FLASH33 Опубликовано 2 августа, 2019 · Жалоба Братцы, помогите настроить. Нужно с микротика пустить весь трафик через европейский VPN сервер. Для этого настроить VPN client PPTP или L2TP. Необходимость возникла в связи с необходимостью прятать трафик от МТС, т.к. эти хорошие люди стали анализировать трафик и списывать с меня еще деньги). С технологиями и с VPN в частности знакомлюсь по мере необходимости. Т.е. редко) От сервиса VPN было получено логин, пароль адреса серверов и ключ IPSec (PSK). Что делал далее. В Interface создаю новый интерфейс PPTP. На вкладке General оставляю всё по умолчанию. На вкладке Dial Out: Connect to: адрес сервера VPN User: login Password: password Profile: default-encryption Keepalive timeout: 60 Dial on demand и Add defaul route галки стоят. В Allow оставляю только mschap2. Далее Apply и после некоего ожидания Status в углу окна нового интерфейса переходит в connected. Что я полагаю очень хорошо. Далее идем в IP - Firewall - NAT Там существует правило: chain: srcnat Out. interface: lte1 Вкладка Action: Action: masquarade /*тут у меня небольшой вопрос я должен создать к существующему еще одно правило или просто отредактировать существующее*/ Apply. Далее захожу на 2ip.ru и проверяю свое местоположение. Москва. А должен быть Париж)) Подскажите пожалуйста, что еще нужно сделать? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 2 августа, 2019 · Жалоба 7 часов назад, FLASH33 сказал: логин, пароль адреса серверов и ключ IPSec (PSK). По наличию ключа IPSec можно предположить, что интерфейс должен быть L2TP, а не PPTP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 2 августа, 2019 · Жалоба @jffulcrum верно подмечено, но сервис выдает настройки сразу под два типа подключения, а дальше на мой выбор. А мой выбор в пользу PPTP, пока. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 2 августа, 2019 · Жалоба Вам приплывает статический адрес или динамический (белый/серый?) по туннелю? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 2 августа, 2019 · Жалоба @jffulcrum тут сложнее, ответа я не знаю. Сервис hidemyna.me Предполагаю, что динамический. Вряд ли там расщедрились на белый. Если подскажете как в этом убедиться, проверю незамедлительно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 3 августа, 2019 · Жалоба вам нужно как минимум 1 сделать стат маршрут до впн сервера через шлюз что предоставляет МТС 2 маршрут на 0.0.0.0/0 через мтс поставить метрику 2 3 создать маршрут на 0.0.0.0/0 через ваш впн с метрикой 1 4 создать правило маскарада с оут интерфейсом ваш впн в профиле впн не забудте поставить шифрование данных тогда содержимое туннеля просто так не посмотрят Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 3 августа, 2019 · Жалоба @Constantin Спасибо Вам и Вашим золотым рукам. Так же @jffulcrum за проявленный интерес к моей проблеме. Пока суть да дело забил на hidemyna.me, поднял на микротике в квартире L2TP Server. Попробовал с андройд устройства, коннект наладился. На микротике на даче маршруты прописались проставлением галки Add default route. Добавил к правилу маскарада на In. Interface на lte1 еще одно правило маскарада на Out Interface на l2tp и все пошло как надо. Осталось разобраться, что ко всему этому нужно добавить, чтобы я увидел устройства в локальной сети в квартире и наоборот. Если подскажете или отправите меня в инструкцию, я буду ну очень благодарен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 4 августа, 2019 · Жалоба тут 2 способа по l2 тогда будете видеть в сетевом окружении по l3 тут маршрутизация и вы должны прописать маршруты чтоб роутеры знали где какие сети и обращаться вам нужно по ip адресу либо писать днс статику Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 5 августа, 2019 · Жалоба @Constantin Не разобрался( Я должен на сервере на интерфейсе, смотрящем в локальную сеть, переключить на arp-proxy или этого мало? Перелопатил много информации на эту тему и в этом вся беда, в голове теперь каша. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 6 августа, 2019 · Жалоба на интерфейсе ничего делать не нужно тем более переключаться на арп прокси я просто не понимаю зацем вам нужно что то гнать во внешнюю сеть которая и будет если вы хотите получать инет через впн Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 6 августа, 2019 · Жалоба @Constantin я основательно запутался в том, что нужно сделать чтобы устройства в локальной сети Микротика1 (он же "клиент VPN"), видели устройства в локальной сети Микротика2 (он же "сервер VPN") и наоборот. Или, скажем, пользователь на ПК с Win10 из сторонней сети смог после настройки VPN подключения увидеть устройства в локальной сети Микротика2. Если я правильно понимаю из Вашего же ответа, нужно роутерам объяснить где какие сети. Для этого прописать routes. Но как это сделать правильно, я никак не въеду( Конфиг сервера VPN Spoiler [admin@MikroTik] > export hide-sensitive # aug/06/2019 17:33:35 by RouterOS 6.45.2 # software id = T3NY-JSPN # # model = RouterBOARD 962UiGS-5HacT2HnT # serial number = 6737XXXXXXXX /interface bridge add admin-mac=6C:3B:6B:18:B2:11 auto-mac=no comment=defconf fast-forward=no name=bridge add admin-mac=6C:3B:6B:18:B2:10 auto-mac=no comment="created from master port" name=bridge1 protocol-mode=none /interface ethernet set [ find default-name=ether1 ] speed=100Mbps set [ find default-name=ether2 ] name=ether2-master speed=100Mbps set [ find default-name=ether3 ] speed=100Mbps set [ find default-name=ether4 ] speed=100Mbps set [ find default-name=ether5 ] speed=100Mbps set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full /interface wireless set [ find default-name=wlan1 ] band=2ghz-g/n disabled=no distance=indoors mode=ap-bridge ssid="MikroTik 2.4" tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=802.11 set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid="MikroTik 5" wireless-protocol=802.11 /interface list add exclude=dynamic name=discover add name=mactel add name=mac-winbox add name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 add name=vpn ranges=192.168.89.2-192.168.89.255 add name=l2tp ranges=192.168.112.1-192.168.112.10 /ip dhcp-server add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge name=defconf /ppp profile add change-tcp-mss=yes local-address=l2tp name=L2TP-server remote-address=l2tp use-compression=no use-encryption=yes use-mpls=yes set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn /interface bridge filter add action=drop chain=output out-interface=wlan1 packet-type=multicast /interface bridge port add bridge=bridge comment=defconf hw=no interface=ether2-master add bridge=bridge comment=defconf hw=no interface=sfp1 add bridge=bridge comment=defconf interface=wlan1 add bridge=bridge comment=defconf interface=wlan2 add bridge=bridge hw=no interface=ether3 add bridge=bridge hw=no interface=ether5 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether1 /ip neighbor discovery-settings set discover-interface-list=all /interface l2tp-server server set authentication=mschap2 default-profile=default enabled=yes use-ipsec=yes /interface list member add interface=wlan1 list=discover add interface=ether2-master list=discover add interface=ether3 list=discover add interface=ether4 list=discover add interface=ether5 list=discover add interface=sfp1 list=discover add interface=wlan2 list=discover add interface=bridge list=discover add interface=bridge list=mac-winbox add interface=ether2-master list=mactel add interface=ether3 list=LAN add interface=ether4 list=LAN add interface=ether5 list=LAN add interface=ether1 list=LAN add interface=sfp1 list=LAN add interface=wlan2 list=LAN add interface=wlan1 list=LAN /interface pptp-server server set default-profile=default /interface sstp-server server set default-profile=default-encryption enabled=yes /ip address add address=192.168.88.1/24 comment=defconf interface=ether3 network=192.168.88.0 /ip cloud set ddns-enabled=yes /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=bridge1 /ip dhcp-server lease /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 name=router /ip firewall filter add chain=forward protocol=udp add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=bridge1 add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp add action=drop chain=input in-interface-list=!LAN add action=accept chain=input comment="for l2tp" in-interface=bridge1 protocol=ipsec-esp /ip