0 / 0 / 0
Регистрация: 19.05.2021
Сообщений: 21
|
|
1 | |
L2tp/ipsec не проходит сквозь mikrotik19.05.2021, 14:41. Показов 37614. Ответов 41
Доброго времени суток.
Оборудование: RB3011UiAS в качестве шлюза перед оборудованием провайдера. Прошивка: 6.48.2 Возникла проблема с прохождением VPN трафика через роутер. Сервер: удалённый сервер Совкомбанка. Клиент: Windows 10 за NAT. Не может подключиться к VPN серверу банка. Поднял такой же L2tp/ipsec сервер на микротике в другой организации, к которому я спокойно подключаюсь из дома. Точно также не может подключиться. Поднял L2tp-клиент на проблемном микротике - подключился без проблем. В firewall пробовал разблокировать весь forward трафик для VPN согласно инструкции по настройке. Не помогло. Куда ещё копать? Принт firewall: Кликните здесь для просмотра всего текста
[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic 0 ;;; VPN_allow chain=forward action=accept protocol=udp port=1701,500,4500 log=no log-prefix="" 1 X ;;; Sovcombank chain=forward action=accept src-address=X.X.X.X log=no log-prefix="" 2 X chain=forward action=accept dst-address=X.X.X.X log=no log-prefix="" 3 ;;; DROP_social_networks chain=forward action=reject reject-with=icmp-network-unreachable src-address-list=!social_acc dst-address-list=social_networks in-interface-list=LAN log=no log-prefix="" 4 ;;; NTP port chain=input action=accept protocol=udp in-interface=LAN-bridge1 port=123 log=no log-prefix="NTP port 123" 5 ;;; POST_server chain=forward action=accept src-address=X.X.X.X log=no log-prefix="" -- [Q quit|D dump|down]
0
|
19.05.2021, 14:41 | |
Ответы с готовыми решениями:
41
Mikrotik 6.44.5 подключение по L2TP/IPSec MacOS не видит сеть RDP через l2tp/ipsec L2TP+IPSec. Рвет Соединение L2tp/IPSec проблема доступа из вне |
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
19.05.2021, 15:25 | 2 |
L2TP чистый или через IPSEC?
В файрволле для первого надо открыть dst-port UDP 1701, для второго UDP 1701 вообще открывать не надо, а надо открыть UDP 500 и протокол ESP (если не используется NAT-T) или UDP 4500 (если NAT-T используется) скорее всего файрволл тут не при чем похоже на проблему клиента с NAT-T или IPSEC в WINDOWS параметры описываются ниже в статье https://winitpro.ru/index.php/... ru-za-nat/ https://habr.com/ru/post/128742/
1
|
0 / 0 / 0
Регистрация: 19.05.2021
Сообщений: 21
|
|
19.05.2021, 15:38 [ТС] | 3 |
Спасибо за ссылки, ознакомился. Но проблему это не решает.
VPN - L2tp/ipsec. Не могу подключиться ни с одного компьютера из локальной сети за микротиком, даже с Android смартфона через Wi-Fi не могу зацепиться. При этом как только переключаюсь на мобильного провайдера, то смартфон коннектится без проблем. Это я проверял на своём импровизированном стенде (микротик в другой организации - сервер L2tp/ipsec; клиенты - устройства локальной сети за проблемным микротиком). Что там с настройками VPN сервера Совкомбанка, я понятия не имею и никто мне никаких данных, кроме того что там тоже L2tp/ipsec, само собой не даст.
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
19.05.2021, 15:51 | 4 |
покажите тогда полный конфиг микротика
Код
export compact
0
|
0 / 0 / 0
Регистрация: 19.05.2021
Сообщений: 21
|
|
19.05.2021, 16:08 [ТС] | 5 |
Без проблем.
