VPN для пользователей

[Apo]

Добрый день,

Вот такая схема сети, микротики подключены через L2TP + IPsec. с Керио соединение через L2TP.

В планах от Керио вообще уходить, потихоньку меняем, но вот проблема возникла, VPN щас идет через ЦентральныйКерио на схеме 11.0/24, всю сетку видно и за микротиками тоже.

А вот когда я создаю подключение на ЦентральномМикротике 200.0/24
У меня весь трафик инет идет через этот микротик, и сеть не пингуется.

создал профиль, потом пользователя
/ppp profile
add change-tcp-mss=yes local-address=10.0.101.1 name=VPN-user remote-address=\
VPN-pool

add name=test1 password=test1 profile=VPN-user service=l2tp

Подключась с компа, выбираю l2tp/ipsec с ключом, все ввожу. Подключаюсь. Вижу что весь траффик идет через микротик, и сетки не вижу. Так и не понял какие там нужно маршруты сделать.

 /ip route

/ip route
add distance=1 gateway=78.155.XXXXX
add distance=1 dst-address=10.XXX.XX.XX/24 gateway=kerio11
add distance=1 dst-address=192.168.10.0/24 gateway=kerio11
add check-gateway=ping distance=1 dst-address=192.168.11.0/24 gateway=kerio11
add distance=1 dst-address=192.168.19.0/24 gateway=kerio11
add distance=1 dst-address=192.168.20.0/24 gateway=kerio11
add distance=1 dst-address=192.168.21.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.22.0/24 gateway=mik22
add distance=1 dst-address=192.168.23.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.26.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.27.0/24 gateway=kerio11
add distance=1 dst-address=192.168.29.0/24 gateway=kerio11
add distance=1 dst-address=192.168.30.0/24 gateway=kerio11
add distance=1 dst-address=192.168.31.0/24 gateway=kerio11
add distance=1 dst-address=192.168.32.0/24 gateway=kerio11
add distance=1 dst-address=192.168.33.0/24 gateway=mik33
add distance=1 dst-address=192.168.35.0/24 gateway=kerio11
add check-gateway=ping distance=1 dst-address=192.168.38.0/24 gateway=mik38
add distance=1 dst-address=192.168.40.0/24 gateway=kerio11
add distance=1 dst-address=192.168.41.0/24 gateway=kerio11
add distance=1 dst-address=192.168.42.0/24 gateway=kerio11
add distance=1 dst-address=192.168.43.0/24 gateway=kerio11
add distance=1 dst-address=192.168.44.0/24 gateway=mik44
add distance=1 dst-address=192.168.46.0/24 gateway=mik46
add check-gateway=ping distance=1 dst-address=192.168.49.0/24 gateway=mik49
add distance=1 dst-address=192.168.62.0/24 gateway=kerio11
add distance=1 dst-address=192.168.89.0/24 gateway=kerio11
add distance=1 dst-address=192.168.90.0/24 gateway=kerio11
add distance=1 dst-address=192.168.92.0/24 gateway=kerio11
add distance=1 dst-address=192.168.94.0/24 gateway=kerio11
add distance=1 dst-address=192.168.95.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.96.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.99.0/24 gateway=kerio11
add distance=1 dst-address=192.168.100.0/24 gateway=kerio11
add distance=1 dst-address=192.168.101.0/24 gateway=kerio11
add distance=1 dst-address=192.168.102.0/24 gateway=kerio11
add distance=1 dst-address=192.168.104.0/24 gateway=kerio11
add distance=1 dst-address=192.168.105.0/24 gateway=kerio11
add distance=1 dst-address=192.168.108.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.111.0/24 gateway=kerio11
add distance=1 dst-address=192.168.112.0/24 gateway=kerio11
add distance=1 dst-address=192.168.115.0/24 gateway=kerio11
add distance=1 dst-address=192.168.150.0/24 gateway=kerio11
add distance=1 dst-address=192.168.208.0/24 gateway=MT-TUNNEL
add distance=1 dst-address=192.168.230.0/24 gateway=kerio11

