LINUX.ORG.RU
ФорумAdmin

L2TP VPN сервер на базе Mikrotik

 , , ,


0

2

У меня получилось соединиться с Mikrotik и я могу пинговать интерфейсы самого роутера.

Но в локальную сеть меня не пускает.

На клиенте я добавил маршрут где искать сеть 192.168.88.0/24 и у меня начал отвечать адрес 192.168.88.1, это шлюз локальной сети в которую я хочу попасть.

С компьютера 192.168.88.10 (в целевой сети) я запустил ping на 1.1.1.254 (адрес клиента VPN), и с клиента (1.1.1.254) запустил ping на адрес 192.168.88.10.

На интерфейсах l2tp-kpp (это появившийся интерфейс VPN) я вижу пакеты только в одну сторону, в ответ ничего не приходит. На интерфейсе bridge-local я вижу пакеты в сторону VPN клиента но и тут нет ответа.

На обоих концах фаерволы отключены (на время отладки).

Как мне разрешить ход с одного интерфейса на другой?

Какой маршрут добавить или правило фильтрации?

Сам пока плохо понимаю что нужно сделать. Понимаю только что и маршрут нужны и правило...

создал в Filters 2 правила с Accept.

Одно src. 192.168.88.0/24 dst. 1.1.1.0/24

Другое src. 1.1.1.0/24 dst. 192.168.88.0/24

По обоим идет траффик.

Shulman ()

Всегда рисуй схему, когда не понимаешь что надо.

Приводи примеры конфига что ты настроил на клиенте и роутере? Ты запустил пинг так и каков результат? Он прошел или нет?

Интереса ради попробуй добавить на роутере маршрут в локальную сеть клиента через л2тп интерфейс. ИЛИ Попробуй настроить нат из локальной сети на л2тп интерейс на роутере.

 chain=srcnat action=masquerade src-address=172.21.0.0/24 
      out-interface=l2tp_1 log=no log-prefix=""

Так же есть в tools утилита torch юзай чтобы увидеть какой трафик куда льётся.

dzirtt ()

Так же если ты под виндой, пробуй пинговать внутренний ресурс с указанием ип источника

ping ип_локалки_за_роутером -S ип_л2тп_интерфейса клиента

Если прокатит, значит твой клиент работает через л2тп туннуль со своего локального ип а не с ип туннеля. Тогда либо настраивать нат роутере либо добавлять маршрут в клиентскую сеть.

dzirtt ()
Ответ на: комментарий от dzirtt

Да, torch удобная утилита.

В общем трафик идет на интерфейсах. но потом исчезает.

Дело в том, что судя по всему клиент посылает пакеты правильно, по VPN туннелю.

Потому что на микротике есть его запросы.

Почему тарфик не переходит с интерфейса на интерфейс...

Shulman ()

На eth интерфейсах, которые в локальную сеть смотрят включи proxy-arp ну и firewall, маршруты - это думаю очевидное)

Deleted ()
Ответ на: комментарий от Shulman

точто всё ходит через туннель и так ясно, маршруты то есть. Смотри в торче адрес источника когда пингуешь с клиента нечно в локалке роутера. Или сделай что я предлогал, короче.

dzirtt ()
Ответ на: комментарий от Deleted

По маршрутам, клиент знает где искать 192.168.88.0/24, на микротик есть все маршруты.

Прокси-арп включил, остается получается только фаервол.

Буду думать...

Shulman ()
Ответ на: комментарий от Shulman

Вообще идея использовать в частной ЛВС публичные адреса попахивает извратом. Потому что потом придется городить какой-нибудь NAT чтобы состыковать это с нормальными сетями.

Не, если ты эту подсеть привел как пример чтобы просто не палить реальные адреса - тогда окей...

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Скажем так, в документации к VipNet написано что для того чтобы не пересекаться с частными адресами рекомендуется использовать белые адреса, зарезервированные для, например, американских военных.

Ну если VipNet можно, чому нам то нельзя?

Вообще да, пока такие, там будет видно, у меня на Vpn будет всего 5 человек. Переделать всегда можно.

Shulman ()
Ответ на: комментарий от Shulman

Эти адреса не находятся в диапазоне зарезервированном для нужд ЛВС. Трассировку сделай на 1.1.1.1 например, увидишь куда тик шлет пакеты. Что-то мне подсказывает, что это будет для тебя неожиданным откровением.

digitaldark ()
Ответ на: комментарий от digitaldark
C:\Users\User>tracert 1.1.1.1

Трассировка маршрута к 1.1.1.1 с максимальным числом прыжков 30

  1     2 ms     1 ms     1 ms  router.asus.com [192.168.10.1]
  2     2 ms     1 ms     1 ms  192.168.88.1
  3     1 ms     2 ms     1 ms  x.y.z.x
  4    18 ms    18 ms    17 ms  static-65-16-60-37.metrosg.ru [37.60.16.65]
  5    19 ms    20 ms    20 ms  195.218.253.241
  6    51 ms    50 ms    51 ms  pe05.kk12.moscow.gldn.net [79.104.225.15]
  7    91 ms   101 ms    90 ms  be10.tf01-02.moscow.gldn.net [81.211.45.63]
  8    83 ms    82 ms    83 ms  195.89.97.214
  9     *        *        *     Превышен интервал ожидания для запроса.
 10     *        *        *     Превышен интервал ожидания для запроса.
 11     *        *        *     Превышен интервал ожидания для запроса.
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.
 19     *        *        *     Превышен интервал ожидания для запроса.
 20     *        *        *     Превышен интервал ожидания для запроса.
 21     *        *        *     Превышен интервал ожидания для запроса.
 22     *        *        *     Превышен интервал ожидания для запроса.
 23     *        *        *     Превышен интервал ожидания для запроса.
 24     *        *        *     Превышен интервал ожидания для запроса.
 25     *        *        *     Превышен интервал ожидания для запроса.
 26     *        *        *     Превышен интервал ожидания для запроса.
 27     *        *        *     Превышен интервал ожидания для запроса.
 28     *        *        *     Превышен интервал ожидания для запроса.
 29     *        *        *     Превышен интервал ожидания для запроса.
 30     *        *        *     Превышен интервал ожидания для запроса.