Кликните здесь для просмотра всего текста
[admin@MikroTik] > export compact
# may/19/2021 15:52:23 by RouterOS 6.48.2 # software id = XXX # # model = RouterBOARD 3011UiAS # serial number = XXX /interface l2tp-server add comment=To_ATC name=l2tp-in1 user=l2tp1_ATC /interface bridge add name=LAN-bridge1 /interface ethernet set [ find default-name=ether10 ] name=WAN-ether10 speed=100Mbps set [ find default-name=ether1 ] speed=100Mbps set [ find default-name=ether2 ] speed=100Mbps set [ find default-name=ether3 ] speed=100Mbps set [ find default-name=ether4 ] speed=100Mbps set [ find default-name=ether5 ] speed=100Mbps set [ find default-name=ether6 ] speed=100Mbps set [ find default-name=ether7 ] speed=100Mbps set [ find default-name=ether8 ] speed=100Mbps set [ find default-name=ether9 ] speed=100Mbps set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full /interface pppoe-client add add-default-route=yes comment=Provider disabled=no interface=WAN-ether10 name=pppoe-out1 password=\ XXX use-peer-dns=yes user=XXX /interface l2tp-client add comment=consultant connect-to=X.X.X.X disabled=no max-mru=1350 max-mtu=1350 name=l2tp-out1 \ password=XXX user=XXX add comment=Test connect-to=X.X.X.X ipsec-secret=XXX name=l2tp-out2 password=\ XXX use-ipsec=yes user=XXX /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=pool1 ranges=192.168.0.10-192.168.0.99 add name=vpn_pool ranges=10.10.5.1-10.10.5.2 /ip dhcp-server add address-pool=pool1 disabled=no interface=LAN-bridge1 lease-time=2d name=server1 /ppp profile add local-address=vpn_pool name=l2tp remote-address=vpn_pool /queue type add kind=pcq name="30 Mb" pcq-classifier=dst-address pcq-dst-address6-mask=64 pcq-rate=30M \ pcq-src-address6-mask=64 add kind=pcq name=" pcq-upload-30M" pcq-classifier=src-address pcq-dst-address6-mask=64 \ pcq-src-address6-mask=64 /queue simple add max-limit=30M/30M name=queue-limit-30M queue=" pcq-upload-30M/30 Mb" target=LAN-bridge1 /user group set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,s niff,sensitive,a\ pi,romon,dude,tikapp" /interface bridge port add bridge=LAN-bridge1 interface=ether2 add bridge=LAN-bridge1 interface=ether3 add bridge=LAN-bridge1 interface=ether4 add bridge=LAN-bridge1 interface=ether5 add bridge=LAN-bridge1 interface=ether6 add bridge=LAN-bridge1 interface=ether7 add bridge=LAN-bridge1 interface=ether8 add bridge=LAN-bridge1 interface=ether9 add bridge=LAN-bridge1 interface=sfp1 add bridge=LAN-bridge1 interface=ether1 /ip neighbor discovery-settings set discover-interface-list=!dynamic /interface l2tp-server server set authentication=mschap2 default-profile=l2tp enabled=yes /interface list member add interface=ether1 list=WAN add interface=ether2 list=LAN add interface=ether3 list=LAN add interface=ether4 list=LAN add interface=ether5 list=LAN add interface=ether6 list=WAN add interface=ether7 list=LAN add interface=ether8 list=LAN add interface=ether9 list=LAN add interface=WAN-ether10 list=WAN add interface=sfp1 list=LAN add interface=l2tp-out1 list=LAN add interface=LAN-bridge1 list=LAN /ip address add address=192.168.6.1/24 interface=ether2 network=192.168.6.0 add address=192.168.0.2/24 interface=ether6 network=192.168.0.0 /ip dhcp-server lease add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X address-lists=social_acc client-id=XX:XX:XX:XX:XX:XX mac-address=\ XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X address-lists=social_acc client-id=XX:XX:XX:XX:XX:XX mac-address=\ XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1 /ip dhcp-server network add address=192.168.0.0/24 dns-server=109.194.192.3,109.194.193.3,5.3.3.3 gateway=X.X.X.X netmask=24 /ip dns set allow-remote-requests=yes servers=8.8.8.8,109.194.192.3,109.194.193.3 /ip firewall address-list add address=ru.pool.ntp.org list="ntp pool" add address=X.X.X.X list=white add address=X.X.X.X list=white add address=X.X.X.X