L2tp/ipsec не проходит сквозь mikrotik

@jekh · Регистрация: 19.05.2021

Author24 — интернет-сервис помощи студентам

Доброго времени суток.
Оборудование: RB3011UiAS в качестве шлюза перед оборудованием провайдера. Прошивка: 6.48.2

Возникла проблема с прохождением VPN трафика через роутер. Сервер: удалённый сервер Совкомбанка. Клиент: Windows 10 за NAT. Не может подключиться к VPN серверу банка. Поднял такой же L2tp/ipsec сервер на микротике в другой организации, к которому я спокойно подключаюсь из дома. Точно также не может подключиться. Поднял L2tp-клиент на проблемном микротике - подключился без проблем. В firewall пробовал разблокировать весь forward трафик для VPN согласно инструкции по настройке. Не помогло. Куда ещё копать?
Принт firewall:

Кликните здесь для просмотра всего текста

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; VPN_allow
chain=forward action=accept protocol=udp port=1701,500,4500 log=no
log-prefix=""

1 X ;;; Sovcombank
chain=forward action=accept src-address=X.X.X.X log=no log-prefix=""

2 X chain=forward action=accept dst-address=X.X.X.X log=no log-prefix=""

3 ;;; DROP_social_networks
chain=forward action=reject reject-with=icmp-network-unreachable
src-address-list=!social_acc dst-address-list=social_networks
in-interface-list=LAN log=no log-prefix=""

4 ;;; NTP port
chain=input action=accept protocol=udp in-interface=LAN-bridge1 port=123
log=no log-prefix="NTP port 123"

5 ;;; POST_server
chain=forward action=accept src-address=X.X.X.X log=no
log-prefix=""

-- [Q quit|D dump|down]

@insect_87 · 19.05.2021, 15:25

L2TP чистый или через IPSEC?
В файрволле для первого надо открыть dst-port UDP 1701,
для второго UDP 1701 вообще открывать не надо, а надо открыть UDP 500 и протокол ESP (если не используется NAT-T) или UDP 4500 (если NAT-T используется)

скорее всего файрволл тут не при чем
похоже на проблему клиента с NAT-T или IPSEC в WINDOWS
параметры описываются ниже в статье
https://winitpro.ru/index.php/... ru-za-nat/
https://habr.com/ru/post/128742/

@jekh · 19.05.2021, 15:38 **[ТС]**

Спасибо за ссылки, ознакомился. Но проблему это не решает.
VPN - L2tp/ipsec.
Не могу подключиться ни с одного компьютера из локальной сети за микротиком, даже с Android смартфона через Wi-Fi не могу зацепиться. При этом как только переключаюсь на мобильного провайдера, то смартфон коннектится без проблем. Это я проверял на своём импровизированном стенде (микротик в другой организации - сервер L2tp/ipsec; клиенты - устройства локальной сети за проблемным микротиком).
Что там с настройками VPN сервера Совкомбанка, я понятия не имею и никто мне никаких данных, кроме того что там тоже L2tp/ipsec, само собой не даст.

@insect_87 · 19.05.2021, 15:51

покажите тогда полный конфиг микротика

Код

export compact

@jekh · 19.05.2021, 16:08 **[ТС]**

Без проблем.

