Настройка VPN между Mikrotik и телефоном.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
timofey
- Сообщения: 16
- Зарегистрирован: 30 сен 2018, 10:18
Хочу настроить l2tp-туннель между телефоном на андроид и микротике. Схема такая: Микротик-adsl модем PPPoE-интернет. А телефон к интернету будет подключаться по мобильной сети. Так вот сколько я не пытался, у меня нет коннекта. Даже сам микротик к своему vpn не подключается. Мне кажется, что дело в ADSL-модеме. Может быть он как-то мешает? Знаю, что можно его настроить как бридж и подключатся по PPPoE к провайдеру с микротика сразу, но мне это не подходит. Как мне сделать, чтобы все работало? Сразу говорю, я практически новичок в микротике.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
!!! Ваша тема перенесена в другую рубрику, для Начинающих !!!timofey писал(а): ↑06 апр 2019, 10:56 Хочу настроить l2tp-туннель между телефоном на андроид и микротике. Схема такая: Микротик-adsl модем PPPoE-интернет. А телефон к интернету будет подключаться по мобильной сети. Так вот сколько я не пытался, у меня нет коннекта. Даже сам микротик к своему vpn не подключается. Мне кажется, что дело в ADSL-модеме. Может быть он как-то мешает? Знаю, что можно его настроить как бридж и подключатся по PPPoE к провайдеру с микротика сразу, но мне это не подходит. Как мне сделать, чтобы все работало? Сразу говорю, я практически новичок в микротике.
1) Во-первых, Вы бы хотя бы основы сетей прочитали.
Как Вы хотите сделать ВПН, если оба устройства не могут быть видны с Интернета?
То есть чтобы оказаться в ресторане, Вам надо знать адрес ресторана и он должен быть
реальный. Ваш ВПН -сервер имеет адрес? Он публичный с Интернета? (реальный)
2) Мне очень интересна фраза Ваша " сам микротик к своему ВПНу не смог подключиться",
очень бы хотел чтобы Вы подробно рассказали что и как Вы делали
3) Не совсем понял логики, почему Вам не выгодно чтобы РРРоЕ был на микротике, прошу именно
на этот вопрос ответить.
Вот тема, похожа на Вашу, viewtopic.php?f=1&t=9917
Прочтите её, внимательно, там лёгкий экскурс что такое доступ, адреса и так далее.
Потом жду от Вас более детальный ответов и вопросов, хотя после статьи,
процентов 85% сразу должно быть понятно
-
timofey
- Сообщения: 16
- Зарегистрирован: 30 сен 2018, 10:18
Это обязательно, чтобы они были напрямую в интернет подключены? Адрес не публичный.1) Во-первых, Вы бы хотя бы основы сетей прочитали.
Как Вы хотите сделать ВПН, если оба устройства не могут быть видны с Интернета?
То есть чтобы оказаться в ресторане, Вам надо знать адрес ресторана и он должен быть
реальный. Ваш ВПН -сервер имеет адрес? Он публичный с Интернета? (реальный)
Настраивал микротик как клиент к своему же VPN. Если же все правильно настроено, должно подключаться, нет?2) Мне очень интересна фраза Ваша " сам микротик к своему ВПНу не смог подключиться",
очень бы хотел чтобы Вы подробно рассказали что и как Вы делали
На микротике мне не будет хватать lan-портов, конечно, можно купить коммутатор, но это деньги.3) Не совсем понял логики, почему Вам не выгодно чтобы РРРоЕ был на микротике, прошу именно
на этот вопрос ответить.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) ВПН-это служба, это сервис, чтобы ею воспользоваться - надо к ней подключиться.
Чтобы подключиться, надо чтобы ВПН-служба была доступна с Интернета,
значит у ВПН службы должен быть реальный (публичный) адрес,
так как ВПН делается на Микротике = значит адрес должен быть на микротике,
так как адрес внешний(от провайдера) появляется обычно на РРРоЕ интерфейсе,
то значит РРРоЕ должен быть также на микротике.
2) Я так и не могу Вас понять..как Вы настраивали ВПН-клиента внутри микротика
для подключения к ВПН-серверу микротика?
3) И на счёт портов, напомните мне, ибо я давно уже не использую xDSL-технологию,
но на сколько я знаю, у модемов xDSL обычно 1 порт, и всё ?
3.1) Также опишите, какой у Вас роутер (микротик я имею ввиду какая модель) и сколько у
Вас потребителей?
3.2) Обычно если требуется умное управления, контроллировать подключение,
делать пробросы, иметь реальный адрес и ряд других моментов, то только роутер
может это делать и адрес реальный и подключение к провайдеру он должен делать.
Модем xDSL это коробка для связи, она тупая, и как я уже дважды Вам показываю
на основе сетевых знаний = Ваши желания, не делая как правильно и как положено
не получиться сделать.
