-route=yes comment="D: 40 U: 40" default-route-distance=2 \ disabled=no interface=ETH2 keepalive-timeout=60 name=ISP2.MTS user=\ 79127458618_serv3 add add-default-route=yes default-route-distance=3 disabled=no interface=ETH2 \ keepalive-timeout=60 name="MTS UL" user=30408201137 /interface pptp-server add name=pptp-in1 user="" /interface list add name=ISPS add exclude=dynamic name=discover add name=mactel add name=mac-winbox add name=WAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\ dynamic-keys supplicant-identity=MikroTik add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \ mode=dynamic-keys name=media supplicant-identity="" /interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \ band=2ghz-b/g/n country=russia default-forwarding=no disabled=no distance=\ indoors hw-protection-mode=rts-cts mode=ap-bridge name=wlan1_media \ radio-name=media security-profile=media ssid=Mikrotik \ tx-power-mode=all-rates-fixed wps-mode=disabled /interface wireless nstreme set wlan1_media enable-polling=no /ip ipsec policy group add name=group1 /ip ipsec proposal set [ find default=yes ] disabled=yes enc-algorithms=\ aes-256-cbc,aes-128-cbc,3des add disabled=yes enc-algorithms=aes-256-cbc,aes-128-cbc,3des name=proposal1 add enc-algorithms=aes-256-cbc,3des name=L2TP-Proposal pfs-group=none /ip pool add name=vpn-pool ranges=172.16.30.102-172.16.30.110 add name=OVPN_srv_pool ranges=192.168.100.2-192.168.100.254 add name=L2TP-Pool ranges=172.16.0.2-172.16.0.50 add name=POOL2 ranges=192.168.1.101-192.168.1.254 add name=POOL1 next-pool=POOL2 ranges=\ 192.168.0.131-192.168.0.156,192.168.0.158-192.168.0.254 /ip dhcp-server add address-pool=POOL1 disabled=no interface=BRIDGE1 lease-time=1d name=DHCP1 /ppp profile add local-address=192.168.100.1 name=OVPN_server remote-address=OVPN_srv_pool add change-tcp-mss=yes dns-server=8.8.8.8 local-address=172.16.0.1 name=\ l2tp-profile remote-address=L2TP-Pool use-encryption=yes add bridge=BRIDGE1 local-address=192.168.0.1 name=vpn-connect-l2tp \ remote-address=POOL1 /queue simple add disabled=yes max-limit=256k/256k name=Local target=192.168.0.204/32 add disabled=yes max-limit=256k/256k name="Local(batov)" target=\ 192.168.0.141/32 add disabled=yes max-limit=256k/256k name="Local(batov2)" target=\ 192.168.0.143/32 add max-limit=256k/256k name="Local(uf-printer-shahtirov)" target=\ 192.168.0.195/32 add max-limit=256k/256k name="Local(uf-printer-chernov)" target=\ 192.168.0.147/32 add max-limit=256k/256k name="Local(gibochnii)" target=192.168.0.184/32 add max-limit=256k/256k name="Local(gibochnii2)" target=192.168.0.176/32 add max-limit=256k/256k name="Local((tronin)" target=192.168.0.165/32 add max-limit=256k/256k name="Local(new-stanok)" packet-marks="" target=\ 192.168.0.203/32 /queue tree add disabled=yes max-limit=512k name=Local-upload packet-mark=Local-upload \ parent=global add disabled=yes max-limit=512k name=Local-download packet-mark=Local-download \ parent=global add disabled=yes name=IN parent=global queue=default add disabled=yes name=OUT parent=global queue=default add disabled=yes max-limit=2M name=FROM_SIP packet-mark=FROM_SIP parent=IN \ priority=4 add disabled=yes max-limit=2M name=TO_SIP packet-mark=TO_SIP parent=OUT \ priority=4 add disabled=yes max-limit=7M name=FROM_ALL packet-mark=FROM_ALL parent=IN \ queue=default add disabled=yes max-limit=7M name=TO_ALL packet-mark=TO_ALL parent=OUT queue=\ default add disabled=yes max-limit=45M name=FROM_ALL_MTS packet-mark=FROM_ALL_MTS \ parent=IN add disabled=yes max-limit=18M name=TO_ALL_MTS packet-mark=TO_ALL_MTS parent=\ OUT /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /system logging action set 0 memory-lines=10000 /interface bridge port add bridge=BRIDGE1 interface=ETH3-MASTER add bridge=BRIDGE1 interface=wlan1_media add bridge=BRIDGE1 interface=ETH4-SLAVE add bridge=BRIDGE1 interface=ETH5-SLAVE /ip neighbor discovery-settings set discover-interface-list=discover /interface l2tp-server server set authentication=mschap2 default-profile=l2tp-profile enabled=yes use-ipsec=\ yes /interface list member add interface=ISP2.MTS list=ISPS add interface=ETH2 list=discover add interface=ETH3-MASTER list=discover add