timyr20 Опубликовано 23 июля, 2019 (изменено) · Жалоба Здравствуйте друзья. Нужна ваша помощь. Почти уже настроил, работает, но есть маленький затык.. Удалённо можно рулить микротами только если непосредственно подключен каберем к роутеру на котором поднят L2TP сервер.. Собственно что было сделано: На роуторе со статическим белый IP был поднят сервер. На клиентах соответственно клиент. Прописаны статические маршруты до удалённых микротов которыми нужно управлять. В Firewall разрешающее правило для порта WinBox 8291. И вобщем-то всё работает, но только от кабеля, но мне нужно перемещаться и иметь этот доступ через 3G модем.. Для этого я поднял L2TP тунель до ноутбука с 3G модемом.. И вот тут меня ожидала засада... Через тунель с 3G модемом я могу зайти только на роутер на котором поднят VPN сервер, а дальше не пускает... Подскажите что дальше делать друзья..? Изменено 23 июля, 2019 пользователем timyr20 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 23 июля, 2019 · Жалоба Конфги показать. Белые IP -стереть начальные цифры Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
timyr20 Опубликовано 23 июля, 2019 · Жалоба Конфиги- которые именно, из каких разделов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 23 июля, 2019 · Жалоба Сервер и любого клиента. ip route, ip firewall Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
timyr20 Опубликовано 24 июля, 2019 (изменено) · Жалоба Вот конфиги: https://yadi.sk/d/XrmqArxvTA0I5g Изменено 24 июля, 2019 пользователем timyr20 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
timyr20 Опубликовано 24 июля, 2019 · Жалоба На роутере где поднят сервер со статическим IP все VPN тунели я добавил в группу LAN. И на клиенте сделал тоже самое.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 24 июля, 2019 · Жалоба Честно говоря, у вас все так печально, что даже не знаю, с чего начать. - Правило для порта 8291 должно быть в цепочке Input, а не в Forward. - Подключения по MAC-Winbox требуют наличия proxy-ARP. Вам надо либо интерфейсы LAN и туннелей включить в bridge с proxy-arp, и уже мост включать в list, либо (правильно) делать списки доступа в файерволе (access list) разрешенных IP, с которых могут подключаться для управления, указать этот список как source в правиле для порта 8291 и потом в Winbox для подключения указывать IP устройств. В принципе, в таком варианте вам и туннели между устройствами не нужны - можно прямо на белые IP подключаться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
timyr20 Опубликовано 24 июля, 2019 · Жалоба Мне нужно чтобы трафик не передавался по vpn тунелям.. Чтобы каждый клиент интерет брал со своего PPPOE подключения, а не с vpn тунеля.. Чтобы по тунелю шло только управление... Если я включу proxy-arp обмен трафиком пойдёт по тунелю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
timyr20 Опубликовано 24 июля, 2019 · Жалоба 32 минуты назад, jffulcrum сказал: В принципе, в таком варианте вам и туннели между устройствами не нужны - можно прямо на белые IP подключаться. Белый IP адрес у меня только один (там где l2tp сервер поднят).. остальные серые, -на клиентах.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 24 июля, 2019 · Жалоба Тогда просто для В 23.07.2019 в 10:59, timyr20 сказал: L2TP тунель до ноутбука с 3G модемом должны назначаться не такие же адреса, как на туннелях клиентов к базе, а отличные, на клиентах же к этой сети прописаны маршруты через базу. Тогда, после подключения туннеля с ноутбука коннектитесь к другим роутерам по их серым IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
timyr20 Опубликовано 24 июля, 2019 (изменено) · Жалоба 12 часов назад, jffulcrum сказал: либо (правильно) делать списки доступа в файерволе (access list) разрешенных IP, с которых могут подключаться для управления, указать этот список как source в правиле для порта 8291 Вы имеете ввиду сделать так как написано вот здесь: https://asp24.com.ua/blog/adress-lists-v-mikrotik-chem-menshe-tem-luchshe/ Верно я вас понял? Изменено 24 июля, 2019 пользователем timyr20 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 25 июля, 2019 · Жалоба Да, только у вас цепочка Input Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
timyr20 Опубликовано 25 июля, 2019 · Жалоба 2 часа назад, jffulcrum сказал: Да, только у вас цепочка Input Ну это я понял.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
timyr20 Опубликовано 25 июля, 2019 · Жалоба 22 часа назад, jffulcrum сказал: нтерфейсы LAN и туннелей включить в bridge с proxy-arp Если я буду использовать bridge с proxy-arp у меня трафик будет бегать по vpn тунелю? (мне надо чтобы по тунелю ходило только управление) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VGA Опубликовано 29 июля, 2019 · Жалоба Криво конечно описана проблема, но как я понял у вас нету доступа (не пингуются) микротики подключенные по L2TP к основному микротику с белым IP когда сами к нему подключены по L2TP, как мне кажется это из за того что вы забыли на этих удаленных микротиках прописать маршрут до IP адреса который вы получаете на своё L2TP соединение, попробуйте трассернуть этот адрес с того микротика на который нету доступа, вероятнее всего трасер будет уходить не в тунель на основной микротик а в маршрут по умолчанию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...