И как Вам не хватает портов? Если у Вас 2-3 телевизора и 3 компа то да, но тогда
проще купить свитч настольный за 400-800 руб. и туда подключить мелкие устройства,
теже телевизоры, и так далее, а уже свитч одним проводом в роутер микротик.
Ещё раз, я не хочу вытягивать информацию, мы на техническром форуме,
где описание Вашей сети, кто провайдер, сколько портов, как подключено,
сколько клиентов, какой роутер модели, и прочее....
Представьте что Вы у терапевта = рассказывайте, но с цифрами, с деталями.
Чтобы подключиться, надо чтобы ВПН-служба была доступна с Интернета,
значит у ВПН службы должен быть реальный (публичный) адрес,
так как ВПН делается на Микротике = значит адрес должен быть на микротике,
так как адрес внешний(от провайдера) появляется обычно на РРРоЕ интерфейсе,
то значит РРРоЕ должен быть также на микротике.
2) Я так и не могу Вас понять..как Вы настраивали ВПН-клиента внутри микротика
для подключения к ВПН-серверу микротика?
3) И на счёт портов, напомните мне, ибо я давно уже не использую xDSL-технологию,
но на сколько я знаю, у модемов xDSL обычно 1 порт, и всё ?
3.1) Также опишите, какой у Вас роутер (микротик я имею ввиду какая модель) и сколько у
Вас потребителей?
3.2) Обычно если требуется умное управления, контроллировать подключение,
делать пробросы, иметь реальный адрес и ряд других моментов, то только роутер
может это делать и адрес реальный и подключение к провайдеру он должен делать.
Модем xDSL это коробка для связи, она тупая, и как я уже дважды Вам показываю
на основе сетевых знаний = Ваши желания, не делая как правильно и как положено
не получиться сделать.
И как Вам не хватает портов? Если у Вас 2-3 телевизора и 3 компа то да, но тогда
проще купить свитч настольный за 400-800 руб. и туда подключить мелкие устройства,
теже телевизоры, и так далее, а уже свитч одним проводом в роутер микротик.
Ещё раз, я не хочу вытягивать информацию, мы на техническром форуме,
где описание Вашей сети, кто провайдер, сколько портов, как подключено,
сколько клиентов, какой роутер модели, и прочее....
Представьте что Вы у терапевта = рассказывайте, но с цифрами, с деталями.
-
andrey.nekto
- Сообщения: 1
- Зарегистрирован: 22 сен 2022, 09:04
Согласен.ВПН-это служба, это сервис, чтобы ею воспользоваться - надо к ней подключиться.
Обязательно ли ? Не соглашусь с Вами. Вы вводите людей в заблуждение.Чтобы подключиться, надо чтобы ВПН-служба была доступна с Интернета
-
lemark710
- Сообщения: 4
- Зарегистрирован: 04 июл 2022, 13:38
Всем добрый день.
Буду благодарен если подскажите.
Микротик1 на нем поднят l2tp ipsec с белым ip. Все ip клиентов прописаны в ручную локалный 50,50,50,1 удаленный 50.50.50.10 ну и т.д.
Почти все подключения по l2tp настроены как микротикN к микроту1 создана локалка, клиенты впн в фаерволе могут ходить только на два определенных Ip в локалке микрота1 локалка в 192.168.1.0/24 все организовано в фаерволе правилами forward input и foraward drop с используемым листами доступа ip.
В случае локалки все работает как нужно. Все машины удаленые видят два Ip по определенным портам, а эти две машины видят все компы удаленные. (интернет через впн не гуляет)
Теперь понадобилось одного клиента с телефона билайн через впн пустить в интернет.
у клиента Ip по впн 50,50,50,10 интерфейс l2tp_vpn в сервербиндинг прописан, соединение vpn есть, трафик глуляет.
создаю правило в NAT scrnat src adres 50.50.50.10 на актион масгарад
Далее в route создаю маршур 0,0,0,0 шлюз l2tp_vpn дистанци 1 помимо созданного маршрута автоматом 50,50,50,50 шлюз l2tp_vpn локал адрес 50,50,50,1
Пробовал через мангл маркирвоать трафик HTTP
Пробовал прописывать маршруты через маркировку трафика.
Но на телефоне интернет не заводится.
Причем вижу как с телефона идут запросы, соединение впн есть. А интернета нет совсем.
Буду благодарен если подскажите.
Микротик1 на нем поднят l2tp ipsec с белым ip. Все ip клиентов прописаны в ручную локалный 50,50,50,1 удаленный 50.50.50.10 ну и т.д.
Почти все подключения по l2tp настроены как микротикN к микроту1 создана локалка, клиенты впн в фаерволе могут ходить только на два определенных Ip в локалке микрота1 локалка в 192.168.1.0/24 все организовано в фаерволе правилами forward input и foraward drop с используемым листами доступа ip.