interface=ETH4-SLAVE list=discover add interface=ETH5-SLAVE list=discover add interface=wlan1_media list=discover add interface=BRIDGE1 list=discover add interface=ISP1.ERT list=ISPS add interface=ISP2.MTS list=discover add interface=BRIDGE1 list=mactel add interface=BRIDGE1 list=mac-winbox add interface="MTS UL" list=ISPS add interface=ISP2.MTS list=WAN add interface="MTS UL" list=WAN add interface=ETH1 list=WAN add interface=ETH1 list=discover add interface=ETH1 list=ISPS /interface ovpn-server server set auth=sha1 certificate=srv-OVPN cipher=blowfish128 default-profile=\ OVPN_server enabled=yes require-client-certificate=yes /interface pptp-server server set enabled=yes /interface wireless access-list add vlan-mode=no-tag /ip address add address=192.168.0.1/23 interface=BRIDGE1 network=192.168.0.0 add address=192.168.1.1/24 disabled=yes interface=BRIDGE1 network=192.168.1.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ETH1 /ip dhcp-server alert add disabled=no interface=BRIDGE1 /ip dhcp-server lease add address=192.168.0.148 always-broadcast=yes client-id=1:b8:97:5a:7e:6e:d \ mac-address=B8:97:5A:7E:6E:0D server=DHCP1 add address=192.168.0.151 client-id=1:90:2b:34:e3:f1:e8 mac-address=\ 90:2B:34:E3:F1:E8 server=DHCP1 add address=192.168.0.250 always-broadcast=yes client-id=1:0:b:82:af:41:60 \ mac-address=00:0B:82:AF:41:60 server=DHCP1 add address=192.168.0.238 always-broadcast=yes client-id=1:f4:6d:4:94:d1:88 \ mac-address=F4:6D:04:94:D1:88 server=DHCP1 add address=192.168.0.162 always-broadcast=yes client-id=1:0:71:c2:24:f2:17 \ mac-address=00:71:C2:24:F2:17 server=DHCP1 add address=192.168.0.246 client-id=1:0:a8:59:cf:13:54 mac-address=\ 00:A8:59:CF:13:54 server=DHCP1 add address=192.168.0.144 always-broadcast=yes client-id=1:f4:6d:4:71:e1:55 \ mac-address=F4:6D:04:71:E1:55 server=DHCP1 add address=192.168.0.174 client-id=1:c4:e9:84:3:a3:24 mac-address=\ C4:E9:84:03:A3:24 server=DHCP1 add address=192.168.0.181 client-id=1:0:f:ea:37:18:60 mac-address=\ 00:0F:EA:37:18:60 server=DHCP1 add address=192.168.0.161 always-broadcast=yes client-id=1:0:19:66:94:2a:6 \ mac-address=00:19:66:94:2A:06 server=DHCP1 add address=192.168.0.146 always-broadcast=yes client-id=1:34:97:f6:88:ee:ff \ mac-address=34:97:F6:88:EE:FF server=DHCP1 add address=192.168.0.163 always-broadcast=yes client-id=1:10:bf:48:78:54:a1 \ mac-address=10:BF:48:78:54:A1 server=DHCP1 add address=192.168.0.164 always-broadcast=yes client-id=1:0:25:22:93:cf:f6 \ mac-address=00:25:22:93:CF:F6 server=DHCP1 add address=192.168.0.171 always-broadcast=yes client-id=1:e8:39:35:57:d:db \ mac-address=E8:39:35:57:0D:DB server=DHCP1 add address=192.168.0.173 always-broadcast=yes client-id=1:d4:3d:7e:7f:7c:f1 \ mac-address=D4:3D:7E:7F:7C:F1 server=DHCP1 add address=192.168.0.176 client-id=1:bc:ae:c5:b5:b5:b4 mac-address=\ BC:AE:C5:B5:B5:B4 server=DHCP1 add address=192.168.0.179 client-id=1:74:d4:35:40:c1:77 mac-address=\ 74:D4:35:40:C1:77 server=DHCP1 add address=192.168.0.182 always-broadcast=yes client-id=1:0:22:4d:7c:48:99 \ mac-address=00:22:4D:7C:48:99 server=DHCP1 add address=192.168.0.183 always-broadcast=yes client-id=1:74:d0:2b:26:f1:60 \ mac-address=74:D0:2B:26:F1:60 server=DHCP1 add address=192.168.0.186 client-id=1:bc:5f:f4:67:b6:fb mac-address=\ BC:5F:F4:67:B6:FB server=DHCP1 add address=192.168.0.194 always-broadcast=yes client-id=1:0:1d:92:be:75:a6 \ mac-address=00:1D:92:BE:75:A6 server=DHCP1 add address=192.168.0.196 client-id=1:0:15:58:59:46:35 mac-address=\ 00:15:58:59:46:35 server=DHCP1 add address=192.168.0.198 always-broadcast=yes client-id=1:f0:92:1c:e8:1b:16 \ mac-address=F0:92:1C:E8:1B:16 server=DHCP1 add address=192.168.0.199 client-id=1:0:19:66:62:ac:13 mac-address=\ 00:19:66:62:AC:13 server=DHCP1 add address=192.168.0.160 client-id=1:48:5b:39:c4:23:4a mac-address=\ 48:5B:39:C4:23:4A server=DHCP1 add address=192.168.0.141 client-id=1:0:1e:58:9f:70:18 mac-address=\ 00:1E:58:9F:70:18 server=DHCP1 add address=192.168.0.143 client-id=1:94:de:80:e3:a:ad mac-address=\ 94:DE:80:E3:0A:AD server=DHCP1 add address=192.168.0.150 always-broadcast=yes client-id=1:0:1a:4d:fc:66:16 \ mac-address=00:1A:4D:FC:66:16 server=DHCP1 add address=192.168.0.172 