firewall nat add action=dst-nat chain=dstnat dst-address=5.228.18.121 dst-port=21 in-interface=bridge1 protocol=tcp to-addresses=192.168.88.20 to-ports=21 add action=dst-nat chain=dstnat dst-address=5.228.18.121 in-interface=bridge1 protocol=tcp to-addresses=192.168.88.20 to-ports=57000-57100 add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=bridge1 add action=masquerade chain=srcnat comment="default configuration" out-interface=bridge1 to-addresses=0.0.0.0 add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24 /ip service set telnet disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ip ssh set allow-none-crypto=yes forwarding-enabled=remote /ppp secret add local-address=192.168.10.20 name=inet-vpn remote-address=192.168.10.21 add name=vpn add name=l2tp-user profile=L2TP-server service=l2tp /routing igmp-proxy set query-interval=30s query-response-interval=20s quick-leave=yes /routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 interface=bridge1 upstream=yes add alternative-subnets=0.0.0.0/0 interface=bridge Конфиг клиента VPN Spoiler [admin@MikroTik] > /export hide-sensitive # aug/05/2019 20:19:57 by RouterOS 6.45.3 # software id = YAPL-CDJF # # model = RBD52G-5HacD2HnD # serial number = 8FDEXXXXXXXX /interface bridge add admin-mac=B8:69:F4:30:1D:4E auto-mac=no comment=defconf name=bridgeLocal /interface l2tp-client add add-default-route=yes allow=mschap2 connect-to=6737XXXXXXXX.sn.mynetname.net disabled=no name=l2tp-out1 use-ipsec=\ yes user=l2tp-user /interface lte set [ find ] mac-address=0C:5B:8F:27:9A:64 name=lte1 /interface wireless set [ find default-name=wlan1 ] disabled=no mode=ap-bridge ssid=MikroTik wireless-protocol=802.11 set [ find default-name=wlan2 ] disabled=no mode=ap-bridge ssid="MikroTik 5" wireless-protocol=802.11 /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.88.3-192.168.88.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridgeLocal name=dhcp1 /interface bridge port add bridge=bridgeLocal comment=defconf interface=ether1 add bridge=bridgeLocal comment=defconf interface=ether2 add bridge=bridgeLocal comment=defconf interface=ether3 add bridge=bridgeLocal comment=defconf interface=ether4 add bridge=bridgeLocal comment=defconf interface=ether5 add bridge=bridgeLocal interface=wlan2 add bridge=bridgeLocal interface=wlan1 /interface list member add interface=lte1 list=WAN add interface=bridgeLocal list=LAN /interface wireless cap set bridge=bridgeLocal discovery-interfaces=bridgeLocal interfaces=wlan1,wlan2 /ip address add address=192.168.88.1/24 interface=ether1 network=192.168.88.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=bridgeLocal /ip dhcp-server lease /ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24 /ip firewall filter add action=accept chain=input in-interface=lte1 /ip firewall nat add action=masquerade chain=srcnat out-interface=lte1 out-interface-list=WAN add action=masquerade chain=srcnat out-interface=l2tp-out1 Если найдется время посмотреть конфиги и доступно объяснить мне почему я такой недалёкий..буду рад науке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 6 августа, 2019 · Жалоба @Constantin попробовал на ПК с Win10 из сторонней сети создать маршрут: route add 192.168.88.0 mask 255.255.255.0 192.168.112.7 где 192.168.88.0 - локальная "домашняя" сеть за сервером-микротиком 255.255.255.0 - маска этой сети 192.168.112.7 - IP адрес ПК с Win10. Адрес назначается микротиком из созданного пула. Как результат адрес в домашней сети 192.168.88.20 не пингуется. Все пакеты потеряны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 6 августа, 2019 · Жалоба @Constantin выяснилось, что пингуются адреса, но не все. 192.168.88.20 Win7 - не пингуется 192.168.88.15 Win10 - не пингуется 192.168.88.10 Android - пингуется. Что не так с первыми двумя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 6 августа, 2019 · Жалоба @Constantin брэндмауэр.. брэндмауер и касперский. Отключил касперский, добавил правило в брэндмауер и вот мой пинг... Сам с собой поговорил) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 7 августа, 2019 (изменено) · Жалоба IP адреса городской ЛВС не пингуются из дачной ЛВС. Предполагаю, что из-за одинаковых сетей вида 192.168.88.0/24. При пинге того же 192.168.88.20 пингуется ближняя ЛВС, а не городская. Т.