Jump to content
Калькуляторы

Проброс трафика клиентов L2TP через IPSEC тунель

Добрый день.

Ребята, прошу помочи разобраться!

Есть Микротик (RB1100AHx – Офис1) и виртуальный маршрутизатор в облачном решении (VK Cloud – Офис2).

Между ними настроен IPSec-туннель.

За виртуальным маршрутиком есть сервер (файловое хранилище)

Между офисами все работает нормально, но встала задача подключить к маршрутизатору в Офисе 1 пользователя через L2TP-VPN и как-то дать ему доступ к файловому серверу пробросив трафик через IPSEC-туннель

Подскажите это можно реализовать и как? 


Схему прилагаю (во вложении).
Спасибо!

 

 

Снимок экрана 2022-08-27 в 17.50.59.png

Share this post


Link to post
Share on other sites

AlexZhukov, здравствуйте.

 

В 27.08.2022 в 18:06, AlexZhukov сказал:

Подскажите это можно реализовать

Да, реализовать можно.

 

Возможно, Вам поможет понимание - в VPN "IPSec Site-To-Site" ("чистый IPSec", что реализовано между "Офис1" - "Офис2") используется не классическая маршрутизация (route add маршрут -> gw), а маршрутизация до VPN IPSec Site (сторона IPSec) с указанием сети (или списка сетей), которые связывайся через VPN "IPSec Site-To-Site".

 

Плечо за маршрутизатором "Офис1", где у Вас используется L2TP VPN (даже, если там используется IPSec), воспринимайте как обычную IP сеть /24, пристыкованную к маршрутизатору. Для этого плеча, чтобы клиент L2TP подключался к маршрутизатору "Офис1",  Вам нужно будет настроить L2TP сервер и IPSec для протокола L2TP, но не запутайтесь, VPN "IPSec Site-To-Site" между офисами с одного плеча маршрутизатора "Офис1" и L2TP over IPSec с плеча для клиента - это резаные VPN соединения! ;)

Share this post


Link to post
Share on other sites

Доброе утро!

У меня на данный момент настроен IPSec Site-To-Site между Офис1 и Офис 2

 

Офис 1:

2082009771_2022-08-2807_46_34.thumb.png.06e244a541a523d230fbe9dc305cb5b9.png

1297547436_2022-08-2807_50_08.thumb.png.36f9e4c1023ae27c0931290eb58cb0ff.png

970623111_2022-08-2807_52_18.thumb.png.95a7516ba6e219c9760d27aa1996cd1c.png

 

Для сети 192.168.0.0/24 (которую используют клиенты L2TP) делал аналогичные правила как для forwrad, так и для nat

 

Офис 2:

2026170103_2022-08-2807_47_51.thumb.png.e76032b12823967da46a3be5fc734601.png

 

Он функционирует нормально, доступы между сетями 10.7.1.0/24 и 172.16.0.0/24 есть

 

Но как только я подключаю клиента L2TP (использую форточку) к микротик, то этот клиент видит соответственно сеть 10.7.1.0/24 но ни как не хочет пролазить в сеть 172.16.0.0/24

 

Настройки L2TP (Офис 1):

52906848_2022-08-2807_56_28.png.f687fe2dbd2b16053bb6fec43f63f05a.png

14961764_2022-08-2807_57_15.thumb.png.163babf179b0990294145e0ca552c05e.png

1163739531_2022-08-2807_58_31.thumb.png.8894e61efb73a79a425c09ca699117bb.png

1156811847_2022-08-2807_59_36.thumb.png.6185c7c1eb5c074606a3561c80e5d61b.png

 

В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены):

 

route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1

 

 

Edited by AlexZhukov

Share this post


Link to post
Share on other sites

AlexZhukov,

 

В 28.08.2022 в 08:01, AlexZhukov сказал:

В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены):

 

route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1

 

Про WINDOWS, если не ставится "маршрут по умолчанию (шлюз по умолчанию)" на L2TP соединение, то:

 

L2TP – это PPP (маршрутизация точка-точка, маска сети /32). При использовании PPP интерфейса, маршрутизация строиться не через адрес сервера (192.168.0.1), а через IP адрес, который получил виртуальный адаптер L2TP (192.168.0.xxx).

 

Поэтому статическая маршрутизация под Windows будет выглядеть так:

route add 192.7.1.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1

route add 172.16.0.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1

После этого, с Windows ПК должны быть доступны IP адреса 192.7.1.yyy и 172.16.0.yyy.

 

 

см. - 

 

Share this post


Link to post
Share on other sites

Нездоровый вопрос, если уж есть ipsec, то с секурностью и так все ладно. Строить внутри туннеля-туннели ? Что-то неладно с идеями в сети....

Share this post


Link to post
Share on other sites

Да, у меня тут опечатка получилось...

 

Я все подретактировал, использовал 2 варианта как вы и писали:

 

1. Это использовать шлюз по умолчанию (тогда весь трафик уходит в VPN), у меня клиент получил адрес 192.168.0.36:

2099451902_2022-08-2812_41_06.thumb.png.ffea5e75c5ee6740ba6daf2d7eab5ed4.png

 

2. Второй вариант это когда отключено использовать шлюз по умолчанию и тогда я прописал маршрут:

 

route add 172.16.0.0 MASK 255.255.255.0 192.168.0.36 METRIC 1

 

Но к сожалению пока доступа нету...

 

Обратил внимание, что трафик (icmp) от 192.168.0.36 в сторону 172.16.0.0 уходит, на микромире это видно:

 

1429896650_2022-08-2812_45_47.thumb.png.f2bd75de70444ed6dbdad6866e290b37.png

 

195495032_2022-08-2812_46_50.thumb.png.2236aa68a69301fbe0ed631813a5d058.png

 

А вот обратно как будто тишина...

Share this post


Link to post
Share on other sites

AlexZhukov,

 

В 28.08.2022 в 12:47, AlexZhukov сказал:

Но к сожалению пока доступа нету...

OK, предположим плечо L2TP+IPSec с WINDOWS клиент работает.

 

С маршрутизатора "Офис1", проверьте связь до IP 172.16.0.4 (сервера), обязательно указав SOURCE IP адрес 192.168.0.1 (адрес плеча L2TP сервера).

И в противоположную сторону, от IP 172.16.0.4 (со стороны сервера), до IP 192.168.0.1 (адрес плеча L2TP сервера).

Нужно убедиться, что сети 172.16.0.0/24 и 192.168.0.0/24 доступны друг-другу, через "IPSec Site-To-Site".

Share this post


Link to post
Share on other sites

Совершенно верно!
Огромное спасибо, совершенно упустил, что политики для 192.168.0.0/24 со стороны Микротика не было, сейчас добавил и все заработало!

 

Еще раз большое спасибо!

1391653194_2022-08-2816_44_06.png.24515d9fb76160091076a919045f3a88.png

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.