always-broadcast=yes client-id=1:50:e5:49:90:6a:68 \ mac-address=50:E5:49:90:6A:68 server=DHCP1 add address=192.168.0.170 always-broadcast=yes client-id=1:90:2b:34:61:fc:72 \ mac-address=90:2B:34:61:FC:72 server=DHCP1 add address=192.168.0.185 always-broadcast=yes client-id=1:0:f:fe:d1:44:df \ mac-address=00:0F:FE:D1:44:DF server=DHCP1 add address=192.168.0.193 always-broadcast=yes client-id=1:d4:3d:7e:fc:85:2e \ mac-address=D4:3D:7E:FC:85:2E server=DHCP1 add address=192.168.0.184 client-id=1:0:e0:66:da:b4:c6 mac-address=\ 00:E0:66:DA:B4:C6 server=DHCP1 add address=192.168.0.205 client-id=1:64:70:2:2:4c:d mac-address=\ 64:70:02:02:4C:0D server=DHCP1 add address=192.168.0.207 client-id=1:1c:6f:65:93:d5:47 mac-address=\ 1C:6F:65:93:D5:47 server=DHCP1 add address=192.168.0.202 always-broadcast=yes mac-address=00:80:48:25:0B:A7 \ server=DHCP1 add address=192.168.0.153 always-broadcast=yes client-id=1:14:da:e9:ef:83:e5 \ mac-address=14:DA:E9:EF:83:E5 server=DHCP1 add address=192.168.0.167 always-broadcast=yes client-id=1:bc:5f:f4:59:76:61 \ mac-address=BC:5F:F4:59:76:61 server=DHCP1 add address=192.168.0.206 client-id=1:70:54:d2:52:c4:d8 mac-address=\ 70:54:D2:52:C4:D8 server=DHCP1 add address=192.168.0.156 always-broadcast=yes client-id=1:b8:97:5a:d1:d9:20 \ mac-address=B8:97:5A:D1:D9:20 server=DHCP1 add address=192.168.0.195 client-id=1:90:2b:34:43:e0:4c mac-address=\ 90:2B:34:43:E0:4C server=DHCP1 add address=192.168.0.168 client-id=1:b8:97:5a:90:66:90 mac-address=\ B8:97:5A:90:66:90 server=DHCP1 add address=192.168.0.177 always-broadcast=yes client-id=1:bc:5f:f4:ed:be:cb \ mac-address=BC:5F:F4:ED:BE:CB server=DHCP1 add address=192.168.0.197 always-broadcast=yes client-id=1:14:da:e9:93:f1:18 \ mac-address=14:DA:E9:93:F1:18 server=DHCP1 add address=192.168.0.147 always-broadcast=yes client-id=1:2c:56:dc:3f:b7:c6 \ mac-address=2C:56:DC:3F:B7:C6 server=DHCP1 add address=192.168.0.212 client-id=1:0:1f:d0:5e:62:89 mac-address=\ 00:1F:D0:5E:62:89 server=DHCP1 add address=192.168.0.211 always-broadcast=yes client-id=1:10:78:d2:38:3c:15 \ mac-address=10:78:D2:38:3C:15 server=DHCP1 add address=192.168.0.216 always-broadcast=yes client-id=1:10:1f:74:b9:f:58 \ mac-address=10:1F:74:B9:0F:58 server=DHCP1 add address=192.168.0.223 always-broadcast=yes client-id=1:90:2b:34:60:76:d0 \ mac-address=90:2B:34:60:76:D0 server=DHCP1 add address=192.168.0.249 always-broadcast=yes client-id=1:0:a8:59:cf:13:56 \ mac-address=00:A8:59:CF:13:56 server=DHCP1 add address=192.168.0.209 always-broadcast=yes client-id=1:80:ee:73:3c:bc:99 \ mac-address=80:EE:73:3C:BC:99 server=DHCP1 add address=192.168.0.210 always-broadcast=yes client-id=1:0:e0:4c:e5:94:7 \ mac-address=00:E0:4C:E5:94:07 server=DHCP1 add address=192.168.0.217 always-broadcast=yes client-id=1:8:78:8:ee:53:6e \ mac-address=08:78:08:EE:53:6E server=DHCP1 add address=192.168.0.218 client-id=1:1c:36:bb:12:fb:60 mac-address=\ 1C:36:BB:12:FB:60 server=DHCP1 add address=192.168.0.235 always-broadcast=yes client-id=1:90:2b:34:2:f7:6f \ mac-address=90:2B:34:02:F7:6F server=DHCP1 add address=192.168.0.244 client-id=1:70:54:d2:52:98:a4 mac-address=\ 70:54:D2:52:98:A4 server=DHCP1 add address=192.168.0.248 always-broadcast=yes client-id=1:e8:8d:28:c0:c0:a2 \ mac-address=E8:8D:28:C0:C0:A2 server=DHCP1 add address=192.168.0.247 client-id=1:10:78:d2:d5:ce:92 mac-address=\ 10:78:D2:D5:CE:92 server=DHCP1 add address=192.168.0.243 always-broadcast=yes client-id=1:0:24:1d:de:75:9f \ mac-address=00:24:1D:DE:75:9F server=DHCP1 add address=192.168.0.245 always-broadcast=yes client-id=1:74:d0:2b:7c:7a:f1 \ mac-address=74:D0:2B:7C:7A:F1 server=DHCP1 add address=192.168.0.253 always-broadcast=yes client-id=1:94:7b:e7:16:23:9 \ mac-address=94:7B:E7:16:23:09 server=DHCP1 add address=192.168.0.139 always-broadcast=yes client-id=1:1c:6f:65:45:58:d3 \ mac-address=1C:6F:65:45:58:D3 server=DHCP1 add address=192.168.0.136 client-id=1:0:40:d0:c2:a:74 mac-address=\ 00:40:D0:C2:0A:74 server=DHCP1 add address=192.168.0.133 client-id=1:f8:da:c:50:20:5d mac-address=\ F8:DA:0C:50:20:5D server=DHCP1 add address=192.168.0.132 client-id=1:90:b1:1c:66:b7:ef mac-address=\ 90:B1:1C:66:B7:EF server=DHCP1 add address=192.168.0.208 mac-address=3C:D9:2B:49:D6:37 server=DHCP1 /ip dhcp-server network add address=192.168.0.0/23 dns-server=192.168.0.1 gateway=192.168.0.1 netmask=\ 23 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4,77.88.8.8,77.88.8.1 /ip dns static add address=192.168.0.1 name=router /ip firewall address-list add address=78.85.4.