В случае локалки все работает как нужно. Все машины удаленые видят два Ip по определенным портам, а эти две машины видят все компы удаленные. (интернет через впн не гуляет)
Теперь понадобилось одного клиента с телефона билайн через впн пустить в интернет.
у клиента Ip по впн 50,50,50,10 интерфейс l2tp_vpn в сервербиндинг прописан, соединение vpn есть, трафик глуляет.
создаю правило в NAT scrnat src adres 50.50.50.10 на актион масгарад
Далее в route создаю маршур 0,0,0,0 шлюз l2tp_vpn дистанци 1 помимо созданного маршрута автоматом 50,50,50,50 шлюз l2tp_vpn локал адрес 50,50,50,1
Пробовал через мангл маркирвоать трафик HTTP
Пробовал прописывать маршруты через маркировку трафика.
Но на телефоне интернет не заводится.
Причем вижу как с телефона идут запросы, соединение впн есть. А интернета нет совсем.
-
KaNelam
- Сообщения: 627
- Зарегистрирован: 11 июл 2017, 13:03
нужна отдельная таблица маршрутизации+ту же марку в нат правилеlemark710 писал(а): ↑22 сен 2022, 10:21 Всем добрый день.
Буду благодарен если подскажите.
Микротик1 на нем поднят l2tp ipsec с белым ip. Все ip клиентов прописаны в ручную локалный 50,50,50,1 удаленный 50.50.50.10 ну и т.д.
Почти все подключения по l2tp настроены как микротикN к микроту1 создана локалка, клиенты впн в фаерволе могут ходить только на два определенных Ip в локалке микрота1 локалка в 192.168.1.0/24 все организовано в фаерволе правилами forward input и foraward drop с используемым листами доступа ip.
В случае локалки все работает как нужно. Все машины удаленые видят два Ip по определенным портам, а эти две машины видят все компы удаленные. (интернет через впн не гуляет)
Теперь понадобилось одного клиента с телефона билайн через впн пустить в интернет.
у клиента Ip по впн 50,50,50,10 интерфейс l2tp_vpn в сервербиндинг прописан, соединение vpn есть, трафик глуляет.
создаю правило в NAT scrnat src adres 50.50.50.10 на актион масгарад
Далее в route создаю маршур 0,0,0,0 шлюз l2tp_vpn дистанци 1 помимо созданного маршрута автоматом 50,50,50,50 шлюз l2tp_vpn локал адрес 50,50,50,1
Пробовал через мангл маркирвоать трафик HTTP
Пробовал прописывать маршруты через маркировку трафика.
Но на телефоне интернет не заводится.
Причем вижу как с телефона идут запросы, соединение впн есть. А интернета нет совсем.
или создать адрес лист для интернета в src
-
lemark710
- Сообщения: 4
- Зарегистрирован: 04 июл 2022, 13:38
Не особо понял.KaNelam писал(а): ↑22 сен 2022, 18:38нужна отдельная таблица маршрутизации+ту же марку в нат правилеlemark710 писал(а): ↑22 сен 2022, 10:21 Всем добрый день.
Буду благодарен если подскажите.
Микротик1 на нем поднят l2tp ipsec с белым ip. Все ip клиентов прописаны в ручную локалный 50,50,50,1 удаленный 50.50.50.10 ну и т.д.
Почти все подключения по l2tp настроены как микротикN к микроту1 создана локалка, клиенты впн в фаерволе могут ходить только на два определенных Ip в локалке микрота1 локалка в 192.168.1.0/24 все организовано в фаерволе правилами forward input и foraward drop с используемым листами доступа ip.
В случае локалки все работает как нужно. Все машины удаленые видят два Ip по определенным портам, а эти две машины видят все компы удаленные. (интернет через впн не гуляет)
Теперь понадобилось одного клиента с телефона билайн через впн пустить в интернет.
у клиента Ip по впн 50,50,50,10 интерфейс l2tp_vpn в сервербиндинг прописан, соединение vpn есть, трафик глуляет.
создаю правило в NAT scrnat src adres 50.50.50.10 на актион масгарад
Далее в route создаю маршур 0,0,0,0 шлюз l2tp_vpn дистанци 1 помимо созданного маршрута автоматом 50,50,50,50 шлюз l2tp_vpn локал адрес 50,50,50,1
Пробовал через мангл маркирвоать трафик HTTP
Пробовал прописывать маршруты через маркировку трафика.
Но на телефоне интернет не заводится.
Причем вижу как с телефона идут запросы, соединение впн есть. А интернета нет совсем.
или создать адрес лист для интернета в src
У меня интернет раздается только ip адресам которые в группе internet
IP vpn Добавлен в эту группу