list=white add address=X.X.X.X disabled=yes list=white add address=X.X.X.X list=white_1C add address=X.X.X.X list=white_1C add address=X.X.X.X list=white_1C add address=X.X.X.X list=white_1C add address=X.X.X.X list=white_1C add address=vk.com list=social_networks add address=ok.ru list=social_networks add address=www.instagram.com list=social_networks add address=www.youtube.com list=social_networks add address=X.X.X.X list=white /ip firewall filter add action=accept chain=forward comment=VPN_allow port=1701,500,4500 protocol=udp add action=accept chain=forward comment=Sovcombank disabled=yes src-address=X.X.X.X add action=accept chain=forward disabled=yes dst-address=X.X.X.X add action=reject chain=forward comment=DROP_social_networks dst-address-list=social_networks \ in-interface-list=LAN reject-with=icmp-network-unreachable src-address-list=!social_acc add action=accept chain=input comment="NTP port" in-interface=LAN-bridge1 log-prefix="NTP port 123" \ port=123 protocol=udp add action=accept chain=forward comment=POST_server src-address=X.X.X.X add action=fasttrack-connection chain=forward comment="Established connections" connection-state=\ established,related disabled=yes add action=accept chain=forward connection-state=established,related add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid add action=accept chain=forward comment="1C Roman" src-address-list=white_1C add action=accept chain=forward dst-address-list=white_1C add action=accept chain=input comment="Access to mikrotik" in-interface=LAN-bridge1 add action=accept chain=input dst-port=8291 in-interface=pppoe-out1 protocol=tcp src-address-list=\ white add action=reject chain=input dst-port=8291 in-interface=pppoe-out1 log-prefix=ALERT_8291 protocol=tcp \ reject-with=icmp-network-unreachable /ip firewall nat add action=masquerade chain=srcnat comment=inet out-interface=pppoe-out1 add action=netmap chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3080 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3080 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3081 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3081 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=1555 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=555 add action=netmap chain=dstnat disabled=yes dst-port=8443 protocol=tcp to-addresses=X.X.X.X \ to-ports=8443 add action=netmap chain=dstnat comment="FTP ladaserver" dst-port=21 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=21 add action=netmap chain=dstnat comment=videoreg disabled=yes dst-port=222 protocol=tcp to-addresses=\ X.X.X.X to-ports=80 add action=netmap chain=dstnat comment=ip-camera disabled=yes dst-port=554 protocol=tcp to-addresses=\ X.X.X.X to-ports=554 add action=netmap chain=dstnat disabled=yes dst-port=9900 protocol=tcp to-addresses=X.X.X.X \ to-ports=9900 add action=netmap chain=dstnat disabled=yes dst-port=2222 protocol=tcp to-addresses=X.X.X.X \ to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=2223 protocol=tcp to-addresses=X.X.X.X \ to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=18000 protocol=tcp to-addresses=X.X.X.X \ to-ports=8000 add action=netmap chain=dstnat disabled=yes dst-port=37777 protocol=tcp to-addresses=X.X.X.X \ to-ports=37777 add action=netmap chain=dstnat disabled=yes dst-port=37778 protocol=tcp to-addresses=X.X.X.X \ to-ports=37778 add action=netmap chain=dstnat comment=ip-camera1 disabled=yes dst-port=2223 protocol=tcp to-addresses=\ X.X.X.X to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=554 protocol=tcp to-addresses=X.X.X.X \ to-ports=554 add action=netmap chain=dstnat disabled=yes dst-port=9900 protocol=tcp to-addresses=X.X.X.X \ to-ports=9900 add action=netmap chain=dstnat disabled=yes dst-port=18000 protocol=tcp to-addresses=X.X.X.X \ to-ports=8000 add action=netmap chain=dstnat comment=camera-oformiteli disabled=yes