* list=White add address=85.140.7.* list=White add address=91.185.67.* list=White add address=92.39.216.* list=White add address=91.223.44.* comment="\CD\CF" list=White add address=78.85.40.* list=White add address=78.85.34.* list=White add address=78.85.32.* list=White add address=78.850.32.* list=White add address=78.85.41.* list=White add address=92.61.31.* list=White add address=91.146.20.* list=White add address=92.39.216.* list=White add address=46.188.125.* disabled=yes list=White add address=31.173.85.* list=White add address=77.245.124.* list=White add address=46.188.59.* list=White add address=192.168.0.50 list=Local_MTS add address=192.168.0.182 comment="Surin P" list=Local add address=192.168.0.198 list=Local_MTS_UL add address=192.168.0.174 list=Local_MTS_UL add address=192.168.0.151 list=Local_MTS add address=192.168.0.148 list=Local add address=192.168.0.156 list=Local_MTS add address=192.168.0.154 list=Local_MTS_UL add address=192.168.0.171 list=Local_MTS_UL add address=192.168.0.170 list=Local_MTS_UL add address=192.168.0.163 list=Local_MTS_UL add address=192.168.0.172 list=Local_MTS_UL add address=192.168.0.150 list=Local_MTS_UL add address=192.168.0.161 list=Local_MTS_UL add address=192.168.0.212 list=Local_MTS_UL add address=192.168.0.207 list=Local_MTS_UL add address=192.168.0.173 list=Local_MTS add address=192.168.0.168 list=Local_MTS add address=192.168.0.238 list=Local_MTS add address=192.168.0.146 list=Local_MTS add address=192.168.0.167 list=Local_MTS add address=192.168.0.153 list=Local_MTS add address=192.168.0.179 list=Local_MTS add address=192.168.0.183 list=Local_MTS add address=192.168.0.185 list=Local_MTS add address=192.168.0.144 list=Local_MTS add address=192.168.0.194 list=Local_MTS add address=192.168.0.206 list=Local_MTS add address=192.168.0.197 list=Local_MTS add address=192.168.0.193 list=Local_MTS add address=192.168.0.177 list=Local_MTS add address=192.168.0.186 list=Local_MTS add address=192.168.0.213 list=Local_MTS add address=192.168.0.211 list=Local_MTS add address=192.168.0.216 list=Local_MTS_UL add address=192.168.0.223 list=Local_MTS add address=192.168.0.129 comment=SERVER list=Local add address=192.168.0.202 list=Local_MTS_UL add address=192.168.0.203 list=Local_MTS_UL add address=192.168.0.143 list=Local add address=192.168.0.141 list=Local add address=192.168.0.139 comment=SISADMIN list=Local add address=192.168.0.195 list=Local add address=192.168.0.147 list=Local add address=192.168.0.184 list=Local add address=192.168.0.176 list=Local add address=192.168.0.100 list=Local_MTS add address=192.168.0.200 list=Local_MTS add address=192.168.0.160 list=Local add address=192.168.0.175 list=Local_MTS add address=192.168.0.254 list=Local_MTS add address=192.168.0.152 list=Local_MTS add address=192.168.0.250 list=Local_MTS add address=192.168.0.145 list=Local_MTS add address=192.168.0.188 list=Local_MTS add address=192.168.0.246 list=Local_MTS add address=192.168.0.169 list=Local_MTS_UL add address=192.168.0.249 list=Local_MTS add address=192.168.0.166 list=Local_MTS add address=192.168.0.90 comment=ATC-server list=Local add address=92.61.31.* list=White add address=192.168.0.210 list=Local_MTS add address=192.168.0.2 comment=IP-camera list=Local_MTS_UL add address=192.168.0.214 list=Local_MTS add address=192.168.0.215 list=Local_MTS add address=78.85.5.* list=White add address=192.168.0.208 list=Local add address=192.168.0.217 comment="Galaxy A8" list=Local_MTS add address=192.168.0.218 list=Local_MTS add address=192.168.0.221 list=Local_MTS add address=192.168.0.226 list=Local_MTS add address=192.168.0.162 list=Local add address=192.168.0.164 list=Local add address=213.87.132.