Настройка L2TP сервера

[qwerty123123]

Здравствуйте
Помогите разобраться с настройкой L2TP-сервера на mikrotik CCR1009-7G-1C-1S+
Есть три офиса - центральный и 2 филиала.

В центральном стоит mikrotik, в филиалах - kerio. Мне надо все три офиса объединить в одну сеть и настроить L2TP-сервер для удаленной работы из дома (при этом в роли центра и VPN-сервера выступает mikrotik в центральном офисе).

Первоначально был такой конфиг

 

/interface bridge
add name=Bridge_LAN_1

/interface bridge port
add bridge=Bridge_LAN_1 interface=ether2
add bridge=Bridge_LAN_1 interface=ether3
add bridge=Bridge_LAN_1 interface=ether4
add bridge=Bridge_LAN_1 interface=ether5
add bridge=Bridge_LAN_1 interface=ether6
add bridge=Bridge_LAN_1 interface=ether7

/interface ethernet
set [ find default-name=combo1 ] name=combo1_Prov1
set [ find default-name=ether1 ] name=ether1_Prov2

/interface list member
add interface=combo1_Prov1 list=WAN_List
add interface=ether1_Prov2 list=WAN_List
add interface=ether2 list=LAN_List
add interface=ether3 list=LAN_List
add interface=ether4 list=LAN_List
add interface=ether5 list=LAN_List
add interface=ether6 list=LAN_List
add interface=ether7 list=LAN_List
add interface=Bridge_LAN_1 list=LAN_List
add list=LAN_List

/interface list
add name=WAN_List
add name=LAN_List

/ip firewall connection tracking
set tcp-established-timeout=1h

/ip address
add address=100.100.100.20/23 interface=combo1_Prov1 network=100.100.100.0
add address=192.168.20.1/23 interface=Bridge_LAN_1 network=192.168.20.0

/ip firewall filter
add action=accept chain=input comment="Accept astablished & related" connection-state=established,related
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=drop chain=input comment="Drop WAN_List" in-interface-list=WAN_List
add action=accept chain=forward comment="Accept established & related" connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop WAN to LAN" connection-nat-state=!dstnat in-interface-list=WAN_List

/ip firewall nat
add action=src-nat chain=srcnat comment=Prov1 out-interface=combo1_Prov1 to-addresses=100.100.100.20

/ip route
add distance=1 gateway=100.100.100.20

Если кратко - порты combo и ether1 это 2 провайдера и объединены в WAN_LIST. Порты ether2-ether7 объединены в бридж и добавлены в LAN_LIST. Настроен нормально закрытый фаервол. Вроде бы все работает - по крайней мере тестовый компьютер, расположенный за микротом, в интернет ходит.

Добавляю в общую сеть офисы 2 и 3.
Для этого создаю свой PPP профиль и с ним активирую L2TP сервер.

 

/ppp profile
add change-tcp-mss=yes name=VPN_site-to-site use-encryption=required use-upnp=no

/interface l2tp-server server
set authentication=mschap2 default-profile=VPN_site-to-site enabled=yes ipsec-secret="L2TP_PASS" use-ipsec=required

После этого vpn-туннель (тип IPsec) со стороны обоих kerio переходит в статус "Подключен", а в микроте в разделе IP - IPsec - Active Peers появляются 2 подключения.
Но надо еще добавить

 

/ip firewall filter
add action=accept chain=forward comment="L2TP Office 3 to Office 1" dst-address=192.168.20.0/23 src-address=192.168.80.0/23
add action=accept chain=forward comment="L2TP Office 2 to Office 1" dst-address=192.168.20.0/23 src-address=192.168.40.0/23

перед последним правилом, чтобы ПК в офисах 2 и 3 могли видеть ПК в центральном офисе и

 

/ip firewall nat
add action=accept chain=srcnat comment="L2TP Office 3 to Office 1" dst-address=192.168.80.0/23 src-address=192.168.20.0/23
add action=accept chain=srcnat comment="L2TP Office 2 to Office 1" dst-address=192.168.40.0/23 src-address=192.168.20.0/23

чтобы ПК в центральном офисе видели ПК в офисах 2 и 3

Подключаю VPN-клиентов.
Для этого создаю пользователя

 

/ppp secret
add local-address=10.10.10.1 name=vpn_user password="l2tp_user_pass" profile=VPN_site-to-site remote-address=10.10.10.2 service=l2tp

