Mikrotik VPN PPTP/L2TP IPSec 3G МТС

[FLASH33]

Братцы, помогите настроить. Нужно с микротика пустить весь трафик через европейский VPN сервер. Для этого настроить VPN client PPTP или L2TP. Необходимость возникла в связи с необходимостью прятать трафик от МТС, т.к. эти хорошие люди стали анализировать трафик и списывать с меня еще деньги). С технологиями и с VPN в частности знакомлюсь по мере необходимости. Т.е. редко)

 

От сервиса VPN было получено логин, пароль адреса серверов и ключ IPSec (PSK). Что делал далее.

 

В Interface создаю новый интерфейс PPTP. На вкладке General оставляю всё по умолчанию. На вкладке Dial Out:

Connect to: адрес сервера VPN

User: login

Password: password

Profile: default-encryption

Keepalive timeout: 60

Dial on demand и Add defaul route галки стоят.

В Allow оставляю только mschap2.

 

Далее Apply и после некоего ожидания Status в углу окна нового интерфейса переходит в connected. Что я полагаю очень хорошо.

 

Далее идем в IP - Firewall - NAT

Там существует правило:

chain: srcnat

Out. interface: lte1

 

Вкладка Action: 

Action: masquarade

/*тут у меня небольшой вопрос я должен создать к существующему еще одно правило или просто отредактировать существующее*/

Apply.

 

Далее захожу на 2ip.ru и проверяю свое местоположение. Москва. А должен быть Париж)) 

 

Подскажите пожалуйста, что еще нужно сделать? Спасибо.

 

 

 

 

 

[jffulcrum]

7 часов назад, FLASH33 сказал:

логин, пароль адреса серверов и ключ IPSec (PSK).

По наличию ключа IPSec можно предположить, что интерфейс должен быть L2TP, а не PPTP

 

 

[FLASH33]

@jffulcrum  верно подмечено, но сервис выдает настройки сразу под два типа подключения, а дальше на мой выбор. А мой выбор в пользу PPTP, пока.

[jffulcrum]

Вам приплывает статический адрес или динамический (белый/серый?) по туннелю? 

[FLASH33]

@jffulcrum  тут сложнее, ответа я не знаю. Сервис hidemyna.me

 

Предполагаю, что динамический. Вряд ли там расщедрились на белый. Если подскажете как в этом убедиться, проверю незамедлительно

[Constantin]

вам нужно как минимум

1 сделать стат маршрут до впн сервера через шлюз что предоставляет МТС

2 маршрут  на 0.0.0.0/0 через мтс поставить метрику 2

3 создать маршрут на 0.0.0.0/0 через ваш впн с метрикой 1

4 создать правило маскарада с оут интерфейсом ваш впн

 

в профиле впн не забудте  поставить шифрование данных тогда содержимое туннеля просто так не посмотрят

[FLASH33]

@Constantin Спасибо Вам и Вашим золотым рукам.

Так же @jffulcrum  за проявленный интерес к моей проблеме.

 

Пока суть да дело забил на hidemyna.me, поднял на микротике в квартире L2TP Server.  Попробовал с андройд устройства, коннект наладился.

 

На микротике на даче маршруты прописались проставлением галки Add default route. 

Добавил к правилу маскарада на In. Interface на lte1 еще одно правило маскарада на Out Interface на l2tp и все пошло как надо. 

 

Осталось разобраться, что ко всему этому нужно добавить, чтобы я увидел устройства в локальной сети в квартире и наоборот.

 

Если подскажете или отправите меня в инструкцию, я буду ну очень благодарен. 

[Constantin]

тут 2 способа 

 

по l2 тогда будете видеть в сетевом окружении

по l3 тут маршрутизация и вы должны прописать маршруты чтоб роутеры знали где какие сети

и обращаться вам нужно по ip адресу либо писать днс статику

 

 

 

[FLASH33]

@Constantin Не разобрался(

 

Я должен на сервере на интерфейсе, смотрящем в локальную сеть, переключить на arp-proxy или этого мало?

Перелопатил много информации на эту тему и в этом вся беда, в голове теперь каша.

[Constantin]

на интерфейсе ничего делать не нужно тем более переключаться на арп прокси

 

я просто не понимаю зацем вам нужно что то гнать во внешнюю сеть которая и будет если вы хотите получать инет через впн

 

 

[FLASH33]

@Constantin я основательно запутался в том, что нужно сделать чтобы устройства в локальной сети Микротика1 (он же "клиент VPN"), видели устройства в локальной сети Микротика2 (он же "сервер VPN") и наоборот. 

 

Или, скажем, пользователь на ПК с Win10 из сторонней сети смог после настройки VPN подключения увидеть устройства в локальной сети Микротика2. 