* list=White add address=192.168.0.159 list=Local_MTS_UL add address=192.168.0.231 list=Local_MTS_UL add address=192.168.0.234 list=Local_MTS_UL add address=192.168.0.235 list=Local_MTS_UL add address=192.168.0.244 list=Local_MTS add address=192.168.0.243 list=Local_MTS add address=192.168.0.245 list=Local_MTS_UL add address=192.168.0.247 list=Local_MTS add address=192.168.0.248 comment=iPhone list=Local_MTS add address=192.168.0.253 comment="Galaxy A3" list=Local_MTS add address=192.168.0.138 comment="nout packartBell" list=Local_MTS add address=192.168.0.134 comment="pc roman" list=Local_MTS add address=192.168.0.133 comment="nout roman" list=Local_MTS add address=192.168.1.151 list=Local_MTS add address=192.168.0.132 list=Local_MTS add address=77.245.112.* list=White add address=192.168.0.137 list=Local_MTS add address=78.85.25.* list=White add address=192.168.0.99 list=Local_MTS /ip firewall filter add action=accept chain=input comment="ACCEPT VPN" dst-port=1701,500,4500 \ protocol=udp add action=accept chain=input protocol=ipsec-esp add action=accept chain=input comment=OPENVPN dst-port=1194 in-interface=ETH2 \ protocol=tcp add action=accept chain=input comment="ACCEPT EVOLVEX" dst-port=8291 protocol=\ tcp src-address=91.223.44.*/28 add action=accept chain=input comment="ACCEPT EVOLVEX" disabled=yes \ src-address=91.223.44.*/28 add action=accept chain=input comment="ACCEPT ICMP" protocol=icmp add action=accept chain=input comment="ACCEPT ESTABLISHED RELATED" \ connection-state=established,related add action=drop chain=input comment="DROP ALL" in-interface=ISP2.MTS add action=drop chain=input comment="DROP ALL" in-interface="MTS UL" # ISP1.ERT not ready add action=drop chain=input comment="DROP ALL" in-interface=ISP1.ERT add action=accept chain=forward protocol=icmp add action=accept chain=forward disabled=yes dst-port=80,443,3389,1593 \ protocol=tcp src-address=172.16.0.0/24 add action=accept chain=forward disabled=yes dst-address=172.16.0.0/24 add action=drop chain=forward comment="DROP TORRENT KEYWORD" content=torrent \ src-address=192.168.0.0/23 add action=drop chain=forward comment="DROP TORRENT TRACKERS" content=tracker \ src-address=192.168.0.0/23 add action=drop chain=forward comment="DROP TORRENT GET PEERS" content=getpeers \ src-address=192.168.0.0/23 add action=drop chain=forward comment="DROP TORRENT INFO HASH" content=\ info_hash src-address=192.168.0.0/23 add action=drop chain=forward comment="DROP TORRENT ANNOUNCE PEERS" content=\ announce_peers src-address=192.168.0.0/23 add action=accept chain=forward comment="ACCEPT VOIP" dst-address=91.223.44.67 add action=accept chain=forward comment="ACCEPT WHITE FROM WAN TO LAN" \ in-interface-list=ISPS src-address-list=White add action=accept chain=forward comment="ACCEPT LOCAL" src-address-list=Local add action=accept chain=forward comment="ACCEPT LOCAL MTS" src-address-list=\ Local_MTS add action=accept chain=forward comment="ACCEPT LOCAL_MTS_UL" src-address-list=\ Local_MTS_UL add action=accept chain=forward comment="ACCEPT ESTABLISHED RELATED" \ connection-state=established,related add action=drop chain=forward comment="DROP ALL" connection-state="" add action=drop chain=forward comment="DROP INVALID" connection-state=invalid # ISP1.ERT not ready add action=drop chain=forward comment="DROP ALL NOT DSTNAT" \ connection-nat-state=!dstnat connection-state=new in-interface=ISP1.ERT add action=drop chain=forward comment="DROP ALL NOT DSTNAT" \ connection-nat-state=!dstnat connection-state=new in-interface=ISP2.MTS add action=accept chain=forward comment="ACCEPT LOCAL_RT" src-address-list=\ Local_RT add action=drop chain=input comment="DROP ALL ROSTEL" in-interface=ETH1 add action=drop chain=forward comment="DROP ALL NOT DSTNAT RT" \ connection-limit=100,32 connection-nat-state=!dstnat connection-state=new \ dst-limit=1,5,dst-address/1m40s in-interface=ETH1 limit=1,5:packet /ip firewall mangle add action=mark-routing chain=prerouting dst-address=91.223.44.67 \ new-routing-mark=RM-MTS-UL-OUT passthrough=no add action=mark-routing chain=prerouting in-interface=BRIDGE1 new-routing-mark=\ RM-MTS-OUT passthrough=yes src-address-list=Local_MTS add action=mark-routing chain=prerouting in-interface=BRIDGE1 new-routing-mark=\ RM-MTS-UL-OUT passthrough=yes src-address-list=Local_MTS_UL # ISP1.ERT not ready add action=mark-connection chain=input in-interface=ISP1.ERT \ new-connection-mark=CM-LT-IN passthrough=no add action=mark-routing chain=output connection-mark=CM-LT-IN new-routing-mark=\ RT-LT-OUT passthrough=no # ISP1.ERT not ready add action=mark-connection chain=forward connection-state=new in-interface=\ ISP1.ERT new-connection-mark=CM-LT-FRW passthrough=no add action=mark-routing chain=prerouting connection-mark=CM-LT-FRW \ in-interface=BRIDGE1 new-routing-mark=RT-LT-OUT passthrough=no add action=mark-connection chain=input in-interface=ISP2.MTS \ new-connection-mark=CM-MTS-IN passthrough=no add action=mark-routing chain=output connection-mark=CM-MTS-IN \ new-routing-mark=RT-MTS-OUT passthrough=no add action=mark-connection chain=forward connection-state=new in-interface=\ ISP2.MTS new-connection-mark=CM-MTS-FRW passthrough=no add action=mark-routing chain=prerouting connection-mark=CM-MTS-FRW \ in-interface=BRIDGE1 new-routing-mark=RT-MTS-OUT passthrough=no add action=mark-connection chain=input in-interface="MTS UL" \ new-connection-mark=CM-MTS-UL-IN passthrough=no add action=mark-routing chain=output connection-mark=CM-MTS-UL-IN \ new-routing-mark=RM-MTS-UL-OUT passthrough=no add action=mark-connection chain=forward connection-state=new in-interface=\ "MTS UL" new-connection-mark=CM-MTS-UL-FRW passthrough=no add action=mark-routing chain=prerouting connection-mark=CM-MTS-UL-FRW \ in-interface=BRIDGE1 new-routing-mark=RM-MTS-UL-OUT passthrough=no add action=mark-packet chain=prerouting disabled=yes new-packet-mark=FROM_SIP \ passthrough=no src-address=91.223.44.* add action=mark-packet chain=prerouting disabled=yes dst-address=91.223.44.* \ new-packet-mark=TO_SIP passthrough=no add action=mark-packet chain=prerouting disabled=yes in-interface=ISP1.ERT \ new-packet-mark=FROM_ALL passthrough=yes add action=mark-packet chain=forward disabled=yes new-packet-mark=TO_ALL \ out-interface=ISP1.ERT passthrough=yes add action=mark-packet chain=prerouting disabled=yes in-interface=ISP2.MTS \ new-packet-mark=FROM_ALL_MTS passthrough=yes add action=mark-packet chain=forward disabled=yes new-packet-mark=TO_ALL_MTS \ out-interface=ISP2.MTS passthrough=yes add action=mark-packet chain=forward comment=Local-upload dst-address-list=\ Local new-packet-mark=Local-upload out-interface=BRIDGE1 passthrough=yes add action=mark-packet chain=forward comment=Local-download in-interface=\ BRIDGE1 new-packet-mark=Local-download passthrough=yes src-address-list=\ Local add action=mark-routing chain=prerouting comment=ROSTEL in-interface=BRIDGE1 \ new-routing-mark=RM-ROSTEL-OUT passthrough=yes src-address-list=Local add action=mark-routing chain=output comment=ROSTEL connection-mark=\ CM-ROSTEL-IN new-routing-mark=RM-ROSTEL-OUT passthrough=no add action=mark-connection chain=input comment=ROSTEL in-interface=ETH1 \ new-connection-mark=CM-ROSTEL-IN passthrough=no add action=mark-connection chain=forward comment=ROSTEL connection-state=new \ in-interface=ETH1 new-connection-mark=CM-ROSTEL-FRW passthrough=no /ip firewall nat add action=dst-nat chain=dstnat dst-port=1593 in-interface-list=ISPS log=yes \ protocol=udp src-address-list=White to-addresses=192.168.0.129 to-ports=\ 1593 add action=masquerade chain=srcnat out-interface-list=ISPS add action=dst-nat chain=dstnat dst-port=1593 in-interface-list=ISPS protocol=\ tcp src-address=91.223.44.66 to-addresses=192.168.0.129 to-ports=1593 add action=dst-nat chain=dstnat dst-port=80 in-interface-list=ISPS protocol=tcp \ src-address=91.223.44.66 to-addresses=192.168.0.100 to-ports=80 add action=dst-nat chain=dstnat dst-port=1593 in-interface-list=ISPS protocol=\ tcp src-address-list=White to-addresses=192.168.0.129 to-ports=1593 add action=netmap chain=dstnat comment=RDP4000 dst-port=4000 protocol=tcp \ to-addresses=192.168.0.86 to-ports=4000 add action=dst-nat chain=dstnat comment=WEB dst-port=4001 in-interface-list=\ ISPS protocol=tcp to-addresses=192.168.0.2 to-ports=80 add action=netmap chain=dstnat comment=RDP3999 disabled=yes dst-port=3999 \ in-interface=ISP2.MTS protocol=tcp to-addresses=192.168.0.145 to-ports=0 add action=netmap chain=dstnat disabled=yes dst-port=3999 in-interface=ISP2.MTS \ protocol=udp to-addresses=192.168.0.145 to-ports=0 /ip firewall service-port set sip disabled=yes /ip ipsec peer add address=0.0.0.0/0 dh-group=modp1024 disabled=yes enc-algorithm=\ aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-strict add address=0.0.0.0/0 dh-group=modp1024 enc-algorithm=aes-256,3des \ exchange-mode=main-l2tp generate-policy=port-override \ policy-template-group=group1 /ip ipsec policy set 0 disabled=yes add group=group1 proposal=L2TP-Proposal template=yes /ip route add distance=1 gateway="MTS UL" routing-mark=RM-MTS-UL-OUT add distance=1 gateway=ISP2.MTS routing-mark=RM-MTS-OUT add distance=1 gateway=ISP1.ERT routing-mark=RT-LT-OUT add distance=1 gateway=ISP2.MTS routing-mark=RT-MTS-OUT add distance=1 gateway=78.85.25.* routing-mark=RM-ROSTEL-OUT add distance=1 gateway=ISP1.ERT routing-mark=RM-ERT-OUT add distance=1 gateway="MTS UL,ISP2.MTS" /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ppp secret add disabled=yes name=server profile=l2tp-profile service=l2tp add disabled=yes name=serverovpn profile=OVPN_server service=ovpn add name=macbook profile=l2tp-profile service=l2tp add name=test profile=l2tp-profile service=l2tp add name=piter profile=vpn-connect-l2tp service=l2tp add local-address=192.168.0.1 name=ppp1 profile=default-encryption \ remote-address=192.168.0.99 service=pptp /snmp set enabled=yes /system clock set time-zone-name=Europe/Samara /system identity set name=media /system logging add disabled=yes topics=pppoe add disabled=yes topics=ipsec /system ntp client set enabled=yes primary-ntp=94.247.111.* secondary-ntp=95.104.192.10 /system routerboard settings set silent-boot=no /system scheduler add disabled=yes interval=1d name=system_reboot on-event="/system reboot" \ policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-date=oct/25/2017 start-time=05:00:00 add disabled=yes interval=5m name=resetSipConnections on-event=\ resetSipConnections policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-date=oct/25/2017 start-time=09:00:00 /system script add name=resetSipConnections owner=admin policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source= reach i in=[/ip firewall connection find assured=no && dst-address~\":50 ] do={/ip firewall connection remove \$i}" add name=btest owner=admin policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source= ol bandwidth-test address=91.223.44.66 user=btest password=enumfl protoc cp direction=both random-data=yes tcp-connection-count=10\r\ \n" /tool graphing interface add interface=ETH1 /tool mac-server set allowed-interface-list=mactel /tool mac-server mac-winbox set allowed-interface-list=mac-winbox /tool sniffer set filter-interface=l2tp-in-server Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted January 28, 2019 · Report post @siszone сейчас пишу с телефона на пальцах. У тебя стоит регулировщик на перекрестке и всех шлёт на право ему глубоко все равно трафик с локалки или с ВПН все шлёт на право. Тебе либо делать исключения, чтобы трафик с ВПН не попадал под правило ната(есть входящий и исходящий если с точки а плюнуть пакет в точку б, то для ответа нужно, чтобы точка б мога плавать в точку а) и прописывать маршруты. Либо добавить в нат исключения и прописать срц нат. З.ы. для начало нарисуй схему, будет проще тебе и советчикам тебе помочь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 28, 2019 (edited) · Report post @pingz У него там Out Interface List прописан в правиле маскарада, а также нет interface листа в профиле L2TP, так что трафик VPN клиента не должен попадать под маскарад. @siszone Так вы для проверки файрвол на 0.129 пробовали отключать или нет ? Edited January 28, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
siszone Posted January 28, 2019 · Report post 1 минуту назад, McSea сказал: @siszone Так вы для проверки файрвол на 0.129 пробовали отключать или нет ? Да выключил брандмауэр, антивирусы на обоих машинах. Так же пинговал другие IP - эффект один и тот же(( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted January 28, 2019 · Report post @McSea отсыпь З.ы. исключение со знаком "!" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 28, 2019 (edited) · Report post 20 minutes ago, pingz said: @McSea отсыпь З.ы. исключение со знаком "!" Причем тут исключение, в правиле маскарада указан Out Interface List ISPS в который входят четыре интерфейса (интернет видимо). Т.е. для трафика на VPN клиента (для которого свой интерфейс создается при подключении) это правило не будет отрабатывать, как и для трафика в лок.сеть интерфейс BRIDGE1 Т.е. правило маскарада отрабатывает ТОЛЬКО НА ВЫХОДЕ для указанных интерфейсов из этого листа. Если бы этот интерфейс лист был указан в профиле, тогда бы было динамическое добавление интерфейса VPN клиента, но этого нет ! 25 minutes ago, siszone said: Да выключил брандмауэр, антивирусы на обоих машинах. Так же пинговал другие IP - эффект один и тот же(( Давайте посмотрим куда пинги идут, запустите на микротике команду /tool sniffer quick ip-protocol=icmp ip-address=192.168.0.129 Пропингайте с VPN клиента этот адрес и покажите выдачу команды. Edited January 28, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted January 29, 2019 · Report post @siszone Я делаю все через нат Правило основного ната(нет возможности сделать маскарад): chain=srcnat action=src-nat to-addresses=x.x.x.239 src-address-list=pool dst-address-list=!mgm log=no log-prefix="" Адрес листы: ip firewall address-lis add address=y.y.y.2-y.y.y.15 list=pool (pptp клиенты) ip firewall address-lis add address=z.z.z.0/24 list=mgm(устройства за микротиком) Профиль pptp: ppp profile name="default" local-address=pptp remote-address=pptp session-timeout=4h idle-timeout=10m use-mpls=default use-compression=default use-encryption=default only-one=default change-tcp-mss=yes use-upnp=default address-list="" dns-server=8.8.8.8, on-up="" on-down= Пул для pptp: ip pool add name=pptp ranges=y.y.y.2-y.y.y.15 Правило ната для устройств за микротиком, чтобы могли клиенты pptp ходить туда. add action=src-nat chain=srcnat dst-address=z.z.z.0/24 src-address-list=pool \ to-addresses=z.z.z.32 @McSea А через какое правило у него клиент с l2tp выходит в интернет через микротик? З.Ы. отсыпь, если не согласен конфиг в студию, как написать пример выше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 29, 2019 (edited) · Report post 10 hours ago, pingz said: А через какое правило у него клиент с l2tp выходит в интернет через микротик? Да причем тут выход в интернет, ТС нужно, чтобы клиент L2TP получил доступ в ЛОКАЛЬНУЮ сеть ЗА микротиком !! Это обычный РОУТИНГ, зачем там NAT вообще ?? Чтобы это работало, в дефолтном конфиге вообще ничего не надо делать, кроме настройки L2TP подключения. Когда L2TP клиент подключается, создается интерфейс + добавляется маршрут автоматом на него. И если в файрволе доступ не закрыт, а по дефолту от не закрыт, все работает отлично. Edited January 29, 2019 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted January 30, 2019 · Report post @McSea у ТС есть глобальное правило ната и его подключение l2tp попадает под это правило. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 30, 2019 · Report post Скорее всего конфиг сильно избыточен, из него можно удалить 80 процентов содержания без потери функционала. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted January 30, 2019 · Report post 6 hours ago, pingz said: у ТС есть глобальное правило ната и его подключение l2tp попадает под это правило. Трафик между L2TP клиентами и локальной сетью не попадает под это правило, выше писал почему - Out Interface List прописан там, попадает трафик исходящий в инет только. @siszone У вас много правил в mangle, которые перенаправляют трафик из локальной сети по разным провайдерам, и не сделано исключение для трафика на локальные подсети. Рекомендую сделать адрес лист для локальных подсетей (включая VPN pool), и прописать его исключением в dst-address-list в правила mark-routing Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Spartac Posted May 8, 2019 (edited) · Report post я не понял, а почему на бридже proxy-mode=none? ясно же сказали: "включить" кстати может кому пригодится: в случае модели БЕЗ WiFi-я бриджа дефолтом нет. и создавать - огород городить на мастер-порте включил proxy-arp Edited May 8, 2019 by Spartac Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...