dst-port=9980 protocol=tcp \ to-addresses=X.X.X.X to-ports=80 add action=netmap chain=dstnat comment=atc disabled=yes dst-port=5103 protocol=tcp to-addresses=\ X.X.X.X to-ports=5103 add action=netmap chain=dstnat comment=oracle dst-port=1521 protocol=tcp src-address-list=white \ to-addresses=X.X.X.X to-ports=1521 add action=netmap chain=dstnat comment=ora-ssh dst-port=22 protocol=tcp src-address-list=white \ to-addresses=X.X.X.X to-ports=22 add action=netmap chain=dstnat comment=ezattendant disabled=yes dst-port=6000 protocol=tcp to-addresses=\ X.X.X.X to-ports=6000 add action=netmap chain=dstnat comment=nethdd disabled=yes dst-port=5000 protocol=tcp to-addresses=\ X.X.X.X to-ports=5000 add action=netmap chain=dstnat disabled=yes dst-port=5005 protocol=tcp to-addresses=X.X.X.X \ to-ports=5005 add action=netmap chain=dstnat disabled=yes dst-port=7000 protocol=tcp to-addresses=X.X.X.X \ to-ports=7000 add action=netmap chain=dstnat disabled=yes dst-port=7001 protocol=tcp to-addresses=X.X.X.X \ to-ports=7001 add action=netmap chain=dstnat comment=1C-server disabled=yes dst-port=23306 protocol=tcp to-addresses=\ X.X.X.X to-ports=3306 add action=netmap chain=dstnat comment="1C RDP" dst-port=23389 protocol=tcp src-address-list=white_1C \ to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="RDP - elena pc" disabled=yes dst-port=33389 protocol=tcp \ to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="1C TSD" dst-port=8080 protocol=tcp src-address-list=white_1C \ to-addresses=X.X.X.X to-ports=8080 add action=netmap chain=dstnat comment="1C TSD" disabled=yes dst-port=8080 protocol=tcp \ src-address-list=white to-addresses=X.X.X.X to-ports=8080 add action=netmap chain=dstnat comment="RDP asya pc" disabled=yes dst-port=43389 protocol=tcp \ to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="1C SQL" dst-port=1433 protocol=tcp src-address-list=white_1C \ to-addresses=X.X.X.X to-ports=1433 add action=netmap chain=dstnat disabled=yes dst-port=1540-1591 protocol=tcp to-addresses=X.X.X.X \ to-ports=1540-1591 add action=netmap chain=dstnat disabled=yes dst-port=135 protocol=tcp to-addresses=X.X.X.X \ to-ports=135 add action=netmap chain=dstnat disabled=yes dst-port=475 protocol=tcp to-addresses=X.X.X.X \ to-ports=475 add action=netmap chain=dstnat comment=Panas disabled=yes dst-port=880 protocol=tcp to-addresses=\ X.X.X.X to-ports=80 add action=netmap chain=dstnat comment=http-gw disabled=yes dst-port=80 protocol=tcp to-addresses=\ X.X.X.X to-ports=80 add action=netmap chain=dstnat comment=Asterisk disabled=yes dst-port=922 protocol=tcp to-addresses=\ X.X.X.X to-ports=22 add action=netmap chain=dstnat disabled=yes dst-port=980 protocol=tcp to-addresses=X.X.X.X \ to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=9443 protocol=tcp to-addresses=X.X.X.X \ to-ports=443 add action=dst-nat chain=dstnat comment="RDP cons" disabled=yes dst-port=4489 in-interface=WAN-ether10 \ log=yes protocol=tcp to-addresses=X.X.X.X to-ports=4899 add action=netmap chain=dstnat comment=ATC_vpn_NAT dst-address=X.X.X.X/24 to-addresses=\ X.X.X.X/24 add action=netmap chain=srcnat log-prefix=Test1 out-interface=l2tp-in1 src-address=X.X.X.X/24 \ to-addresses=X.X.X.X/24 /ip route add distance=1 dst-address=X.X.X.X/32 gateway=pppoe-out1 add check-gateway=ping distance=1 dst-address=X.X.X.X/32 gateway=X.X.X.X pref-src=X.X.X.X add distance=1 dst-address=X.X.X.X/24 gateway=l2tp-in1 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ppp secret add name=XXX password=XXX profile=l2tp service=l2tp /system clock set time-zone-name=Europe/Moscow /system ntp client set enabled=yes primary-ntp=192.36.143.130 secondary-ntp=91.209.94.10
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
19.05.2021, 16:40 | 6 |
Первая большая ошибка
Код