 

Если я правильно понимаю из Вашего же ответа, нужно роутерам объяснить где какие сети. Для этого прописать routes. Но как это сделать правильно, я никак не въеду(

 

 

Конфиг сервера VPN

 

Spoiler

[admin@MikroTik] > export hide-sensitive
# aug/06/2019 17:33:35 by RouterOS 6.45.2
# software id = T3NY-JSPN
#
# model = RouterBOARD 962UiGS-5HacT2HnT
# serial number = 6737XXXXXXXX
/interface bridge
add admin-mac=6C:3B:6B:18:B2:11 auto-mac=no comment=defconf fast-forward=no name=bridge
add admin-mac=6C:3B:6B:18:B2:10 auto-mac=no comment="created from master port" name=bridge1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n disabled=no distance=indoors mode=ap-bridge ssid="MikroTik 2.4" tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid="MikroTik 5" wireless-protocol=802.11
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
add name=l2tp ranges=192.168.112.1-192.168.112.10
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge name=defconf
/ppp profile
add change-tcp-mss=yes local-address=l2tp name=L2TP-server remote-address=l2tp use-compression=no use-encryption=yes use-mpls=yes
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge filter
add action=drop chain=output out-interface=wlan1 packet-type=multicast
/interface bridge port
add bridge=bridge comment=defconf hw=no interface=ether2-master
add bridge=bridge comment=defconf hw=no interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge hw=no interface=ether3
add bridge=bridge hw=no interface=ether5
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=all
/interface l2tp-server server
set authentication=mschap2 default-profile=default enabled=yes use-ipsec=yes
/interface list member
add interface=wlan1 list=discover
add interface=ether2-master list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=sfp1 list=discover
add interface=wlan2 list=discover
add interface=bridge list=discover
add interface=bridge list=mac-winbox
add interface=ether2-master list=mactel
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether1 list=LAN
add interface=sfp1 list=LAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
/interface pptp-server server
set default-profile=default
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether3 network=192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=bridge1
/ip dhcp-server lease
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=forward protocol=udp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=bridge1
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=input comment="for l2tp" in-interface=bridge1 protocol=ipsec-esp
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=5.228.18.121 dst-port=21 in-interface=bridge1 protocol=tcp to-addresses=192.168.88.20 to-ports=21
add action=dst-nat chain=dstnat dst-address=5.228.18.121 in-interface=bridge1 protocol=tcp to-addresses=192.168.88.20 to-ports=57000-57100
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=bridge1
add action=masquerade chain=srcnat comment="default configuration" out-interface=bridge1 to-addresses=0.0.0.0
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip service
set telnet disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ppp secret
add local-address=192.168.10.20 name=inet-vpn remote-address=192.168.10.21
add name=vpn
add name=l2tp-user profile=L2TP-server service=l2tp
/routing igmp-proxy
set query-interval=30s query-response-interval=20s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=bridge1 upstream=yes
add alternative-subnets=0.0.0.0/0 interface=bridge

 

 

 

 

Конфиг клиента VPN

 

 

Spoiler

[admin@MikroTik] > /export hide-sensitive
# aug/05/2019 20:19:57 by RouterOS 6.45.3
# software id = YAPL-CDJF
#
# model = RBD52G-5HacD2HnD
# serial number = 8FDEXXXXXXXX
/interface bridge
add admin-mac=B8:69:F4:30:1D:4E auto-mac=no comment=defconf name=bridgeLocal
/interface l2tp-client
add add-default-route=yes allow=mschap2 connect-to=6737XXXXXXXX.sn.mynetname.net disabled=no name=l2tp-out1 use-ipsec=\
    yes user=l2tp-user
/interface lte
set [ find ] mac-address=0C:5B:8F:27:9A:64 name=lte1
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge ssid=MikroTik wireless-protocol=802.11
set [ find default-name=wlan2 ] disabled=no mode=ap-bridge ssid="MikroTik 5" wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.3-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridgeLocal name=dhcp1
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
add bridge=bridgeLocal interface=wlan2
add bridge=bridgeLocal interface=wlan1
/interface list member
add interface=lte1 list=WAN
add interface=bridgeLocal list=LAN
/interface wireless cap
set bridge=bridgeLocal discovery-interfaces=bridgeLocal interfaces=wlan1,wlan2
/ip address
add address=192.168.88.1/24 interface=ether1 network=192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=bridgeLocal
/ip dhcp-server lease
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24
/ip firewall filter
add action=accept chain=input in-interface=lte1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1 out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=l2tp-out1

 

 

 

Если найдется время посмотреть конфиги и доступно объяснить мне почему я такой недалёкий..буду рад науке. 

 

 

[FLASH33]

@Constantin попробовал на ПК с Win10 из сторонней сети создать маршрут:

 

route add 192.168.88.0 mask 255.255.255.0 192.168.112.7

 

где 192.168.88.0 - локальная "домашняя" сеть за сервером-микротиком

255.255.255.0 - маска этой сети

192.168.112.7 - IP адрес ПК с Win10. Адрес назначается микротиком из созданного пула. 

 

Как результат адрес в домашней сети 192.168.88.20 не пингуется. Все пакеты потеряны.

[FLASH33]

@Constantin выяснилось, что пингуются адреса, но не все.

