AlexZhukov Posted August 27, 2022 Добрый день. Ребята, прошу помочи разобраться! Есть Микротик (RB1100AHx – Офис1) и виртуальный маршрутизатор в облачном решении (VK Cloud – Офис2). Между ними настроен IPSec-туннель. За виртуальным маршрутиком есть сервер (файловое хранилище) Между офисами все работает нормально, но встала задача подключить к маршрутизатору в Офисе 1 пользователя через L2TP-VPN и как-то дать ему доступ к файловому серверу пробросив трафик через IPSEC-туннель Подскажите это можно реализовать и как? Схему прилагаю (во вложении). Спасибо! Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted August 27, 2022 Manual:Interface/L2TP - MikroTik Wiki Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 27, 2022 AlexZhukov, здравствуйте. В 27.08.2022 в 18:06, AlexZhukov сказал: Подскажите это можно реализовать Да, реализовать можно. Возможно, Вам поможет понимание - в VPN "IPSec Site-To-Site" ("чистый IPSec", что реализовано между "Офис1" - "Офис2") используется не классическая маршрутизация (route add маршрут -> gw), а маршрутизация до VPN IPSec Site (сторона IPSec) с указанием сети (или списка сетей), которые связывайся через VPN "IPSec Site-To-Site". Плечо за маршрутизатором "Офис1", где у Вас используется L2TP VPN (даже, если там используется IPSec), воспринимайте как обычную IP сеть /24, пристыкованную к маршрутизатору. Для этого плеча, чтобы клиент L2TP подключался к маршрутизатору "Офис1", Вам нужно будет настроить L2TP сервер и IPSec для протокола L2TP, но не запутайтесь, VPN "IPSec Site-To-Site" между офисами с одного плеча маршрутизатора "Офис1" и L2TP over IPSec с плеча для клиента - это резаные VPN соединения! ;) Share this post Link to post Share on other sites More sharing options...
AlexZhukov Posted August 28, 2022 (edited) Доброе утро! У меня на данный момент настроен IPSec Site-To-Site между Офис1 и Офис 2 Офис 1: Для сети 192.168.0.0/24 (которую используют клиенты L2TP) делал аналогичные правила как для forwrad, так и для nat Офис 2: Он функционирует нормально, доступы между сетями 10.7.1.0/24 и 172.16.0.0/24 есть Но как только я подключаю клиента L2TP (использую форточку) к микротик, то этот клиент видит соответственно сеть 10.7.1.0/24 но ни как не хочет пролазить в сеть 172.16.0.0/24 Настройки L2TP (Офис 1): В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены): route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1 Edited August 28, 2022 by AlexZhukov Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 28, 2022 AlexZhukov, В 28.08.2022 в 08:01, AlexZhukov сказал: В форточке я прописываю маршрут для теста на сервер 172.16.0.4 (со стороны сервера точно все открыто и все firewall-ы выключены): route add 172.16.0.4 MASK 255.255.255.255 192.168.0.1 Про WINDOWS, если не ставится "маршрут по умолчанию (шлюз по умолчанию)" на L2TP соединение, то: L2TP – это PPP (маршрутизация точка-точка, маска сети /32). При использовании PPP интерфейса, маршрутизация строиться не через адрес сервера (192.168.0.1), а через IP адрес, который получил виртуальный адаптер L2TP (192.168.0.xxx). Поэтому статическая маршрутизация под Windows будет выглядеть так: route add 192.7.1.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1 route add 172.16.0.0 MASK 255.255.255.0 192.168.0.xxx METRIC 1 После этого, с Windows ПК должны быть доступны IP адреса 192.7.1.yyy и 172.16.0.yyy. см. - Share this post Link to post Share on other sites More sharing options...
YuryD Posted August 28, 2022 Нездоровый вопрос, если уж есть ipsec, то с секурностью и так все ладно. Строить внутри туннеля-туннели ? Что-то неладно с идеями в сети.... Share this post Link to post Share on other sites More sharing options...
AlexZhukov Posted August 28, 2022 Да, у меня тут опечатка получилось... Я все подретактировал, использовал 2 варианта как вы и писали: 1. Это использовать шлюз по умолчанию (тогда весь трафик уходит в VPN), у меня клиент получил адрес 192.168.0.36: 2. Второй вариант это когда отключено использовать шлюз по умолчанию и тогда я прописал маршрут: route add 172.16.0.0 MASK 255.255.255.0 192.168.0.36 METRIC 1 Но к сожалению пока доступа нету... Обратил внимание, что трафик (icmp) от 192.168.0.36 в сторону 172.16.0.0 уходит, на микромире это видно: А вот обратно как будто тишина... Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 28, 2022 AlexZhukov, В 28.08.2022 в 12:47, AlexZhukov сказал: Но к сожалению пока доступа нету... OK, предположим плечо L2TP+IPSec с WINDOWS клиент работает. С маршрутизатора "Офис1", проверьте связь до IP 172.16.0.4 (сервера), обязательно указав SOURCE IP адрес 192.168.0.1 (адрес плеча L2TP сервера). И в противоположную сторону, от IP 172.16.0.4 (со стороны сервера), до IP 192.168.0.1 (адрес плеча L2TP сервера). Нужно убедиться, что сети 172.16.0.0/24 и 192.168.0.0/24 доступны друг-другу, через "IPSec Site-To-Site". Share this post Link to post Share on other sites More sharing options...
AlexZhukov Posted August 28, 2022 Совершенно верно! Огромное спасибо, совершенно упустил, что политики для 192.168.0.0/24 со стороны Микротика не было, сейчас добавил и все заработало! Еще раз большое спасибо! Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 28, 2022 AlexZhukov, Да не за что, для это и есть форум. ;) Удачи! Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 28, 2022 А просто использовать протокол SSTP не вариант? Ничего делать не надо он сам все сделает. Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted August 29, 2022 Да почему вы сниффер то не используете? Share this post Link to post Share on other sites More sharing options...