е. нужно на дачной сети изменить настройки IP-Pool-DHCP Pool. Например, на 192.168.77.0/24 Пишу больше для себя. Если кто-то заглядывает сюда, проверьте меня, плз) Изменено 7 августа, 2019 пользователем FLASH33 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 7 августа, 2019 · Жалоба по разным плечам роутера конечно же сети должны быть разные Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 13 августа, 2019 · Жалоба @Constantin, можно еще отнять несколько минут у Вас? Изменил на микротике-клиенте сеть с 192.168.88.0 на 192.168.77.0 и теперь из сети 77.0 доступна локальная сеть 88.0 за микротиком-сервером, как и ожидалось. Хотел спросить: каким образом можно объяснить микротику-серверу и устройствам в его локальной сети возможность подключения к устройствам в локальной сети микротика-клиента? Вангую, что нужны маршруты на микротик-сервер, но не разберусь как их прописать под конкретно мой случай. Сейчас структура выглядит так: Микротик-сервер 192.168.88.1 (LAN 192.168.88.0/24) <= Микротик-клиент 192.168.77.1 (LAN 192.168.77.0/24). Устройства в локальной сети микротика-клиента подключаются к устройствам за сервером. Микротик-сервер 192.168.88.1 (LAN 192.168.88.0/24) = Х Микротик-клиент 192.168.77.1 (LAN 192.168.77.0/24). Устройства в локальной сети микротика-сервера не видят устройства локальной сети микротика-клиента. Пул адресов, выдаваемый клиентам VPN 192.168.112.1-192.168.112.20. Из сети микротика-клиента не пингуется сервер по адресу 192.168.88.1, также по сетевым адресам не пингуется ни одно устройство ни на Win10, ни на Android, т.е. антивирус и брэндмауэр исключен. Микротик-клиент пингуется по 192.168.112.20, т.е. по адресу, выданному ему из пула. Правил в фаерволе у микротика-клиента нет. Все в Disable. Явно нужны routes, но не могу понять какие. Как их правильно указать? Нужно ли какое-то дополнительное правило в Firewall или NAT на этот случай? Прошу помощи. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 13 августа, 2019 · Жалоба add distance=1 dst-address=192.168.77.0/24 gateway=l2tp-l2tp-user Крейсер мне в бухту.. Завтра буду пробовать подключиться обычным клиентом на Win10 из сторонней сети к подсетям сервера и клиента. Если что - вернусь. Спасибо) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 14 августа, 2019 · Жалоба 9 часов назад, FLASH33 сказал: Пул адресов, выдаваемый клиентам VPN 192.168.112.1-192.168.112.20. вот на мт сервере укажите что сеть 192,168,112,0/26 находиться за мт клиентом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FLASH33 Опубликовано 31 августа, 2019 · Жалоба On 8/14/2019 at 12:06 AM, FLASH33 said: add distance=1 dst-address=192.168.77.0/24 gateway=l2tp-l2tp-user Для себя тут оставлю, если кто не против или кто-то будет гуглить похожую ситуацию. Данное правило работало пока микротик-клиент не переподключался. Если переподключился, то в маршруте удалялся параметр Gateway. Проблема заключалась в том, что интерфейс в Interface при подключении создавался динамический. Для исправления ситуации в Interface я создал статический интерфейс l2tp server binding, в котором указал имя профиля (логина\юзера) для подключения. Теперь при подключении микротика-клиента он по умолчанию попадал на статический интерфейс. Но пинг микротика-клиента показал, что пинга нет. Для того, чтобы mortal kombat закончился идём в IP-Routes и у правила, которое процитировано выше меняем add distance=1 dst-address=192.168.77.0/24 gateway=l2tp-l2tp-user на add distance=1 dst-address=192.168.77.0/24 gateway=*имя созданного интерфейса* Только после этого микротик-клиент пропинговался и вся сетка за ним тоже. Примечательно, что до этого, когда микротик-клиент подключался к серверу создавался еще один маршрут автоматом вида distance=1 dst-address=192.168.112.13 gateway=*имя созданного интерфейса*, но вопрос с доступом это естественно не решало, потому что в нужном маршруте новый созданный интерфейс указан не был. Пожалуй надо походить на курсы настройки этой всей лабуды или почитать книжку умную на будущее. Может что-то полезное отложится)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...