 

192.168.88.20 Win7 - не пингуется

192.168.88.15 Win10 - не пингуется

192.168.88.10 Android - пингуется.

 

Что не так с первыми двумя?

[FLASH33]

@Constantin брэндмауэр.. брэндмауер и касперский. Отключил касперский, добавил правило в брэндмауер и вот мой пинг... 

 

Сам с собой поговорил)

[FLASH33]

IP адреса городской ЛВС не пингуются из дачной ЛВС. 

 

Предполагаю, что из-за одинаковых сетей вида 192.168.88.0/24.

 

При пинге того же 192.168.88.20 пингуется ближняя ЛВС, а не городская. Т.е. нужно на дачной сети изменить настройки IP-Pool-DHCP Pool. Например, на 192.168.77.0/24

 

Пишу больше для себя. Если кто-то заглядывает сюда, проверьте меня, плз)

Edited August 7, 2019 by FLASH33

[Constantin]

по разным плечам роутера конечно же сети должны быть разные

[FLASH33]

@Constantin, можно еще отнять несколько минут у Вас?

 

Изменил на микротике-клиенте сеть с 192.168.88.0 на 192.168.77.0 и теперь из сети 77.0 доступна локальная сеть 88.0 за микротиком-сервером, как и ожидалось.

 

Хотел спросить: каким образом можно объяснить микротику-серверу и устройствам в его локальной сети возможность подключения к устройствам в локальной сети микротика-клиента? Вангую, что нужны маршруты на микротик-сервер, но не разберусь как их прописать под конкретно мой случай.

 

Сейчас структура выглядит так:

 

Микротик-сервер 192.168.88.1 (LAN 192.168.88.0/24) <=  Микротик-клиент 192.168.77.1 (LAN 192.168.77.0/24). Устройства в локальной сети микротика-клиента подключаются к устройствам за сервером.

 

Микротик-сервер 192.168.88.1 (LAN 192.168.88.0/24) = Х Микротик-клиент 192.168.77.1 (LAN 192.168.77.0/24). Устройства в локальной сети микротика-сервера не видят устройства локальной сети микротика-клиента. 

 

Пул адресов, выдаваемый клиентам VPN 192.168.112.1-192.168.112.20.

 

Из сети микротика-клиента не пингуется сервер по адресу 192.168.88.1, также по сетевым адресам не пингуется ни одно устройство ни на Win10, ни на Android, т.е. антивирус и брэндмауэр исключен. Микротик-клиент пингуется по 192.168.112.20, т.е. по адресу, выданному ему из пула.

 

Правил в фаерволе у микротика-клиента нет. Все в Disable. 

 

Явно нужны routes, но не могу понять какие. Как их правильно указать? 

Нужно ли какое-то дополнительное правило в Firewall или NAT на этот случай?

 

Прошу помощи. Спасибо.

 

[FLASH33]

add distance=1 dst-address=192.168.77.0/24 gateway=l2tp-l2tp-user

 

Крейсер мне в бухту..

 

Завтра буду пробовать подключиться обычным клиентом на Win10 из сторонней сети к подсетям сервера и клиента. Если что - вернусь. Спасибо)

[Constantin]

9 часов назад, FLASH33 сказал:

Пул адресов, выдаваемый клиентам VPN 192.168.112.1-192.168.112.20.

вот на мт сервере укажите что сеть 192,168,112,0/26 находиться за мт клиентом

 

[FLASH33]

On 8/14/2019 at 12:06 AM, FLASH33 said:

add distance=1 dst-address=192.168.77.0/24 gateway=l2tp-l2tp-user

Для себя тут оставлю, если кто не против или кто-то будет гуглить похожую ситуацию.

 

Данное правило работало пока микротик-клиент не переподключался. Если переподключился, то в маршруте удалялся параметр Gateway. Проблема заключалась в том, что интерфейс в Interface при подключении создавался динамический. Для исправления ситуации в Interface я создал статический интерфейс l2tp server binding, в котором указал имя профиля (логина\юзера) для подключения. Теперь при подключении микротика-клиента он по умолчанию попадал на статический интерфейс. Но пинг микротика-клиента показал, что пинга нет. Для того, чтобы mortal kombat закончился идём в IP-Routes и у правила, которое процитировано выше меняем 

 

add distance=1 dst-address=192.168.77.0/24 gateway=l2tp-l2tp-user

 

на

 

add distance=1 dst-address=192.168.77.0/24 gateway=*имя созданного интерфейса*

 

Только после этого микротик-клиент пропинговался и вся сетка за ним тоже. 

 

Примечательно, что до этого, когда микротик-клиент подключался к серверу создавался еще один маршрут автоматом вида

 

distance=1 dst-address=192.168.112.13 gateway=*имя созданного интерфейса*,

 

но вопрос с доступом это естественно не решало, потому что в нужном маршруте новый созданный интерфейс указан не был.

 

Пожалуй надо походить на курсы настройки этой всей лабуды или почитать книжку умную на будущее. Может что-то полезное отложится))