timyr20 Posted July 23, 2019 Posted July 23, 2019 (edited) Здравствуйте друзья. Нужна ваша помощь. Почти уже настроил, работает, но есть маленький затык.. Удалённо можно рулить микротами только если непосредственно подключен каберем к роутеру на котором поднят L2TP сервер.. Собственно что было сделано: На роуторе со статическим белый IP был поднят сервер. На клиентах соответственно клиент. Прописаны статические маршруты до удалённых микротов которыми нужно управлять. В Firewall разрешающее правило для порта WinBox 8291. И вобщем-то всё работает, но только от кабеля, но мне нужно перемещаться и иметь этот доступ через 3G модем.. Для этого я поднял L2TP тунель до ноутбука с 3G модемом.. И вот тут меня ожидала засада... Через тунель с 3G модемом я могу зайти только на роутер на котором поднят VPN сервер, а дальше не пускает... Подскажите что дальше делать друзья..? Edited July 23, 2019 by timyr20 Вставить ник Quote
jffulcrum Posted July 23, 2019 Posted July 23, 2019 Конфги показать. Белые IP -стереть начальные цифры Вставить ник Quote
timyr20 Posted July 23, 2019 Author Posted July 23, 2019 Конфиги- которые именно, из каких разделов? Вставить ник Quote
jffulcrum Posted July 23, 2019 Posted July 23, 2019 Сервер и любого клиента. ip route, ip firewall Вставить ник Quote
timyr20 Posted July 24, 2019 Author Posted July 24, 2019 (edited) Вот конфиги: https://yadi.sk/d/XrmqArxvTA0I5g Edited July 24, 2019 by timyr20 Вставить ник Quote
timyr20 Posted July 24, 2019 Author Posted July 24, 2019 На роутере где поднят сервер со статическим IP все VPN тунели я добавил в группу LAN. И на клиенте сделал тоже самое.. Вставить ник Quote
jffulcrum Posted July 24, 2019 Posted July 24, 2019 Честно говоря, у вас все так печально, что даже не знаю, с чего начать. - Правило для порта 8291 должно быть в цепочке Input, а не в Forward. - Подключения по MAC-Winbox требуют наличия proxy-ARP. Вам надо либо интерфейсы LAN и туннелей включить в bridge с proxy-arp, и уже мост включать в list, либо (правильно) делать списки доступа в файерволе (access list) разрешенных IP, с которых могут подключаться для управления, указать этот список как source в правиле для порта 8291 и потом в Winbox для подключения указывать IP устройств. В принципе, в таком варианте вам и туннели между устройствами не нужны - можно прямо на белые IP подключаться. Вставить ник Quote
timyr20 Posted July 24, 2019 Author Posted July 24, 2019 Мне нужно чтобы трафик не передавался по vpn тунелям.. Чтобы каждый клиент интерет брал со своего PPPOE подключения, а не с vpn тунеля.. Чтобы по тунелю шло только управление... Если я включу proxy-arp обмен трафиком пойдёт по тунелю? Вставить ник Quote
timyr20 Posted July 24, 2019 Author Posted July 24, 2019 32 минуты назад, jffulcrum сказал: В принципе, в таком варианте вам и туннели между устройствами не нужны - можно прямо на белые IP подключаться. Белый IP адрес у меня только один (там где l2tp сервер поднят).. остальные серые, -на клиентах.. Вставить ник Quote
jffulcrum Posted July 24, 2019 Posted July 24, 2019 Тогда просто для В 23.07.2019 в 10:59, timyr20 сказал: L2TP тунель до ноутбука с 3G модемом должны назначаться не такие же адреса, как на туннелях клиентов к базе, а отличные, на клиентах же к этой сети прописаны маршруты через базу. Тогда, после подключения туннеля с ноутбука коннектитесь к другим роутерам по их серым IP. Вставить ник Quote
timyr20 Posted July 24, 2019 Author Posted July 24, 2019 (edited) 12 часов назад, jffulcrum сказал: либо (правильно) делать списки доступа в файерволе (access list) разрешенных IP, с которых могут подключаться для управления, указать этот список как source в правиле для порта 8291 Вы имеете ввиду сделать так как написано вот здесь: https://asp24.com.ua/blog/adress-lists-v-mikrotik-chem-menshe-tem-luchshe/ Верно я вас понял? Edited July 24, 2019 by timyr20 Вставить ник Quote
jffulcrum Posted July 25, 2019 Posted July 25, 2019 Да, только у вас цепочка Input Вставить ник Quote
timyr20 Posted July 25, 2019 Author Posted July 25, 2019 2 часа назад, jffulcrum сказал: Да, только у вас цепочка Input Ну это я понял.. Вставить ник Quote
timyr20 Posted July 25, 2019 Author Posted July 25, 2019 22 часа назад, jffulcrum сказал: нтерфейсы LAN и туннелей включить в bridge с proxy-arp Если я буду использовать bridge с proxy-arp у меня трафик будет бегать по vpn тунелю? (мне надо чтобы по тунелю ходило только управление) Вставить ник Quote
VGA Posted July 29, 2019 Posted July 29, 2019 Криво конечно описана проблема, но как я понял у вас нету доступа (не пингуются) микротики подключенные по L2TP к основному микротику с белым IP когда сами к нему подключены по L2TP, как мне кажется это из за того что вы забыли на этих удаленных микротиках прописать маршрут до IP адреса который вы получаете на своё L2TP соединение, попробуйте трассернуть этот адрес с того микротика на который нету доступа, вероятнее всего трасер будет уходить не в тунель на основной микротик а в маршрут по умолчанию. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.