Создаю на смартфоне VPN-соединение:

 

Тип - L2TP/IPsec PSK
Адрес сервера = 100.100.100.20
Общий ключ IPsec - L2TP_PASS (его я указал при активации L2TP сервера и kerio с ним успешно подключаются)
Имя пользователя - vpn_user (секция ppp secret)
Пароль - l2tp_user_pass (секция ppp secret)

И подключение не создается - сбой
И в стандартных логах пусто (critical, error, info,warning), хотя при подключении с kerio записи в логах есть.
И вообще - можно ли на одном микроте одновременно создавать подключения L2TP типа site-to-site и client-to-site? Или надо выбрать разные виды VPN?

А вторая проблема заключается в том, что с микрота не проходят пинги в сторону филиалов - timeout (хоть на kerio, хоть на ПК за ними).

Где я ошибся в настройках?
Спасибо

[xvo]

Пинги не ходят, вероятно потому что в firewall'ах на kerio у вас ничего их разрешающего нет.
Они же в туннель уходят с туннельного адреса микротика, а не с какого-то из смотрящих в локалку.

Например на самом микроте логичнее вообще в firewall'е поменять все правила касательно туннелей на три правила:
- разрешать все из локалки в туннели;
- разрешать все из туннелей в локалку;
- разрешать все из туннелей в туннели.

Касательно того, почему не подключаются мобильные клиенты - если в логах пусто, значит надо смотреть что там со со стороны клиента.
Разумеется, никаких ограничений на то, что именно за клиенты будут подключаться к серверу, нет.

[qwerty123123]

По поводу того, что не ходят пинги с микротика. Я создал на kerio правило "разрешить любой источник, любое назначение, любая служба" и размеcтил его первым, пинги с микротика все равно не идут.

По поводу туннелей. Я правильно понимаю - когда между керио и микротиком будет установлена связь, то на микротике в разделе Interfces-Interface должен появиться новый интерфейс, в который я и должен завернуть трафик между сетями? Так у меня нет новых интерфейсов при соединении с керио. У меня изначально трафик из офисов 2 и 3 в офис 1 резался правилом

Код: Выделить всё

;;; Drop WAN to LAN
      chain=forward action=drop connection-nat-state=!dstnat in-interface-list=WAN_List log=no log-prefix="" 

По поводу подключения прочих VPN-клиентов к L2TP-серверу на микротике. Я нашел ошибку - неправильно прописал правила, разрешающие L2TP-соединения, IKE и IPsec. После исправления получилось так:

 

/ip firewall filter
add action=accept chain=input comment="L2TP server" dst-port=1701 protocol=udp
add action=accept chain=input comment=IKE dst-port=500,4500 protocol=udp
add action=accept chain=input comment="Allow ipsec-esp" protocol=ipsec-esp
add action=accept chain=input comment="Allow ipsec-ah" protocol=ipsec-ah

Пока вроде бы работает.

И еще.
Если в свойствах PPP-профиля указать IP-адрес (или пул адресов) и в свойствах пользователя (в PPP Secrets) указать IP-адреса, то у кого приоритет выше? IP-адрес клиент получит по профилю или по пользователю?
Спасибо

[xvo]

Если у вас l2tp используется - должны быть новые интерфейсы при установлении туннеля.
Но вообще для site-to-site лучше сделать статические binding’и.

Приоритет так возрастает:
Дефолтный профиль для сервера -> профиль для пользователя -> настройки в самом пользователе.

[qwerty123123]

Со стороны mikrotik задействован L2TP сервер, но новых туннелей нет :(
При настройке соединения со стороны mikrotik я создал PPP-профиль, в котором требую шифрование и включил L2TP сервер с этим профилем и требованием шифрования.
Со стороны kerio создал VPN-туннель типа IPsec, в котором указывается внешний адрес mirotik, пароль IPsec (как при включении L2TP сервера на mikrotik) и адреса удаленных и локальных сетей.
Все - после этого связь между kerio и mikrotik устанавливается, но нового интерфейса в PPP - Interface не создается. Это что в итоге - L2TP с IPsec или чистый IPsec?

[xvo]

Так у вас получается со сторны kerio только ipsec, он и устанавливается.
А нужен l2tp шифрованный ipsec’ом.