Трассировка завершена.
Shulman ()
Ответ на: комментарий от Shulman

Вот и ответ на твой вопрос. Сделай подсеть 10.10.10.0/24 и не извращайся.

digitaldark ()
Ответ на: комментарий от Pinkbyte
IP	1.1.1.1
Хост:	 1.1.1.1
Город:	 Research
Страна:	 Australia
IP диапазон:	 1.0.0.0 - 1.255.255.255
CIDR:	 1.0.0.0/8
Название провайдера:	 IPv4 address block not managed by the RIPE NCC

Несколько лет назад я слышал, что это адреса американских вояк, а значит никогда ему не понадобятся.

anonymous ()
Ответ на: комментарий от Shulman

в документации к VipNet
VipNet

Тот случай когда «не читал, но осуждаю» оправдан

Ну если VipNet можно, чому нам то нельзя?

Если копрофилам нравится говно, почему же остальным не хочется его есть? Аналогия понятна?

Вообще да, пока такие, там будет видно, у меня на Vpn будет всего 5 человек. Переделать всегда можно.

Дело твоё. Я сторонник идеи «лучше день потерять, потом за 5 минут долететь». Всмысле чем реже что-то переделывать - тем лучше.

Pinkbyte ★★★★★ ()
Ответ на: комментарий от anonymous

Да я ж не спорю, можно и зарезервированные диапазоны брать, да хоть 8.8.8.8, если не планируешь использовать DNS-ы гугла, делов-то. Технически это возможно. Но не всё технически возможное стоит РЕАЛИЗОВЫВАТЬ.

Pinkbyte ★★★★★ ()

Традиционно. Клиенты случайно не винда? Если да, то копай в сторону их fw/антивирей/etc.

anc ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Назови мне хоть один компьютер где используется 1.1.1.0/24.

А 10.0.0.0/8 используется по моей памяти в двух школах. В нашей сети випнет используется 11.0.0./16. И это не я ее так построил, а сертефицированные спецы.

Опять линуксовый админ кинулся доказывать свою исключительность. Видите ли все кругом жрут говно, один он д'артаньян.

Ты по теме можешь что предложить?

Я то проблему решил, А ты?

Shulman ()
Ответ на: комментарий от Shulman

А 10.0.0.0/8 используется по моей памяти в двух школах.

Не, ну че, видимо очень крупные школы.

В нашей сети випнет используется 11.0.0./16. И это не я ее так построил, а сертефицированные спецы.

Сертифицированные кем? DoD? Ну тогда возможно.
NetRange: 11.0.0.0 - 11.255.255.255
CIDR: 11.0.0.0/8
NetName: DODIIS
NetHandle: NET-11-0-0-0-1
Parent: ()
NetType: Direct Allocation
OriginAS:
Organization: DoD Network Information Center (DNIC)

anc ★★★★★ ()
Ответ на: комментарий от Shulman

Я вообще-то, на минуточку, в провайдере работаю. Ты думаешь мне такие идеи в голову не приходили? Приходили по началу, чего уж тут скрывать.

Нормальный адресный план, на крайняк правильно реализованный NAT или NETMAP - это всё фигня. И стандарты для лохов, а ты - самый умный. Так ведь, да?

Подсказка: есть выделенная IANA подсеть 100.64.0.0/10. Которая является shared, а не private address space.

Но конечно проще всего хапнуть неиспользуемый блок адресов и молится что его никогда никому не дадут. Метод Скарлет о'Хара(«Я подумаю об этом завтра») во всей красе

Pinkbyte ★★★★★ ()
Ответ на: комментарий от anc

Так одни плюсы же такого делания через жопу - не надо думать об адресации и пользователи никогда не достучатся до сетей клятого минобра США. Двойной удар скрепами!

Pinkbyte ★★★★★ ()
Ответ на: комментарий от digitaldark

Светочи отечественной криптографии, сертефицированные ФСБ тренеры из Infotecs.

Я почему и ссылаюсь на них как на авторитетных спецов, что и учили их и сертификаты выдавали спецы с фээсбэшными корочками.

А так да, до этого был уверен, что адресация должна быть как в книге по Cisco, но у нас свои стандарты. И сети DOD не нужны русским защищенным сетям.

Shulman ()
Ответ на: комментарий от Shulman

Ну тогда и оборудование должно быть от ФСБ и СВР. И Софт. Что ж вы пользуетесь вражескими не скрепными Микротиками?

Астра-линукс на Эльбрусах ваше фсьо.

И это не сарказм.

digitaldark ()
Ответ на: комментарий от digitaldark

Предположим ты меня убедил, и я перееду на сеть 10.10.0.0/16.

Но тогда высока вероятность что где то я поймаю конфликт с локалкой.

Не будет тут универсального решения!!!

Shulman ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.