Настройка VPN L2TP для подключения клинтов к сети

[Andrey_Ak]

Доброго времени суток!

Я понимаю что тема скорее всего уже заезженная, но никак не могу решить проблему с VPN,
во всех статьях в интернете написано одно и тоже, уже часов 5 пытаюсь понять где проблема.
Прошу помощи..

На роутере имеем LAN сеть 10.10.0./23 и WAN 88.66.89.241 настраиваю VPN:

 

/ip pool add name=POOL-VPN ranges=10.10.1.100-10.10.1.125
/ip pool add name=POOL-REMOTE ranges=20.20.1.100-20.20.1.125

/ppp profile add change-tcp-mss=yes dns-server=88.66.89.200,88.66.89.201 local-address=POOL-VPN name=L2TP-PROFILE remote-address=POOL-REMOTE use-encryption=yes

/interface l2tp-server server set authentication=mschap2 default-profile=L2TP-PROFILE enabled=yes ipsec-secret=************** use-ipsec=yes

/ppp secret add name=user1 password=user1 profile=L2TP-PROFILE service=l2tp

/ip firewall filter add action=accept chain=input comment=Port_Access_VPN dst-port=500,1701,4500 in-interface=WAN2 protocol=udp

Клинт на машине с Win подключается к роутеру, соединение устанавливается.
Машина клиента получает IP адрес 20.20.1.118, маска 255.255.255.255, шлюз не отображается,
DNS-ы 88.66.89.200 и 88.66.89.201. Интернет на машине клиента работает и имеет внешний адрес роутера 88.66.89.241

С машины клиента роутер пингуется по адресу 10.10.0.1,
из локальной сети где стоит роутер, пинг на адрес 20.20.1.118 тоже идет.
Так-же из локальной сети где стоит роутер могу зайти на машину клиента по адресу \\20.20.1.118\

А вот с машины клиента ни один хост в локальной сети роутера не пингуется, соответственно нет и доступа к серверам в сети роутера.
В чем может быть проблема?

[xvo]

Firewall?
Неправильно настроен NAT?

[Andrey_Ak]

Firewall?
Неправильно настроен NAT?

Кстати сетевые устройства в локальной сети роутера пингуются с машины которая подключена по VPN,
а даже интерфейсы некоторых открываются, а вот доступа к компьютерам в сети нет.

 

/ip firewall filter
add action=accept chain=input comment=Port_Access_VPN dst-port=500,1701,4500 in-interface=WAN2 protocol=udp
add action=accept chain=input comment=VPN_Users src-address=20.20.1.0/24
add action=drop chain=input comment=Block_Access_to_router src-address=0.0.0.0/0

/ip firewall mangle
add action=mark-packet chain=prerouting comment="NAT Loopback detect LAN2" connection-state=new dst-address=89.107.98.241 in-interface=LAN2 new-packet-mark=NAT-LB-241 passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN2

add action=dst-nat chain=dstnat comment=WEB dst-port=80 in-interface=WAN2 protocol=tcp to-addresses=10.10.0.10 to-ports=80
add action=dst-nat chain=dstnat comment=SHTTP dst-port=443 in-interface=WAN2 protocol=tcp to-addresses=10.10.0.10 to-ports=443

add action=masquerade chain=srcnat comment="NAT Loopback replace address LAN2" packet-mark=NAT-LB-241
add action=dst-nat chain=dstnat dst-address=89.107.98.241 dst-port=80,443 protocol=tcp to-addresses=10.10.0.10

Что-то терзают меня смутные сомнения, что проблема именно в машинах
локальной сети, не хотят себя показывать и не дают себя пинговать.
Если отключить антивирус и брандмауер на одной из машин, то
начинает пинговаться...
Но ранее был VPN от роутера TP-Link TL-ER6020 тоже по протоколу l2tp был настроен,
и таких проблем не было...

[xvo]

Что-то терзают меня смутные сомнения, что проблема именно в машинах
локальной сети, не хотят себя показывать и не дают себя пинговать.
Если отключить антивирус и брандмауер на одной из машин, то
начинает пинговаться...
Но ранее был VPN от роутера TP-Link TL-ER6020 тоже по протоколу l2tp был настроен,
и таких проблем не было...

Обычное дело.
А ТП-линк наверняка адреса ВПН-клиентам выдавал из того же пула, что и локалка, и включал proxy-arp.

[Andrey_Ak]

Заработало при такой конфигурации:

 

/ip pool add name=POOL-VPN ranges=10.10.1.100-10.10.1.125
/ip pool add name=POOL-REMOTE ranges=100.100.0.100-100.100.0.125

/ppp profile add change-tcp-mss=yes dns-server=89.107.96.200,89.107.96.201 local-address=POOL-VPN name=L2TP-PROFILE remote-address=POOL-REMOTE use-encryption=yes use-upnp=yes


/interface l2tp-server server set authentication=mschap2 default-profile=L2TP-PROFILE enabled=yes ipsec-secret=************ use-ipsec=yes

/ppp secret add name=user1 password=user1 profile=L2TP-PROFILE service=l2tp

/ip firewall filter add action=accept chain=input comment=Port_Access_VPN dst-port=500,1701,4500 in-interface=WAN2 protocol=udp
/ip firewall filter add action=accept chain=input comment=VPN_Users src-address=100.100.0.0/24
/ip firewall filter add action=drop chain=input comment=Block_Access_to_router src-address=0.0.0.0/0

Странно, вроде только сеть удаленных клиентов поменял с 20.20.1.0/24 на 100.100.0.0/24

[gmx]

Заработало - это, конечно, хорошо. Но пока ваши действия хаотичные и необдуманные. Прежде, чем назначать IP адреса надо подумать, собраться и сделать правильно.

Рекомендую прочитать про немаршрутизируемые адреса: https://www.securitylab.ru/news/536088.php

[Andrey_Ak]

Заработало - это, конечно, хорошо. Но пока ваши действия хаотичные и необдуманные. Прежде, чем назначать IP адреса надо подумать, собраться и сделать правильно.

Рекомендую прочитать про немаршрутизируемые адреса: https://www.securitylab.ru/news/536088.php

А в чем моя ошибка, укажите пожалуйста? По ссылке новости всякие не по теме..

[gmx]

Да, по ссылке полная фигня. Виноват.
https://progler.ru/blog/nemarshrutiziru ... i281582989

Вы назначаете адреса из общего диапазона для клиентов vpn. Вот как назло, завтра, нужный вам адрес в интернете совпадет с адресом клиента VPN. И ведь потом всю голову поломаешь, почему так?

[Andrey_Ak]

Вы назначаете адреса из общего диапазона для клиентов vpn. Вот как назло, завтра, нужный вам адрес в интернете совпадет с адресом клиента VPN. И ведь потом всю голову поломаешь, почему так?

Вы имеете ввиду диапазон 100.100.0.0/24 (т.е. 100.100.0.0-100.100.0.255) ?

Если честно, я знаю только, что IP диапазон клиента VPN должен быть в другой подсети,
отличной от сети к которой подключается VPN. Ранее так и использовал с другими железками,
локальная сеть 10.10.0.0/23 и адреса клиентов из 100.100.0.0/24. Решил
попробовать взять 20.20.0.0/24 для клиентов, но оно почему-то нормально не захотело работать.

А вот почему должны быть из разных подсетей понять не могу.
Сейчас к примеру в локальной сети 10.10.0.0/23 на роутере поднят VPN,
клиенту при подключении выдается два адреса, один например 10.10.0.121 и этот адрес
находиться как бы на стороне локальной сети, и второй адрес 100.100.0.111, который клиента,
причем что интересно, адрес 100.100.0.111 пингуется из локальной сети 10.10.0.0/23.
Вообще не понимаю к сожалению как это работает. Логичнее было-бы если клиенту
выдавалось бы два адреса из сегмента основной сети.. Пытаюсь понять уж простите..