AlexZhukov Posted August 27, 2022 Posted August 27, 2022 Добрый день. Ребята, прошу помочи разобраться! Есть Микротик (RB1100AHx – Офис1) и виртуальный маршрутизатор в облачном решении (VK Cloud – Офис2). Между ними настроен IPSec-туннель. За виртуальным маршрутиком есть сервер (файловое хранилище) Между офисами все работает нормально, но встала задача подключить к маршрутизатору в Офисе 1 пользователя через L2TP-VPN и как-то дать ему доступ к файловому серверу пробросив трафик через IPSEC-туннель Подскажите это можно реализовать и как? Схему прилагаю (во вложении). Спасибо! Вставить ник Quote
jffulcrum Posted August 27, 2022 Posted August 27, 2022 Manual:Interface/L2TP - MikroTik Wiki Вставить ник Quote
SUrov_IBM Posted August 27, 2022 Posted August 27, 2022 AlexZhukov, здравствуйте. В 27.08.2022 в 18:06, AlexZhukov сказал: Подскажите это можно реализовать Да, реализовать можно. Возможно, Вам поможет понимание - в VPN "IPSec Site-To-Site" ("чистый IPSec", что реализовано между "Офис1" - "Офис2") используется не классическая маршрутизация (route add маршрут -> gw), а маршрутизация до VPN IPSec Site (сторона IPSec) с указанием сети (или списка сетей), которые связывайся через VPN "IPSec Site-To-Site". Плечо за маршрутизатором "Офис1", где у Вас используется L2TP VPN (даже, если там используется IPSec), воспринимайте как обычную IP сеть /24, пристыкованную к маршрутизатору. Для этого плеча, чтобы клиент L2TP подключался к маршрутизатору "Офис1", Вам нужно будет настроить L2TP сервер и IPSec для протокола L2TP, но не запутайтесь, VPN "IPSec Site-To-Site" между офисами с одного плеча маршрутизатора "Офис1" и L2TP over IPSec с плеча для клиента - это резаные VPN соединения! ;) Вставить ник Quote
AlexZhukov Posted August 28, 2022 Author Posted August 28, 2022 (edited) Доброе утро! У меня на данный момент настроен IPSec Site-To-Site между Офис1 и Офис 2 Офис 1: Для сети 192.168.0.0/24 (которую используют клиенты L2TP) делал аналогичные правила как для forwrad, так и для nat Офис 2: Он функционирует нормально, доступы между сетями 10.7.1.0/24 и 172.16.0.0/24 есть Но как только я подключаю клиента L2TP (использую форточку) к микротик, то этот клиент видит соответственно сеть 10.7.1.0/24 но ни как не хочет пролазить в сеть 172.16.0.0/24 Настройки L2TP (Офис 1): В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены): route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1 Edited August 28, 2022 by AlexZhukov Вставить ник Quote
SUrov_IBM Posted August 28, 2022 Posted August 28, 2022 AlexZhukov, В 28.08.2022 в 08:01, AlexZhukov сказал: В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены): route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1 Про WINDOWS, если не ставится "маршрут по умолчанию (шлюз по умолчанию)" на L2TP соединение, то: L2TP – это PPP (маршрутизация точка-точка, маска сети /32). При использовании PPP интерфейса, маршрутизация строиться не через адрес сервера (192.168.0.1), а через IP адрес, который получил виртуальный адаптер L2TP (192.168.0.xxx). Поэтому статическая маршрутизация под Windows будет выглядеть так: route add 192.7.1.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1 route add 172.16.0.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1 После этого, с Windows ПК должны быть доступны IP адреса 192.7.1.yyy и 172.16.0.yyy. см. - Вставить ник Quote
YuryD Posted August 28, 2022 Posted August 28, 2022 Нездоровый вопрос, если уж есть ipsec, то с секурностью и так все ладно. Строить внутри туннеля-туннели ? Что-то неладно с идеями в сети.... Вставить ник Quote
AlexZhukov Posted August 28, 2022 Author Posted August 28, 2022 Да, у меня тут опечатка получилось... Я все подретактировал, использовал 2 варианта как вы и писали: 1. Это использовать шлюз по умолчанию (тогда весь трафик уходит в VPN), у меня клиент получил адрес 192.168.0.36: 2. Второй вариант это когда отключено использовать шлюз по умолчанию и тогда я прописал маршрут: route add 172.16.0.0 MASK 255.255.255.0 192.168.0.36 METRIC 1 Но к сожалению пока доступа нету... Обратил внимание, что трафик (icmp) от 192.168.0.36 в сторону 172.16.0.0 уходит, на микромире это видно: А вот обратно как будто тишина... Вставить ник Quote
SUrov_IBM Posted August 28, 2022 Posted August 28, 2022 AlexZhukov, В 28.08.2022 в 12:47, AlexZhukov сказал: Но к сожалению пока доступа нету... OK, предположим плечо L2TP+IPSec с WINDOWS клиент работает. С маршрутизатора "Офис1", проверьте связь до IP 172.16.0.4 (сервера), обязательно указав SOURCE IP адрес 192.168.0.1 (адрес плеча L2TP сервера). И в противоположную сторону, от IP 172.16.0.4 (со стороны сервера), до IP 192.168.0.1 (адрес плеча L2TP сервера). Нужно убедиться, что сети 172.16.0.0/24 и 192.168.0.0/24 доступны друг-другу, через "IPSec Site-To-Site". Вставить ник Quote
AlexZhukov Posted August 28, 2022 Author Posted August 28, 2022 Совершенно верно! Огромное спасибо, совершенно упустил, что политики для 192.168.0.0/24 со стороны Микротика не было, сейчас добавил и все заработало! Еще раз большое спасибо! Вставить ник Quote
SUrov_IBM Posted August 28, 2022 Posted August 28, 2022 AlexZhukov, Да не за что, для это и есть форум. ;) Удачи! Вставить ник Quote
Saab95 Posted August 28, 2022 Posted August 28, 2022 А просто использовать протокол SSTP не вариант? Ничего делать не надо он сам все сделает. Вставить ник Quote
VolanD666 Posted August 29, 2022 Posted August 29, 2022 Да почему вы сниффер то не используете? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.