Russian Users MikroTik | Форум пользователей MikroTik

Добрый день, коллеги
Чувствую, что вопрос глупый, но никак не могу сообразить, как сделать.
Есть 2 Микротика (см. схему):

Микр1, лок IP:192.168.3.1, vpn 10.189.3.100
Микр2, лок IP: 192.168.6.1, vpn 10.189.3.101
Между ними поднят туннель по L2TP+IPSEC, в маршрутах на Микр1 и Микр2 созданы правила для доступа в сети друг друга (см. рис 1 и 2)


с компьютера №1, который непосредственно подключен к Микр1 я имею свободный доступ к Микр2 и к компьютерам за ним и наоборот.
но с компьютера №3, который подключен к Микр1 по L2TP+IPSEC (из дома) я не имею доступа к Микр2 и компьютерам за ним.
на компьютере №3 я добавил 2 маршрута для доступа к 3 подсети и к 6 подсети.

но например ping 192.168.6.1 или к 6.11 не работает.
tracert 192.168.6.1 затыкается на 10.189.3.100
больше я ничего не прописывал в правилах.
подскажите пожалуйста, как получить доступ с компьютера №3 к Микр2 и к компьютерам за ним.

А не проще ли компьютеру, который поключается по VPN дать адрес из подсети 192.168.3.0/24?
То есть сделать так, чтобы микротик 1 думал, что это его локальный компьютер? Но, в таком случае, если ничего не менять на компе, весь трафик пойдет через Микротик 1. Если нужно разруливать подсети и интеренет, то используйте команду route на компе.

Если уж совсем паравильно делать, то ставьте дома еще один микротик и прописывайте на нем постоянный vpn коннект и необходимые маршруты, и ограничения. А еще, делайте на каждое vpn подключение, где клиент и сервер роутеры, отдельные подсети, потом будет проще понять, что к чему и маршрутизировать.

Опять будет старый трюк с Windows Firewall.
Надо разрешить ICMPv4 в Firewall

На сервере VPN (микротик1) для всех L2TP клиентов создаете в интерфейсах L2TP Server Binding. По вашей схеме должно их быть 2. Для каждого User.
В PPP.Secrets на микротик1 создаете этих 2-х юзеров. Для каждого прописываете Local Address (он будет на L2TP интерфейсе со стороны микротик1) и Remote Address (он будет у L2TP клиента на интерфейсе L2TP).
В PPP.Profiles создаете для этих 2-х юзеров профиль. В котором Local Address и Remote Address не заполняете, и обязательно ставите Only One - Yes.
На микротике2 прописываете маршрут до Remote Address PC3
На микротике 1 маршруты до сети 192.168.6.х и до Remote Address микротик2.

Коллеги спасибо за ответы

gmx писал(а): ↑29 янв 2020, 08:51 А не проще ли компьютеру, который поключается по VPN дать адрес из подсети 192.168.3.0/24?

Такой вариант конечно работает. Убрал галку со шлюза по умолчанию в Виндоус, прописал маршруты вручную - всё норм.
Но этот вариант мне кажется не очень правильный. Оставлю его на крайний случай ) Спасибо )

mafijs писал(а): ↑29 янв 2020, 09:28 Надо разрешить ICMPv4 в Firewall

ICMP разрешен. Дело не в этом.

Erik_U писал(а): ↑29 янв 2020, 09:50 На сервере VPN (микротик1) для всех L2TP клиентов создаете в интерфейсах L2TP Server Binding

Я обычно создаю только для туннелей Микротик-Микротик. Думал это используется для более понятного отображения информации. У этого есть ещё какая функция?

я не очень понял вот эту вашу фразу:

Erik_U писал(а): ↑29 янв 2020, 09:50 В PPP.Secrets на микротик1 создаете этих 2-х юзеров. Для каждого прописываете Local Address (он будет на L2TP интерфейсе со стороны микротик1) и Remote Address (он будет у L2TP клиента на интерфейсе L2TP)

Про Secrets понятно - иначе бы пользователи не авторизовались бы вообще и соединения бы не устанавливалось.
В данный момент в Secrets на Микротик1 прописано:
для 2 микротика: name: vpn-tun-mikr2, Local Address - 10.189.3.100, Remote Address - 10.189.3.101
Для пользователя который подключается по vpn (PC3): name: vpnuser, Local Address - 10.189.3.100, Remote Address - 10.189.3.3
Если я правильно понял, у меня было всё сделано по вашей инструкции

Сейчас на Микротик2 добавил маршрут
dst.add - 10.189.3.0/24, gateway - 10.189.3.100 и всё заработало.
Как-то пропустил, что Микротику2 нужно куда-то возвращать пакеты
Спасибо большое!!

amiton писал(а): ↑30 янв 2020, 17:40 quote=Erik_U post_id=68317 time=1580280628 user_id=8391]
На сервере VPN (микротик1) для всех L2TP клиентов создаете в интерфейсах L2TP Server Binding

Я обычно создаю только для туннелей Микротик-Микротик. Думал это используется для более понятного отображения информации. У этого есть ещё какая функция?[/quote]

Для того, чтобы прописывать маршрут через интерфейс, например. Или использовать его имя в фильтрах и правилах. Или в OSPF. Или в интерфейс-листах.

amiton писал(а): ↑30 янв 2020, 17:40я не очень понял вот эту вашу фразу:

Erik_U писал(а): ↑29 янв 2020, 09:50 В PPP.Secrets на микротик1 создаете этих 2-х юзеров. Для каждого прописываете Local Address (он будет на L2TP интерфейсе со стороны микротик1) и Remote Address (он будет у L2TP клиента на интерфейсе L2TP)

Про Secrets понятно - иначе бы пользователи не авторизовались бы вообще и соединения бы не устанавливалось.
В данный момент в Secrets на Микротик1 прописано:
для 2 микротика: name: vpn-tun-mikr2, Local Address - 10.189.3.100, Remote Address - 10.189.3.101
Для пользователя который подключается по vpn (PC3): name: vpnuser, Local Address - 10.189.3.100, Remote Address - 10.189.3.3
Если я правильно понял, у меня было всё сделано по вашей инструкции

Не правильно у вас настроено. У вас у обоих одинаковый Local Address. Сделайте разными.

Erik_U писал(а): ↑31 янв 2020, 08:18 Не правильно у вас настроено. У вас у обоих одинаковый Local Address. Сделайте разными.

Если я правильно понял, для каждого клиента должна быть уникальная пара Local/Remote Address?
То есть для клиента1 - Loc.Add 10.189.3.100, Remote - 10.189.3.200
клиент2 - Loc.Add 10.189.3.101, Remote - 10.189.3.201 и т.д.
или вообще использовать разные подсети?
я просто всегда думал, что local address в этой связке это VPN адрес сервера, к которому я подключаюсь
и в этой инструкции вроде как loc.add для всех клиентов один и тот же:
http://mikrotik.vetriks.ru/wiki/VPN:L2T ... %82%D0%B2)