/interface bridge port add bridge=LAN-bridge1 interface=ether2 add bridge=LAN-bridge1 interface=ether3 add bridge=LAN-bridge1 interface=ether4 add bridge=LAN-bridge1 interface=ether5 add bridge=LAN-bridge1 interface=ether6 add bridge=LAN-bridge1 interface=ether7 add bridge=LAN-bridge1 interface=ether8 add bridge=LAN-bridge1 interface=ether9 add bridge=LAN-bridge1 interface=sfp1 add bridge=LAN-bridge1 interface=ether1 /ip address add address=192.168.6.1/24 interface=ether2 network=192.168.6.0 add address=192.168.0.2/24 interface=ether6 network=192.168.0.0 /interface list member add interface=ether1 list=WAN add interface=ether2 list=LAN add interface=ether3 list=LAN add interface=ether4 list=LAN add interface=ether5 list=LAN add interface=ether6 list=WAN add interface=ether7 list=LAN add interface=ether8 list=LAN add interface=ether9 list=LAN add interface=WAN-ether10 list=WAN add interface=sfp1 list=LAN add interface=l2tp-out1 list=LAN add interface=LAN-bridge1 list=LAN сколько всего локальных сетей на L3? две в одном броадкасте? в какие порты приходят провайдеры? например тот, через который pppoe поднимается Вторая большая ошибка Не используйте action=netmap, если не знаете как он работает, для перенаправления портов используйте action=dst-nat
2
|
85 / 28 / 4
Регистрация: 07.07.2019
Сообщений: 99
|
|
19.05.2021, 18:25 | 7 |
pppoe добавить в интерфейс лист WAN
0
|
5105 / 2166 / 463
Регистрация: 17.10.2015
Сообщений: 9,251
|
|
19.05.2021, 18:45 | 8 |
для чего? У ТС в конфиге вообще листы WAN и LAN не фигурируют. (для чего было группировать!?)
Да, так же вижу, что адреса подсетей повешены на порты, а не на бридж. И повешено два адреса из разных подсетей. Возможно под ХХХХ у ТС внутренняя подсеть 6.0/24 и используется... тут только угадывать. )))) порты вроде открыты, должно работать. Создай правило log в фаерволе и поставь первым. Отследи пакеты... где затык..
1
|
0 / 0 / 0
Регистрация: 19.05.2021
Сообщений: 21
|
|
20.05.2021, 08:39 [ТС] | 9 |
Безусловно, косяков в конфиге хватает. С ним успел поработать уже целый взвод сисадминов. Буду исправлять по мере сил. Спасибо за подсказки! Добавлено через 15 минут
Сообщение от romsan
Что-то вроде такого? add action=log chain=forward comment=IPsec_log log=yes log-prefix=IPSEC out-interface=LAN-bridge1 port=500 protocol=udp
0
|
5105 / 2166 / 463
Регистрация: 17.10.2015
Сообщений: 9,251
|
|
20.05.2021, 08:50 | 10 |
да, именно. Создать два правила - для входящих пакетов (dst-address=[адрес_ПК_с_VPN]) и для исходящих пакетов (src-address=[адрес_ПК_с_VPN]) и порты соответствующие. Ну и позырыть - что куда ходит и ходит ли вообще?
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
20.05.2021, 09:11 | 11 |
Тогда:
1. переделываем сначала это: Код
/ip address add address=192.168.0.2/24 interface=LAN-bridge1 network=192.168.0.0 add address=192.168.6.1/24 interface=LAN-bridge1 network=192.168.6.0 /interface list member add interface=pppoe-out1 list=WAN add interface=LAN-bridge1 list=LAN 3. вот тут шлюз зачем закрасили? 192.168.0.2 должен быть Код
/ip dhcp-server network add address=192.168.0.0/24 dns-server=109.194.192.3,109.194.193.3,5.3.3.3 gateway=X.X.X.X netmask=24 4. Код
/ip dns set allow-remote-requests=yes servers=8.8.8.8,109.194.192.3,109.194.193.3 5. это на каких курсах? кто тренер? переделайте на dst-nat 6. сейчас файрволл посмотрим через firewall filter l2tp over ipsec nat-t пройдет 7. теперь NAT и так, я исключил disabled правила в правилах ниже меняйте netmap на dst-nat и в каждом правиле обязательно укажите ваш внешний адрес pppoe-out1 через параметр dst-address или in-interface=pppoe-out1 Код