 /ip firewall filter

#
/ip firewall filter
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC L2TP" dst-port=1701,500,4500 in-interface=ether1 protocol=udp
add action=accept chain=input in-interface=ether1 protocol=ipsec-esp
add action=drop chain=input comment=Port_scanner_drop src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp psd=\
21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=drop chain=input comment=Drop_winbox_black_list dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list address-list-timeout=5m chain=input comment=Winbox_add_black_list connection-state=\
new dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=Winbox_Ssh_stage3
add action=add-src-to-address-list address-list=Winbox_Ssh_stage3 address-list-timeout=1m chain=input comment=Winbox_Ssh_stage3 \
connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=Winbox_Ssh_stage2
add action=add-src-to-address-list address-list=Winbox_Ssh_stage2 address-list-timeout=1m chain=input comment=Winbox_Ssh_stage2 \
connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=Winbox_Ssh_stage1
add action=add-src-to-address-list address-list=Winbox_Ssh_stage1 address-list-timeout=1m chain=input comment=Winbox_Ssh_stage1 \
connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp
add action=accept chain=input comment=Accept_Winbox_Ssh dst-port=5323,5324 in-interface=ether1 protocol=tcp
add action=drop chain=input comment=Bogon_Wan_Drop in-interface=ether1 src-address-list=BOGON
add action=accept chain=input comment=Established_Wan_Accept connection-state=established
add action=accept chain=input comment=Related_Wan_Accept connection-state=related
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp

схема сети.

[algerka]

вы слишком сумбурно описали. если в общем, то я бы попробовал поработать над distance для маршрутов, а то, что-то шлюз по умолчанию и локальные подсети с одной метрикой у вас. Думаю достаточно будет distance поменять у шлюза по умолчанию на 5.

Ну лучше сделать красивее что-то типа:

Код: Выделить всё

/ip route
add distance=2 dst-address=192.168.21.0/24 gateway=MT-TUNNEL
add distance=2 dst-address=192.168.23.0/24 gateway=MT-TUNNEL
add distance=2 dst-address=192.168.26.0/24 gateway=MT-TUNNEL
add distance=3 dst-address=192.168.0.0/16 gateway=kerio11
add distance=5 gateway=78.155.202.153

Заметьте вся сеть 192.168.0.0/16 на керио идет с метрикой 3, а те подсети которые переводите на МТ уже отдельным правилом и с метрикой 2, а шлюз по умолчанию с 5.

Ну и check-gateway, я надеюсь, вы понимаете для чего используете.

[Apo]

вы слишком сумбурно описали. если в общем, то я бы попробовал поработать над distance для маршрутов, а то, что-то шлюз по умолчанию и локальные подсети с одной метрикой у вас. Думаю достаточно будет distance поменять у шлюза по умолчанию на 5.

Ну лучше сделать красивее что-то типа:

Код: Выделить всё

/ip route
add distance=2 dst-address=192.168.21.0/24 gateway=MT-TUNNEL
add distance=2 dst-address=192.168.23.0/24 gateway=MT-TUNNEL
add distance=2 dst-address=192.168.26.0/24 gateway=MT-TUNNEL
add distance=3 dst-address=192.168.0.0/16 gateway=kerio11
add distance=5 gateway=78.155.202.153

Заметьте вся сеть 192.168.0.0/16 на керио идет с метрикой 3, а те подсети которые переводите на МТ уже отдельным правилом и с метрикой 2, а шлюз по умолчанию с 5.

Ну и check-gateway, я надеюсь, вы понимаете для чего используете.

спасибо попробую.

чек гейтвей отключил.

[Apo]

Чтобы тему не плодить, вопрос такой,
в течении месяца работало все хорошо и сегодня в одной из клиник 44.0/24 перестала открываться почта керио по 80 порту, по 443 открывается. При чем ни каких изменений не было. Везде открывается, а из этой подсети нет.

Трассировка маршрута к mail.XXXXXXX.info [192.168.41.210]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс router.lan [192.168.44.1]
2 3 ms 3 ms 3 ms 10.0.100.200
3 5 ms 6 ms 5 ms 10.0.100.11
4 13 ms 13 ms 11 ms 172.26.79.1
5 13 ms 14 ms 14 ms mail.XXXXXXX.info [192.168.41.210]

почта керио находится за Kerio control, изменений так же там не было.

Как можно продиагностировать?

[algerka]

При чем ни каких изменений не было. Везде открывается, а из этой подсети нет.
Как можно продиагностировать?

Чудес не бывает! Если бы за каждое "никто ничего не трогал" я бы получал по рублю.....
Ищите где закрыт или кем-то используется 80 порт по пути от 44.0/24.
Проверить можно, например, подключившись телнетом из этой сети на 80 порт почтовика. Включайте логирование и отладку и смотрите.

[Kato]

Apo, а с чего решили, что виноват Микротик?

[Apo]

Apo, а с чего решили, что виноват Микротик?

предположил, так как до этого стоял керио 2 года, месяц микротик работал, по логам изменений не увидел, и не могу попасть на почту... по 80 порту.