[AlexZhukov]

Добрый день.

Ребята, прошу помочи разобраться!

Есть Микротик (RB1100AHx – Офис1) и виртуальный маршрутизатор в облачном решении (VK Cloud – Офис2).

Между ними настроен IPSec-туннель.

За виртуальным маршрутиком есть сервер (файловое хранилище)

Между офисами все работает нормально, но встала задача подключить к маршрутизатору в Офисе 1 пользователя через L2TP-VPN и как-то дать ему доступ к файловому серверу пробросив трафик через IPSEC-туннель

Подскажите это можно реализовать и как? 


Схему прилагаю (во вложении).
Спасибо!

 

 

[jffulcrum]

Manual:Interface/L2TP - MikroTik Wiki

[SUrov_IBM]

AlexZhukov, здравствуйте.

 

В 27.08.2022 в 18:06, AlexZhukov сказал:

Подскажите это можно реализовать

Да, реализовать можно.

 

Возможно, Вам поможет понимание - в VPN "IPSec Site-To-Site" ("чистый IPSec", что реализовано между "Офис1" - "Офис2") используется не классическая маршрутизация (route add маршрут -> gw), а маршрутизация до VPN IPSec Site (сторона IPSec) с указанием сети (или списка сетей), которые связывайся через VPN "IPSec Site-To-Site".

 

Плечо за маршрутизатором "Офис1", где у Вас используется L2TP VPN (даже, если там используется IPSec), воспринимайте как обычную IP сеть /24, пристыкованную к маршрутизатору. Для этого плеча, чтобы клиент L2TP подключался к маршрутизатору "Офис1",  Вам нужно будет настроить L2TP сервер и IPSec для протокола L2TP, но не запутайтесь, VPN "IPSec Site-To-Site" между офисами с одного плеча маршрутизатора "Офис1" и L2TP over IPSec с плеча для клиента - это резаные VPN соединения! ;)

[AlexZhukov]

Доброе утро!

У меня на данный момент настроен IPSec Site-To-Site между Офис1 и Офис 2

 

Офис 1:

 

Для сети 192.168.0.0/24 (которую используют клиенты L2TP) делал аналогичные правила как для forwrad, так и для nat

 

Офис 2:

 

Он функционирует нормально, доступы между сетями 10.7.1.0/24 и 172.16.0.0/24 есть

 

Но как только я подключаю клиента L2TP (использую форточку) к микротик, то этот клиент видит соответственно сеть 10.7.1.0/24 но ни как не хочет пролазить в сеть 172.16.0.0/24

 

Настройки L2TP (Офис 1):

 

В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены):

 

route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1

 

 

Изменено 28 августа, 2022 пользователем AlexZhukov

[SUrov_IBM]

AlexZhukov,

 

В 28.08.2022 в 08:01, AlexZhukov сказал:

В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены):

 

route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1

 

Про WINDOWS, если не ставится "маршрут по умолчанию (шлюз по умолчанию)" на L2TP соединение, то:

 

L2TP – это PPP (маршрутизация точка-точка, маска сети /32). При использовании PPP интерфейса, маршрутизация строиться не через адрес сервера (192.168.0.1), а через IP адрес, который получил виртуальный адаптер L2TP (192.168.0.xxx).

 

Поэтому статическая маршрутизация под Windows будет выглядеть так:

route add 192.7.1.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1

route add 172.16.0.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1

После этого, с Windows ПК должны быть доступны IP адреса 192.7.1.yyy и 172.16.0.yyy.

 

 

см. - 

 

[YuryD]

Нездоровый вопрос, если уж есть ipsec, то с секурностью и так все ладно. Строить внутри туннеля-туннели ? Что-то неладно с идеями в сети....

[AlexZhukov]

Да, у меня тут опечатка получилось...

 

Я все подретактировал, использовал 2 варианта как вы и писали:

 

1. Это использовать шлюз по умолчанию (тогда весь трафик уходит в VPN), у меня клиент получил адрес 192.168.0.36:

 

2. Второй вариант это когда отключено использовать шлюз по умолчанию и тогда я прописал маршрут:

 

route add 172.16.0.0 MASK 255.255.255.0 192.168.0.36 METRIC 1

 

Но к сожалению пока доступа нету...

 

Обратил внимание, что трафик (icmp) от 192.168.0.36 в сторону 172.16.0.0 уходит, на микромире это видно:

 

 

 

А вот обратно как будто тишина...

[SUrov_IBM]

AlexZhukov,

 

В 28.08.2022 в 12:47, AlexZhukov сказал:

Но к сожалению пока доступа нету...

OK, предположим плечо L2TP+IPSec с WINDOWS клиент работает.

 

С маршрутизатора "Офис1", проверьте связь до IP 172.16.0.4 (сервера), обязательно указав SOURCE IP адрес 192.168.0.1 (адрес плеча L2TP сервера).

И в противоположную сторону, от IP 172.16.0.4 (со стороны сервера), до IP 192.168.0.1 (адрес плеча L2TP сервера).

Нужно убедиться, что сети 172.16.0.0/24 и 192.168.0.0/24 доступны друг-другу, через "IPSec Site-To-Site".

[AlexZhukov]

Совершенно верно!
Огромное спасибо, совершенно упустил, что политики для 192.168.0.0/24 со стороны Микротика не было, сейчас добавил и все заработало!

 

Еще раз большое спасибо!

[SUrov_IBM]

AlexZhukov,

 

Да не за что, для это и есть форум. ;)

 

Удачи!

[Saab95]

А просто использовать протокол SSTP не вариант? Ничего делать не надо он сам все сделает.

[VolanD666]

Да почему вы сниффер то не используете?