/ip firewall nat add action=netmap chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3080 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3080 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3081 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3081 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=1555 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=555 add action=netmap chain=dstnat comment="FTP ladaserver" dst-port=21 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=21 add action=netmap chain=dstnat comment=oracle dst-port=1521 protocol=tcp src-address-list=white \ to-addresses=X.X.X.X to-ports=1521 add action=netmap chain=dstnat comment=ora-ssh dst-port=22 protocol=tcp src-address-list=white \ to-addresses=X.X.X.X to-ports=22 add action=netmap chain=dstnat comment=ezattendant disabled=yes dst-port=6000 protocol=tcp to-addresses=\ X.X.X.X to-ports=6000 add action=netmap chain=dstnat comment="1C RDP" dst-port=23389 protocol=tcp src-address-list=white_1C \ to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="1C TSD" dst-port=8080 protocol=tcp src-address-list=white_1C \ to-addresses=X.X.X.X to-ports=8080 add action=netmap chain=dstnat comment="1C SQL" dst-port=1433 protocol=tcp src-address-list=white_1C \ to-addresses=X.X.X.X to-ports=1433 Код
/ip firewall nat add action=dst-nat in-interface=pppoe-out1 chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3389 Код
/ip firewall nat add action=dst-nat dst-address=Y.Y.Y.Y chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list= white to-addresses=X.X.X.X to-ports=3389 Если не измените - ждите косяков при обращении по этим портам из локалки PS - закрашивать каждый адрес не нужно, тем более внутренние, прятать можно было только ваш внешний адрес, а его вы получаете по PPP динамически, потому в конфиге его нет
1
|
0 / 0 / 0
Регистрация: 19.05.2021
Сообщений: 21
|
|
20.05.2021, 09:13 [ТС] | 12 |
Сейчас специально выпросил доступ к AP, которая висит на ether2, сходил, подключился и проверил доступность своего тестового L2tp/ipsec сервера. Работает! Получается из 192.168.6.0/24 L2tp/ipsec доступен, с проблемного микрота через L2tp-client доступен, а недоступен только из основной сети 192.168.0.0/24.
Сообщение от insect_87
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
20.05.2021, 09:17 | 13 |
jekh, прочтите и переделайте все по пунктам
и ответьте на два вопроса кто тренер? и организация какая?
0
|
0 / 0 / 0
Регистрация: 19.05.2021
Сообщений: 21
|
|
20.05.2021, 09:21 [ТС] | 14 |
192.168.0.1 - в бородатые времена принадлежал контроллеру домена. В настоящее время не принадлежит никому.
Шлюз 192.168.0.2 (собственно микрот)
Сообщение от insect_87
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
20.05.2021, 09:22 | 15 |
0
|
0 / 0 / 0
Регистрация: 19.05.2021
Сообщений: 21
|
|
20.05.2021, 09:33 [ТС] | 16 |
Сообщение от insect_87
0
|
5105 / 2166 / 463
Регистрация: 17.10.2015
Сообщений: 9,251
|
|
20.05.2021, 09:36 | 17 |
а где эти правила?
Код
#Для правильной работы ipsec в туннельном режиме add action=accept chain=forward ipsec-policy=in,ipsec add action=accept chain=forward ipsec-policy=out,ipsec Вот схема. Обрати внимание - netmap используется при одинаковых подсетях за микротиками. В вашем случае используется именно dst-nat (проброс), а не объединение подсетей с одинаковой адрессацией. Не по теме:
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
20.05.2021, 09:45 | 18 |
0
|
0 / 0 / 0
Регистрация: 19.05.2021
Сообщений: 21
|
|
20.05.2021, 11:12 [ТС] | 19 |
add action=log chain=forward comment=IPsec_log log=yes log-prefix=IPSEC out-interface=LAN-bridge1 port=500 protocol=udp
Молчит. Добавлено через 5 минут insect_87, прошёлся по пунктам, поправил. Ничего не изменилось.
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
20.05.2021, 11:23 | 20 |
вы на чем подключение поднять пытаетесь?
на мобильном телефоне или ноутбуке?
0
|
20.05.2021, 11:23 | |
20.05.2021, 11:23 | |
Помогаю со студенческими работами здесь
20
Дополнительные маршруты для L2TP+IPSec Нет соединения с L2TP/IPSEC сервером на Windows CCR1009-7G-1C-1S+ или RB1100AHx2 для l2tp/ipsec VPN через L2TP IPSec для IPhone Впн l2tp+ipsec клиент подключается, но нет интернета Mikrotik где-то рвет l2tp Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |