Перейти к содержимому
Калькуляторы

Настроить удалённое управление

Здравствуйте друзья.

Нужна ваша помощь. Почти уже настроил, работает, но есть маленький затык.. Удалённо можно рулить микротами только если непосредственно подключен каберем к роутеру на котором поднят L2TP сервер..

Собственно что было сделано:

На роуторе со статическим белый IP был поднят сервер. На клиентах соответственно клиент. Прописаны статические маршруты до удалённых микротов которыми нужно управлять. В Firewall разрешающее правило для порта WinBox 8291.

И вобщем-то всё работает, но только от кабеля, но мне нужно перемещаться и иметь этот доступ через 3G модем.. Для этого я поднял L2TP тунель до ноутбука с 3G модемом.. И вот тут меня ожидала засада... Через тунель с 3G модемом я могу зайти только на роутер на котором поднят VPN сервер, а дальше не пускает... Подскажите что дальше делать друзья..?

Изменено пользователем timyr20

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конфиги- которые именно, из каких разделов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 Вот конфиги:   https://yadi.sk/d/XrmqArxvTA0I5g

Изменено пользователем timyr20

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На роутере где поднят сервер со статическим IP все VPN тунели я добавил в группу LAN. И на клиенте сделал тоже самое..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Честно говоря, у вас все так печально, что даже не знаю, с чего начать.

 

- Правило для порта 8291 должно быть в цепочке Input, а не в Forward.

- Подключения по MAC-Winbox требуют наличия proxy-ARP. Вам надо либо интерфейсы LAN и туннелей включить в bridge с proxy-arp, и уже мост включать в list, либо (правильно) делать списки доступа в файерволе (access list) разрешенных IP, с которых могут подключаться для управления, указать этот список как source в правиле для порта 8291 и потом в Winbox для подключения указывать IP устройств. В принципе, в таком варианте вам и туннели между устройствами не нужны - можно прямо на белые IP подключаться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Мне нужно чтобы трафик не передавался по vpn тунелям.. Чтобы каждый клиент интерет брал со своего PPPOE подключения, а не с vpn тунеля.. Чтобы по тунелю шло только управление... Если я включу proxy-arp обмен трафиком пойдёт по тунелю?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

32 минуты назад, jffulcrum сказал:

В принципе, в таком варианте вам и туннели между устройствами не нужны - можно прямо на белые IP подключаться.

Белый IP адрес у меня только один (там где l2tp сервер поднят).. остальные серые, -на клиентах..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда просто для 

В 23.07.2019 в 10:59, timyr20 сказал:

L2TP тунель до ноутбука с 3G модемом

должны назначаться не такие же адреса, как на туннелях клиентов к базе, а отличные, на клиентах же к этой сети прописаны маршруты через базу. Тогда, после подключения туннеля с ноутбука коннектитесь к другим роутерам по их серым IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, jffulcrum сказал:

либо (правильно) делать списки доступа в файерволе (access list) разрешенных IP, с которых могут подключаться для управления, указать этот список как source в правиле для порта 8291

Вы имеете ввиду сделать так как написано вот здесь: https://asp24.com.ua/blog/adress-lists-v-mikrotik-chem-menshe-tem-luchshe/     Верно я вас понял?

Изменено пользователем timyr20

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, jffulcrum сказал:

Да, только у вас цепочка Input

Ну это я понял..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

22 часа назад, jffulcrum сказал:

нтерфейсы LAN и туннелей включить в bridge с proxy-arp

Если я буду использовать bridge с proxy-arp у меня трафик будет бегать по vpn тунелю? (мне надо чтобы по тунелю ходило только управление)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Криво конечно описана проблема, но как я понял у вас нету доступа (не пингуются) микротики подключенные по L2TP к основному микротику с белым IP когда сами к нему подключены по L2TP, как мне кажется это из за того что вы забыли на этих удаленных микротиках прописать маршрут до IP адреса который вы получаете на своё L2TP соединение, попробуйте трассернуть этот адрес с того микротика на который нету доступа, вероятнее всего трасер будет уходить не в тунель на основной микротик а в маршрут по умолчанию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.