AlexZhukov Posted August 27, 2022 · Report post Добрый день. Ребята, прошу помочи разобраться! Есть Микротик (RB1100AHx – Офис1) и виртуальный маршрутизатор в облачном решении (VK Cloud – Офис2). Между ними настроен IPSec-туннель. За виртуальным маршрутиком есть сервер (файловое хранилище) Между офисами все работает нормально, но встала задача подключить к маршрутизатору в Офисе 1 пользователя через L2TP-VPN и как-то дать ему доступ к файловому серверу пробросив трафик через IPSEC-туннель Подскажите это можно реализовать и как? Схему прилагаю (во вложении). Спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted August 27, 2022 · Report post Manual:Interface/L2TP - MikroTik Wiki Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 27, 2022 · Report post AlexZhukov, здравствуйте. В 27.08.2022 в 18:06, AlexZhukov сказал: Подскажите это можно реализовать Да, реализовать можно. Возможно, Вам поможет понимание - в VPN "IPSec Site-To-Site" ("чистый IPSec", что реализовано между "Офис1" - "Офис2") используется не классическая маршрутизация (route add маршрут -> gw), а маршрутизация до VPN IPSec Site (сторона IPSec) с указанием сети (или списка сетей), которые связывайся через VPN "IPSec Site-To-Site". Плечо за маршрутизатором "Офис1", где у Вас используется L2TP VPN (даже, если там используется IPSec), воспринимайте как обычную IP сеть /24, пристыкованную к маршрутизатору. Для этого плеча, чтобы клиент L2TP подключался к маршрутизатору "Офис1", Вам нужно будет настроить L2TP сервер и IPSec для протокола L2TP, но не запутайтесь, VPN "IPSec Site-To-Site" между офисами с одного плеча маршрутизатора "Офис1" и L2TP over IPSec с плеча для клиента - это резаные VPN соединения! ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlexZhukov Posted August 28, 2022 (edited) · Report post Доброе утро! У меня на данный момент настроен IPSec Site-To-Site между Офис1 и Офис 2 Офис 1: Для сети 192.168.0.0/24 (которую используют клиенты L2TP) делал аналогичные правила как для forwrad, так и для nat Офис 2: Он функционирует нормально, доступы между сетями 10.7.1.0/24 и 172.16.0.0/24 есть Но как только я подключаю клиента L2TP (использую форточку) к микротик, то этот клиент видит соответственно сеть 10.7.1.0/24 но ни как не хочет пролазить в сеть 172.16.0.0/24 Настройки L2TP (Офис 1): В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены): route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1 Edited August 28, 2022 by AlexZhukov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 28, 2022 · Report post AlexZhukov, В 28.08.2022 в 08:01, AlexZhukov сказал: В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены): route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1 Про WINDOWS, если не ставится "маршрут по умолчанию (шлюз по умолчанию)" на L2TP соединение, то: L2TP – это PPP (маршрутизация точка-точка, маска сети /32). При использовании PPP интерфейса, маршрутизация строиться не через адрес сервера (192.168.0.1), а через IP адрес, который получил виртуальный адаптер L2TP (192.168.0.xxx). Поэтому статическая маршрутизация под Windows будет выглядеть так: route add 192.7.1.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1 route add 172.16.0.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1 После этого, с Windows ПК должны быть доступны IP адреса 192.7.1.yyy и 172.16.0.yyy. см. - Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
YuryD Posted August 28, 2022 · Report post Нездоровый вопрос, если уж есть ipsec, то с секурностью и так все ладно. Строить внутри туннеля-туннели ? Что-то неладно с идеями в сети.... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlexZhukov Posted August 28, 2022 · Report post Да, у меня тут опечатка получилось... Я все подретактировал, использовал 2 варианта как вы и писали: 1. Это использовать шлюз по умолчанию (тогда весь трафик уходит в VPN), у меня клиент получил адрес 192.168.0.36: 2. Второй вариант это когда отключено использовать шлюз по умолчанию и тогда я прописал маршрут: route add 172.16.0.0 MASK 255.255.255.0 192.168.0.36 METRIC 1 Но к сожалению пока доступа нету... Обратил внимание, что трафик (icmp) от 192.168.0.36 в сторону 172.16.0.0 уходит, на микромире это видно: А вот обратно как будто тишина... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 28, 2022 · Report post AlexZhukov, В 28.08.2022 в 12:47, AlexZhukov сказал: Но к сожалению пока доступа нету... OK, предположим плечо L2TP+IPSec с WINDOWS клиент работает. С маршрутизатора "Офис1", проверьте связь до IP 172.16.0.4 (сервера), обязательно указав SOURCE IP адрес 192.168.0.1 (адрес плеча L2TP сервера). И в противоположную сторону, от IP 172.16.0.4 (со стороны сервера), до IP 192.168.0.1 (адрес плеча L2TP сервера). Нужно убедиться, что сети 172.16.0.0/24 и 192.168.0.0/24 доступны друг-другу, через "IPSec Site-To-Site". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
AlexZhukov Posted August 28, 2022 · Report post Совершенно верно! Огромное спасибо, совершенно упустил, что политики для 192.168.0.0/24 со стороны Микротика не было, сейчас добавил и все заработало! Еще раз большое спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 28, 2022 · Report post AlexZhukov, Да не за что, для это и есть форум. ;) Удачи! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 28, 2022 · Report post А просто использовать протокол SSTP не вариант? Ничего делать не надо он сам все сделает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 29, 2022 · Report post Да почему вы сниффер то не используете? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...