Кликните здесь для просмотра всего текста

[admin@MikroTik] > export compact
# may/19/2021 15:52:23 by RouterOS 6.48.2
# software id = XXX
#
# model = RouterBOARD 3011UiAS
# serial number = XXX
/interface l2tp-server
add comment=To_ATC name=l2tp-in1 user=l2tp1_ATC
/interface bridge
add name=LAN-bridge1
/interface ethernet
set [ find default-name=ether10 ] name=WAN-ether10 speed=100Mbps
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] speed=100Mbps
set [ find default-name=ether7 ] speed=100Mbps
set [ find default-name=ether8 ] speed=100Mbps
set [ find default-name=ether9 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface pppoe-client
add add-default-route=yes comment=Provider disabled=no interface=WAN-ether10 name=pppoe-out1 password=\
XXX use-peer-dns=yes user=XXX
/interface l2tp-client
add comment=consultant connect-to=X.X.X.X disabled=no max-mru=1350 max-mtu=1350 name=l2tp-out1 \
password=XXX user=XXX
add comment=Test connect-to=X.X.X.X ipsec-secret=XXX name=l2tp-out2 password=\
XXX use-ipsec=yes user=XXX
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.0.10-192.168.0.99
add name=vpn_pool ranges=10.10.5.1-10.10.5.2
/ip dhcp-server
add address-pool=pool1 disabled=no interface=LAN-bridge1 lease-time=2d name=server1
/ppp profile
add local-address=vpn_pool name=l2tp remote-address=vpn_pool
/queue type
add kind=pcq name="30 Mb" pcq-classifier=dst-address pcq-dst-address6-mask=64 pcq-rate=30M \
pcq-src-address6-mask=64
add kind=pcq name=" pcq-upload-30M" pcq-classifier=src-address pcq-dst-address6-mask=64 \
pcq-src-address6-mask=64
/queue simple
add max-limit=30M/30M name=queue-limit-30M queue=" pcq-upload-30M/30 Mb" target=LAN-bridge1
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,s niff,sensitive,a\
pi,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-bridge1 interface=ether2
add bridge=LAN-bridge1 interface=ether3
add bridge=LAN-bridge1 interface=ether4
add bridge=LAN-bridge1 interface=ether5
add bridge=LAN-bridge1 interface=ether6
add bridge=LAN-bridge1 interface=ether7
add bridge=LAN-bridge1 interface=ether8
add bridge=LAN-bridge1 interface=ether9
add bridge=LAN-bridge1 interface=sfp1
add bridge=LAN-bridge1 interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=WAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=WAN-ether10 list=WAN
add interface=sfp1 list=LAN
add interface=l2tp-out1 list=LAN
add interface=LAN-bridge1 list=LAN
/ip address
add address=192.168.6.1/24 interface=ether2 network=192.168.6.0
add address=192.168.0.2/24 interface=ether6 network=192.168.0.0
/ip dhcp-server lease
add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1
add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1
add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1
add address=X.X.X.X address-lists=social_acc client-id=XX:XX:XX:XX:XX:XX mac-address=\
XX:XX:XX:XX:XX:XX server=server1
add address=X.X.X.X address-lists=social_acc client-id=XX:XX:XX:XX:XX:XX mac-address=\
XX:XX:XX:XX:XX:XX server=server1
add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=109.194.192.3,109.194.193.3,5.3.3.3 gateway=X.X.X.X netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,109.194.192.3,109.194.193.3
/ip firewall address-list
add address=ru.pool.ntp.org list="ntp pool"
add address=X.X.X.X list=white
add address=X.X.X.X list=white
add address=X.X.X.X list=white
add address=X.X.X.X disabled=yes list=white
add address=X.X.X.X list=white_1C
add address=X.X.X.X list=white_1C
add address=X.X.X.X list=white_1C
add address=X.X.X.X list=white_1C
add address=X.X.X.X list=white_1C
add address=vk.com list=social_networks
add address=ok.ru list=social_networks
add address=www.instagram.com list=social_networks
add address=www.youtube.com list=social_networks
add address=X.X.X.X list=white
/ip firewall filter
add action=accept chain=forward comment=VPN_allow port=1701,500,4500 protocol=udp
add action=accept chain=forward comment=Sovcombank disabled=yes src-address=X.X.X.X
add action=accept chain=forward disabled=yes dst-address=X.X.X.X
add action=reject chain=forward comment=DROP_social_networks dst-address-list=social_networks \
in-interface-list=LAN reject-with=icmp-network-unreachable src-address-list=!social_acc
add action=accept chain=input comment="NTP port" in-interface=LAN-bridge1 log-prefix="NTP port 123" \
port=123 protocol=udp
add action=accept chain=forward comment=POST_server src-address=X.X.X.X
add action=fasttrack-connection chain=forward comment="Established connections" connection-state=\
established,related disabled=yes
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
add action=accept chain=forward comment="1C Roman" src-address-list=white_1C
add action=accept chain=forward dst-address-list=white_1C
add action=accept chain=input comment="Access to mikrotik" in-interface=LAN-bridge1
add action=accept chain=input dst-port=8291 in-interface=pppoe-out1 protocol=tcp src-address-list=\
white
add action=reject chain=input dst-port=8291 in-interface=pppoe-out1 log-prefix=ALERT_8291 protocol=tcp \
reject-with=icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment=inet out-interface=pppoe-out1
add action=netmap chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=3389
add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3080 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=3080
add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3081 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=3081
add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=1555 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=555
add action=netmap chain=dstnat disabled=yes dst-port=8443 protocol=tcp to-addresses=X.X.X.X \
to-ports=8443
add action=netmap chain=dstnat comment="FTP ladaserver" dst-port=21 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=21
add action=netmap chain=dstnat comment=videoreg disabled=yes dst-port=222 protocol=tcp to-addresses=\
X.X.X.X to-ports=80
add action=netmap chain=dstnat comment=ip-camera disabled=yes dst-port=554 protocol=tcp to-addresses=\
X.X.X.X to-ports=554
add action=netmap chain=dstnat disabled=yes dst-port=9900 protocol=tcp to-addresses=X.X.X.X \
to-ports=9900
add action=netmap chain=dstnat disabled=yes dst-port=2222 protocol=tcp to-addresses=X.X.X.X \
to-ports=80
add action=netmap chain=dstnat disabled=yes dst-port=2223 protocol=tcp to-addresses=X.X.X.X \
to-ports=80
add action=netmap chain=dstnat disabled=yes dst-port=18000 protocol=tcp to-addresses=X.X.X.X \
to-ports=8000
add action=netmap chain=dstnat disabled=yes dst-port=37777 protocol=tcp to-addresses=X.X.X.X \
to-ports=37777
add action=netmap chain=dstnat disabled=yes dst-port=37778 protocol=tcp to-addresses=X.X.X.X \
to-ports=37778
add action=netmap chain=dstnat comment=ip-camera1 disabled=yes dst-port=2223 protocol=tcp to-addresses=\
X.X.X.X to-ports=80
add action=netmap chain=dstnat disabled=yes dst-port=554 protocol=tcp to-addresses=X.X.X.X \
to-ports=554
add action=netmap chain=dstnat disabled=yes dst-port=9900 protocol=tcp to-addresses=X.X.X.X \
to-ports=9900
add action=netmap chain=dstnat disabled=yes dst-port=18000 protocol=tcp to-addresses=X.X.X.X \
to-ports=8000
add action=netmap chain=dstnat comment=camera-oformiteli disabled=yes dst-port=9980 protocol=tcp \
to-addresses=X.X.X.X to-ports=80
add action=netmap chain=dstnat comment=atc disabled=yes dst-port=5103 protocol=tcp to-addresses=\
X.X.X.X to-ports=5103
add action=netmap chain=dstnat comment=oracle dst-port=1521 protocol=tcp src-address-list=white \
to-addresses=X.X.X.X to-ports=1521
add action=netmap chain=dstnat comment=ora-ssh dst-port=22 protocol=tcp src-address-list=white \
to-addresses=X.X.X.X to-ports=22
add action=netmap chain=dstnat comment=ezattendant disabled=yes dst-port=6000 protocol=tcp to-addresses=\
X.X.X.X to-ports=6000
add action=netmap chain=dstnat comment=nethdd disabled=yes dst-port=5000 protocol=tcp to-addresses=\
X.X.X.X to-ports=5000
add action=netmap chain=dstnat disabled=yes dst-port=5005 protocol=tcp to-addresses=X.X.X.X \
to-ports=5005
add action=netmap chain=dstnat disabled=yes dst-port=7000 protocol=tcp to-addresses=X.X.X.X \
to-ports=7000
add action=netmap chain=dstnat disabled=yes dst-port=7001 protocol=tcp to-addresses=X.X.X.X \
to-ports=7001
add action=netmap chain=dstnat comment=1C-server disabled=yes dst-port=23306 protocol=tcp to-addresses=\
X.X.X.X to-ports=3306
add action=netmap chain=dstnat comment="1C RDP" dst-port=23389 protocol=tcp src-address-list=white_1C \
to-addresses=X.X.X.X to-ports=3389
add action=netmap chain=dstnat comment="RDP - elena pc" disabled=yes dst-port=33389 protocol=tcp \
to-addresses=X.X.X.X to-ports=3389
add action=netmap chain=dstnat comment="1C TSD" dst-port=8080 protocol=tcp src-address-list=white_1C \
to-addresses=X.X.X.X to-ports=8080
add action=netmap chain=dstnat comment="1C TSD" disabled=yes dst-port=8080 protocol=tcp \
src-address-list=white to-addresses=X.X.X.X to-ports=8080
add action=netmap chain=dstnat comment="RDP asya pc" disabled=yes dst-port=43389 protocol=tcp \
to-addresses=X.X.X.X to-ports=3389
add action=netmap chain=dstnat comment="1C SQL" dst-port=1433 protocol=tcp src-address-list=white_1C \
to-addresses=X.X.X.X to-ports=1433
add action=netmap chain=dstnat disabled=yes dst-port=1540-1591 protocol=tcp to-addresses=X.X.X.X \
to-ports=1540-1591
add action=netmap chain=dstnat disabled=yes dst-port=135 protocol=tcp to-addresses=X.X.X.X \
to-ports=135
add action=netmap chain=dstnat disabled=yes dst-port=475 protocol=tcp to-addresses=X.X.X.X \
to-ports=475
add action=netmap chain=dstnat comment=Panas disabled=yes dst-port=880 protocol=tcp to-addresses=\
X.X.X.X to-ports=80
add action=netmap chain=dstnat comment=http-gw disabled=yes dst-port=80 protocol=tcp to-addresses=\
X.X.X.X to-ports=80
add action=netmap chain=dstnat comment=Asterisk disabled=yes dst-port=922 protocol=tcp to-addresses=\
X.X.X.X to-ports=22
add action=netmap chain=dstnat disabled=yes dst-port=980 protocol=tcp to-addresses=X.X.X.X \
to-ports=80
add action=netmap chain=dstnat disabled=yes dst-port=9443 protocol=tcp to-addresses=X.X.X.X \
to-ports=443
add action=dst-nat chain=dstnat comment="RDP cons" disabled=yes dst-port=4489 in-interface=WAN-ether10 \
log=yes protocol=tcp to-addresses=X.X.X.X to-ports=4899
add action=netmap chain=dstnat comment=ATC_vpn_NAT dst-address=X.X.X.X/24 to-addresses=\
X.X.X.X/24
add action=netmap chain=srcnat log-prefix=Test1 out-interface=l2tp-in1 src-address=X.X.X.X/24 \
to-addresses=X.X.X.X/24
/ip route
add distance=1 dst-address=X.X.X.X/32 gateway=pppoe-out1
add check-gateway=ping distance=1 dst-address=X.X.X.X/32 gateway=X.X.X.X pref-src=X.X.X.X
add distance=1 dst-address=X.X.X.X/24 gateway=l2tp-in1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add name=XXX password=XXX profile=l2tp service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=192.36.143.130 secondary-ntp=91.209.94.10

@insect_87 · 19.05.2021, 16:40

Первая большая ошибка

Код

/interface bridge port
add bridge=LAN-bridge1 interface=ether2
add bridge=LAN-bridge1 interface=ether3
add bridge=LAN-bridge1 interface=ether4
add bridge=LAN-bridge1 interface=ether5
add bridge=LAN-bridge1 interface=ether6
add bridge=LAN-bridge1 interface=ether7
add bridge=LAN-bridge1 interface=ether8
add bridge=LAN-bridge1 interface=ether9
add bridge=LAN-bridge1 interface=sfp1
add bridge=LAN-bridge1 interface=ether1

/ip address
add address=192.168.6.1/24 interface=ether2 network=192.168.6.0
add address=192.168.0.2/24 interface=ether6 network=192.168.0.0

/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=WAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=WAN-ether10 list=WAN
add interface=sfp1 list=LAN
add interface=l2tp-out1 list=LAN
add interface=LAN-bridge1 list=LAN

какие порты смотрят в локалку?
сколько всего локальных сетей на L3? две в одном броадкасте?
в какие порты приходят провайдеры? например тот, через который pppoe поднимается

Вторая большая ошибка
Не используйте action=netmap, если не знаете как он работает, для перенаправления портов используйте action=dst-nat

@mkat · 19.05.2021, 18:25

pppoe добавить в интерфейс лист WAN

@romsan · 19.05.2021, 18:45

Сообщение от mkat

pppoe добавить в интерфейс лист WAN

для чего? У ТС в конфиге вообще листы WAN и LAN не фигурируют. (для чего было группировать!?)

Да, так же вижу, что адреса подсетей повешены на порты, а не на бридж. И повешено два адреса из разных подсетей. Возможно под ХХХХ у ТС внутренняя подсеть 6.0/24 и используется... тут только угадывать. ))))

порты вроде открыты, должно работать. Создай правило log в фаерволе и поставь первым. Отследи пакеты... где затык..

@jekh · 20.05.2021, 08:39 **[ТС]**

какие порты смотрят в локалку?
сколько всего локальных сетей на L3? две в одном броадкасте?
в какие порты приходят провайдеры? например тот, через который pppoe поднимается

Провайдерский pppoe висит на ether10. В локалку смотрят по сути все остальные. Сетей две: 192.168.0.0/24 и 192.168.6.0/24. Причем я отвечаю только за первую, именно на ней висит вся основная инфраструктура. Вторая: баловство московского филиала для своих отдельных клиентских wi-fi ap. С interfaces lists путаница, но как отметили до меня, они по сути и не используются нигде.

Вторая большая ошибка
Не используйте action=netmap, если не знаете как он работает, для перенаправления портов используйте action=dst-nat

Странно. На курсах MTCNA мне с точностью до наоборот было сказано использовать netmap при маппинге как более совершенный вариант, а dst-nat оставить продвинутым специалистам.

Безусловно, косяков в конфиге хватает. С ним успел поработать уже целый взвод сисадминов. Буду исправлять по мере сил. Спасибо за подсказки!

Добавлено через 15 минут

Сообщение от romsan

Создай правило log в фаерволе и поставь первым. Отследи пакеты... где затык..

Можно образец правила? Не приходилось еще логгировать ipsec пакеты. Или просто по VPN порту?

Что-то вроде такого? add action=log chain=forward comment=IPsec_log log=yes log-prefix=IPSEC out-interface=LAN-bridge1 port=500 protocol=udp

@romsan · 20.05.2021, 08:50

Сообщение от jekh

Можно образец правила?

да, именно. Создать два правила - для входящих пакетов (dst-address=[адрес_ПК_с_VPN]) и для исходящих пакетов (src-address=[адрес_ПК_с_VPN]) и порты соответствующие. Ну и позырыть - что куда ходит и ходит ли вообще?

@insect_87 · 20.05.2021, 09:11

Тогда:
1. переделываем сначала это:

Код

/ip address
add address=192.168.0.2/24 interface=LAN-bridge1 network=192.168.0.0
add address=192.168.6.1/24 interface=LAN-bridge1 network=192.168.6.0

2. в списках интерфейсов оставляем ТОЛЬКО это
/interface list member
add interface=pppoe-out1 list=WAN
add interface=LAN-bridge1 list=LAN

3. вот тут шлюз зачем закрасили? 192.168.0.2 должен быть

Код

/ip dhcp-server network
add address=192.168.0.0/24 dns-server=109.194.192.3,109.194.193.3,5.3.3.3 gateway=X.X.X.X netmask=24

И сразу: адрес 192.168.0.1 у кого?

4.

Код

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,109.194.192.3,109.194.193.3

если вы клиентам в п.3 отдаете внешние DNS сервера, зачем тогда кэшер включать (set allow-remote-requests=yes ) на роутере?

5.

Сообщение от jekh

На курсах MTCNA мне с точностью до наоборот было сказано использовать netmap при маппинге как более совершенный вариант, а dst-nat оставить продвинутым специалистам.

это на каких курсах? кто тренер?

переделайте на dst-nat

6. сейчас файрволл посмотрим

через firewall filter l2tp over ipsec nat-t пройдет

7. теперь NAT

и так, я исключил disabled правила
в правилах ниже меняйте netmap на dst-nat и в каждом правиле обязательно укажите ваш внешний адрес pppoe-out1 через параметр dst-address или in-interface=pppoe-out1

Код

/ip firewall nat
add action=netmap chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=3389
add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3080 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=3080
add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3081 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=3081
add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=1555 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=555
add action=netmap chain=dstnat comment="FTP ladaserver" dst-port=21 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=21
add action=netmap chain=dstnat comment=oracle dst-port=1521 protocol=tcp src-address-list=white \
to-addresses=X.X.X.X to-ports=1521
add action=netmap chain=dstnat comment=ora-ssh dst-port=22 protocol=tcp src-address-list=white \
to-addresses=X.X.X.X to-ports=22
add action=netmap chain=dstnat comment=ezattendant disabled=yes dst-port=6000 protocol=tcp to-addresses=\
X.X.X.X to-ports=6000
add action=netmap chain=dstnat comment="1C RDP" dst-port=23389 protocol=tcp src-address-list=white_1C \
to-addresses=X.X.X.X to-ports=3389
add action=netmap chain=dstnat comment="1C TSD" dst-port=8080 protocol=tcp src-address-list=white_1C \
to-addresses=X.X.X.X to-ports=8080
add action=netmap chain=dstnat comment="1C SQL" dst-port=1433 protocol=tcp src-address-list=white_1C \
to-addresses=X.X.X.X to-ports=1433

Например

Код

/ip firewall nat
add action=dst-nat in-interface=pppoe-out1 chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list=\
white to-addresses=X.X.X.X to-ports=3389

ИЛИ

Код

/ip firewall nat
add action=dst-nat dst-address=Y.Y.Y.Y chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list=
white to-addresses=X.X.X.X to-ports=3389

Y.Y.Y.Y - ваш внешний белый адрес

Если не измените - ждите косяков при обращении по этим портам из локалки

PS - закрашивать каждый адрес не нужно, тем более внутренние, прятать можно было только ваш внешний адрес, а его вы получаете по PPP динамически, потому в конфиге его нет

@jekh · 20.05.2021, 09:13 **[ТС]**

Сейчас специально выпросил доступ к AP, которая висит на ether2, сходил, подключился и проверил доступность своего тестового L2tp/ipsec сервера. Работает! Получается из 192.168.6.0/24 L2tp/ipsec доступен, с проблемного микрота через L2tp-client доступен, а недоступен только из основной сети 192.168.0.0/24.

Сообщение от insect_87

PS - закрашивать каждый адрес не нужно, тем более внутренние, прятать можно было только ваш внешний адрес, а его вы получаете по PPP динамически, потому в конфиге его нет

У страха глаза велики

Внешний адрес статический. Но это уже не суть, я Вас понял.

@insect_87 · 20.05.2021, 09:17

jekh, прочтите и переделайте все по пунктам
и ответьте на два вопроса

Сообщение от insect_87

И сразу: адрес 192.168.0.1 у кого?

Сообщение от jekh

Странно. На курсах MTCNA мне с точностью до наоборот было сказано использовать netmap при маппинге как более совершенный вариант, а dst-nat оставить продвинутым специалистам.

кто тренер?
и организация какая?

@jekh · 20.05.2021, 09:21 **[ТС]**

192.168.0.1 - в бородатые времена принадлежал контроллеру домена. В настоящее время не принадлежит никому.
Шлюз 192.168.0.2 (собственно микрот)

Сообщение от insect_87

кто тренер?
и организация какая?

Сейчас уже не вспомню, а блокнот с конспектами дома оставил.

@insect_87 · 20.05.2021, 09:22

Сообщение от jekh

Сейчас уже не вспомню, а блокнот с конспектами дома оставил.

Москва?

@jekh · 20.05.2021, 09:33 **[ТС]**

Сообщение от insect_87

Москва?

Киров.

@romsan · 20.05.2021, 09:36

а где эти правила?

Код

#Для правильной работы ipsec в туннельном режиме
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward ipsec-policy=out,ipsec

Сообщение от jekh

использовать netmap при маппинге

а "сноску" не говорили? )))
Вот схема.

Кликните здесь для просмотра всего текста

Обрати внимание - netmap используется при одинаковых подсетях за микротиками.
В вашем случае используется именно dst-nat (проброс), а не объединение подсетей с одинаковой адрессацией.

Не по теме:

Еще:

Destination NAT – изменение IP-адреса назначения и выполнение обратной функции для ответа. Преобразование адреса получателя называется dst-nat
Цепочка Dstnat при настройке NAT на MikroTik служит для изменения IP-адреса и/или порта назначения и выполнения обратной функции для ответа.

Действие Netmap служит для создания связки из IP-адресов (1:1 NAT). На практике применяется для решения следующих задач:
- сделать IP-адрес или группу адресов доступными из интернета по белому IP. (принцип 1:1);
- объединить разные сети с одинаковыми адресами сетей.

@insect_87 · 20.05.2021, 09:45

Сообщение от romsan

а где эти правила?

Роман, для NAT-T IPSEC нужен только 4500 UDP
и режим там транспортный

@jekh · 20.05.2021, 11:12 **[ТС]**

add action=log chain=forward comment=IPsec_log log=yes log-prefix=IPSEC out-interface=LAN-bridge1 port=500 protocol=udp

Молчит.

Добавлено через 5 минут
insect_87, прошёлся по пунктам, поправил. Ничего не изменилось.

@insect_87 · 20.05.2021, 11:23

вы на чем подключение поднять пытаетесь?
на мобильном телефоне или ноутбуке?

@jekh 0 / 0 / 0 Регистрация: 19.05.2021 Сообщений: 21
		1
	L2tp/ipsec не проходит сквозь mikrotik 19.05.2021, 14:41. Показов 37614. Ответов 41 Метки mikrotik (Все метки) Доброго времени суток. Оборудование: RB3011UiAS в качестве шлюза перед оборудованием провайдера. Прошивка: 6.48.2 Возникла проблема с прохождением VPN трафика через роутер. Сервер: удалённый сервер Совкомбанка. Клиент: Windows 10 за NAT. Не может подключиться к VPN серверу банка. Поднял такой же L2tp/ipsec сервер на микротике в другой организации, к которому я спокойно подключаюсь из дома. Точно также не может подключиться. Поднял L2tp-клиент на проблемном микротике - подключился без проблем. В firewall пробовал разблокировать весь forward трафик для VPN согласно инструкции по настройке. Не помогло. Куда ещё копать? Принт firewall: Кликните здесь для просмотра всего текста [admin@MikroTik] > ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; VPN_allow chain=forward action=accept protocol=udp port=1701,500,4500 log=no log-prefix="" 1 X ;;; Sovcombank chain=forward action=accept src-address=X.X.X.X log=no log-prefix="" 2 X chain=forward action=accept dst-address=X.X.X.X log=no log-prefix="" 3 ;;; DROP_social_networks chain=forward action=reject reject-with=icmp-network-unreachable src-address-list=!social_acc dst-address-list=social_networks in-interface-list=LAN log=no log-prefix="" 4 ;;; NTP port chain=input action=accept protocol=udp in-interface=LAN-bridge1 port=123 log=no log-prefix="NTP port 123" 5 ;;; POST_server chain=forward action=accept src-address=X.X.X.X log=no log-prefix="" -- [Q quit\|D dump\|down] 0

@insect_87 Модератор 11427 / 6996 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	19.05.2021, 15:25	2
	L2TP чистый или через IPSEC? В файрволле для первого надо открыть dst-port UDP 1701, для второго UDP 1701 вообще открывать не надо, а надо открыть UDP 500 и протокол ESP (если не используется NAT-T) или UDP 4500 (если NAT-T используется) скорее всего файрволл тут не при чем похоже на проблему клиента с NAT-T или IPSEC в WINDOWS параметры описываются ниже в статье https://winitpro.ru/index.php/... ru-za-nat/ https://habr.com/ru/post/128742/ 1

@jekh 0 / 0 / 0 Регистрация: 19.05.2021 Сообщений: 21
	19.05.2021, 15:38 [ТС]	3
	Спасибо за ссылки, ознакомился. Но проблему это не решает. VPN - L2tp/ipsec. Не могу подключиться ни с одного компьютера из локальной сети за микротиком, даже с Android смартфона через Wi-Fi не могу зацепиться. При этом как только переключаюсь на мобильного провайдера, то смартфон коннектится без проблем. Это я проверял на своём импровизированном стенде (микротик в другой организации - сервер L2tp/ipsec; клиенты - устройства локальной сети за проблемным микротиком). Что там с настройками VPN сервера Совкомбанка, я понятия не имею и никто мне никаких данных, кроме того что там тоже L2tp/ipsec, само собой не даст. 0

@insect_87 Модератор 11427 / 6996 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	19.05.2021, 15:51	4
	покажите тогда полный конфиг микротика Код export compact 0

@jekh 0 / 0 / 0 Регистрация: 19.05.2021 Сообщений: 21
	19.05.2021, 16:08 [ТС]	5
	Без проблем. Кликните здесь для просмотра всего текста [admin@MikroTik] > export compact # may/19/2021 15:52:23 by RouterOS 6.48.2 # software id = XXX # # model = RouterBOARD 3011UiAS # serial number = XXX /interface l2tp-server add comment=To_ATC name=l2tp-in1 user=l2tp1_ATC /interface bridge add name=LAN-bridge1 /interface ethernet set [ find default-name=ether10 ] name=WAN-ether10 speed=100Mbps set [ find default-name=ether1 ] speed=100Mbps set [ find default-name=ether2 ] speed=100Mbps set [ find default-name=ether3 ] speed=100Mbps set [ find default-name=ether4 ] speed=100Mbps set [ find default-name=ether5 ] speed=100Mbps set [ find default-name=ether6 ] speed=100Mbps set [ find default-name=ether7 ] speed=100Mbps set [ find default-name=ether8 ] speed=100Mbps set [ find default-name=ether9 ] speed=100Mbps set [ find default-name=sfp1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full /interface pppoe-client add add-default-route=yes comment=Provider disabled=no interface=WAN-ether10 name=pppoe-out1 password=\ XXX use-peer-dns=yes user=XXX /interface l2tp-client add comment=consultant connect-to=X.X.X.X disabled=no max-mru=1350 max-mtu=1350 name=l2tp-out1 \ password=XXX user=XXX add comment=Test connect-to=X.X.X.X ipsec-secret=XXX name=l2tp-out2 password=\ XXX use-ipsec=yes user=XXX /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=pool1 ranges=192.168.0.10-192.168.0.99 add name=vpn_pool ranges=10.10.5.1-10.10.5.2 /ip dhcp-server add address-pool=pool1 disabled=no interface=LAN-bridge1 lease-time=2d name=server1 /ppp profile add local-address=vpn_pool name=l2tp remote-address=vpn_pool /queue type add kind=pcq name="30 Mb" pcq-classifier=dst-address pcq-dst-address6-mask=64 pcq-rate=30M \ pcq-src-address6-mask=64 add kind=pcq name=" pcq-upload-30M" pcq-classifier=src-address pcq-dst-address6-mask=64 \ pcq-src-address6-mask=64 /queue simple add max-limit=30M/30M name=queue-limit-30M queue=" pcq-upload-30M/30 Mb" target=LAN-bridge1 /user group set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,s niff,sensitive,a\ pi,romon,dude,tikapp" /interface bridge port add bridge=LAN-bridge1 interface=ether2 add bridge=LAN-bridge1 interface=ether3 add bridge=LAN-bridge1 interface=ether4 add bridge=LAN-bridge1 interface=ether5 add bridge=LAN-bridge1 interface=ether6 add bridge=LAN-bridge1 interface=ether7 add bridge=LAN-bridge1 interface=ether8 add bridge=LAN-bridge1 interface=ether9 add bridge=LAN-bridge1 interface=sfp1 add bridge=LAN-bridge1 interface=ether1 /ip neighbor discovery-settings set discover-interface-list=!dynamic /interface l2tp-server server set authentication=mschap2 default-profile=l2tp enabled=yes /interface list member add interface=ether1 list=WAN add interface=ether2 list=LAN add interface=ether3 list=LAN add interface=ether4 list=LAN add interface=ether5 list=LAN add interface=ether6 list=WAN add interface=ether7 list=LAN add interface=ether8 list=LAN add interface=ether9 list=LAN add interface=WAN-ether10 list=WAN add interface=sfp1 list=LAN add interface=l2tp-out1 list=LAN add interface=LAN-bridge1 list=LAN /ip address add address=192.168.6.1/24 interface=ether2 network=192.168.6.0 add address=192.168.0.2/24 interface=ether6 network=192.168.0.0 /ip dhcp-server lease add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X address-lists=social_acc client-id=XX:XX:XX:XX:XX:XX mac-address=\ XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X address-lists=social_acc client-id=XX:XX:XX:XX:XX:XX mac-address=\ XX:XX:XX:XX:XX:XX server=server1 add address=X.X.X.X client-id=XX:XX:XX:XX:XX:XX mac-address=XX:XX:XX:XX:XX:XX server=server1 /ip dhcp-server network add address=192.168.0.0/24 dns-server=109.194.192.3,109.194.193.3,5.3.3.3 gateway=X.X.X.X netmask=24 /ip dns set allow-remote-requests=yes servers=8.8.8.8,109.194.192.3,109.194.193.3 /ip firewall address-list add address=ru.pool.ntp.org list="ntp pool" add address=X.X.X.X list=white add address=X.X.X.X list=white add address=X.X.X.X list=white add address=X.X.X.X disabled=yes list=white add address=X.X.X.X list=white_1C add address=X.X.X.X list=white_1C add address=X.X.X.X list=white_1C add address=X.X.X.X list=white_1C add address=X.X.X.X list=white_1C add address=vk.com list=social_networks add address=ok.ru list=social_networks add address=www.instagram.com list=social_networks add address=www.youtube.com list=social_networks add address=X.X.X.X list=white /ip firewall filter add action=accept chain=forward comment=VPN_allow port=1701,500,4500 protocol=udp add action=accept chain=forward comment=Sovcombank disabled=yes src-address=X.X.X.X add action=accept chain=forward disabled=yes dst-address=X.X.X.X add action=reject chain=forward comment=DROP_social_networks dst-address-list=social_networks \ in-interface-list=LAN reject-with=icmp-network-unreachable src-address-list=!social_acc add action=accept chain=input comment="NTP port" in-interface=LAN-bridge1 log-prefix="NTP port 123" \ port=123 protocol=udp add action=accept chain=forward comment=POST_server src-address=X.X.X.X add action=fasttrack-connection chain=forward comment="Established connections" connection-state=\ established,related disabled=yes add action=accept chain=forward connection-state=established,related add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid add action=accept chain=forward comment="1C Roman" src-address-list=white_1C add action=accept chain=forward dst-address-list=white_1C add action=accept chain=input comment="Access to mikrotik" in-interface=LAN-bridge1 add action=accept chain=input dst-port=8291 in-interface=pppoe-out1 protocol=tcp src-address-list=\ white add action=reject chain=input dst-port=8291 in-interface=pppoe-out1 log-prefix=ALERT_8291 protocol=tcp \ reject-with=icmp-network-unreachable /ip firewall nat add action=masquerade chain=srcnat comment=inet out-interface=pppoe-out1 add action=netmap chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3080 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3080 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3081 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=3081 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=1555 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=555 add action=netmap chain=dstnat disabled=yes dst-port=8443 protocol=tcp to-addresses=X.X.X.X \ to-ports=8443 add action=netmap chain=dstnat comment="FTP ladaserver" dst-port=21 protocol=tcp src-address-list=\ white to-addresses=X.X.X.X to-ports=21 add action=netmap chain=dstnat comment=videoreg disabled=yes dst-port=222 protocol=tcp to-addresses=\ X.X.X.X to-ports=80 add action=netmap chain=dstnat comment=ip-camera disabled=yes dst-port=554 protocol=tcp to-addresses=\ X.X.X.X to-ports=554 add action=netmap chain=dstnat disabled=yes dst-port=9900 protocol=tcp to-addresses=X.X.X.X \ to-ports=9900 add action=netmap chain=dstnat disabled=yes dst-port=2222 protocol=tcp to-addresses=X.X.X.X \ to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=2223 protocol=tcp to-addresses=X.X.X.X \ to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=18000 protocol=tcp to-addresses=X.X.X.X \ to-ports=8000 add action=netmap chain=dstnat disabled=yes dst-port=37777 protocol=tcp to-addresses=X.X.X.X \ to-ports=37777 add action=netmap chain=dstnat disabled=yes dst-port=37778 protocol=tcp to-addresses=X.X.X.X \ to-ports=37778 add action=netmap chain=dstnat comment=ip-camera1 disabled=yes dst-port=2223 protocol=tcp to-addresses=\ X.X.X.X to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=554 protocol=tcp to-addresses=X.X.X.X \ to-ports=554 add action=netmap chain=dstnat disabled=yes dst-port=9900 protocol=tcp to-addresses=X.X.X.X \ to-ports=9900 add action=netmap chain=dstnat disabled=yes dst-port=18000 protocol=tcp to-addresses=X.X.X.X \ to-ports=8000 add action=netmap chain=dstnat comment=camera-oformiteli disabled=yes dst-port=9980 protocol=tcp \ to-addresses=X.X.X.X to-ports=80 add action=netmap chain=dstnat comment=atc disabled=yes dst-port=5103 protocol=tcp to-addresses=\ X.X.X.X to-ports=5103 add action=netmap chain=dstnat comment=oracle dst-port=1521 protocol=tcp src-address-list=white \ to-addresses=X.X.X.X to-ports=1521 add action=netmap chain=dstnat comment=ora-ssh dst-port=22 protocol=tcp src-address-list=white \ to-addresses=X.X.X.X to-ports=22 add action=netmap chain=dstnat comment=ezattendant disabled=yes dst-port=6000 protocol=tcp to-addresses=\ X.X.X.X to-ports=6000 add action=netmap chain=dstnat comment=nethdd disabled=yes dst-port=5000 protocol=tcp to-addresses=\ X.X.X.X to-ports=5000 add action=netmap chain=dstnat disabled=yes dst-port=5005 protocol=tcp to-addresses=X.X.X.X \ to-ports=5005 add action=netmap chain=dstnat disabled=yes dst-port=7000 protocol=tcp to-addresses=X.X.X.X \ to-ports=7000 add action=netmap chain=dstnat disabled=yes dst-port=7001 protocol=tcp to-addresses=X.X.X.X \ to-ports=7001 add action=netmap chain=dstnat comment=1C-server disabled=yes dst-port=23306 protocol=tcp to-addresses=\ X.X.X.X to-ports=3306 add action=netmap chain=dstnat comment="1C RDP" dst-port=23389 protocol=tcp src-address-list=white_1C \ to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="RDP - elena pc" disabled=yes dst-port=33389 protocol=tcp \ to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="1C TSD" dst-port=8080 protocol=tcp src-address-list=white_1C \ to-addresses=X.X.X.X to-ports=8080 add action=netmap chain=dstnat comment="1C TSD" disabled=yes dst-port=8080 protocol=tcp \ src-address-list=white to-addresses=X.X.X.X to-ports=8080 add action=netmap chain=dstnat comment="RDP asya pc" disabled=yes dst-port=43389 protocol=tcp \ to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="1C SQL" dst-port=1433 protocol=tcp src-address-list=white_1C \ to-addresses=X.X.X.X to-ports=1433 add action=netmap chain=dstnat disabled=yes dst-port=1540-1591 protocol=tcp to-addresses=X.X.X.X \ to-ports=1540-1591 add action=netmap chain=dstnat disabled=yes dst-port=135 protocol=tcp to-addresses=X.X.X.X \ to-ports=135 add action=netmap chain=dstnat disabled=yes dst-port=475 protocol=tcp to-addresses=X.X.X.X \ to-ports=475 add action=netmap chain=dstnat comment=Panas disabled=yes dst-port=880 protocol=tcp to-addresses=\ X.X.X.X to-ports=80 add action=netmap chain=dstnat comment=http-gw disabled=yes dst-port=80 protocol=tcp to-addresses=\ X.X.X.X to-ports=80 add action=netmap chain=dstnat comment=Asterisk disabled=yes dst-port=922 protocol=tcp to-addresses=\ X.X.X.X to-ports=22 add action=netmap chain=dstnat disabled=yes dst-port=980 protocol=tcp to-addresses=X.X.X.X \ to-ports=80 add action=netmap chain=dstnat disabled=yes dst-port=9443 protocol=tcp to-addresses=X.X.X.X \ to-ports=443 add action=dst-nat chain=dstnat comment="RDP cons" disabled=yes dst-port=4489 in-interface=WAN-ether10 \ log=yes protocol=tcp to-addresses=X.X.X.X to-ports=4899 add action=netmap chain=dstnat comment=ATC_vpn_NAT dst-address=X.X.X.X/24 to-addresses=\ X.X.X.X/24 add action=netmap chain=srcnat log-prefix=Test1 out-interface=l2tp-in1 src-address=X.X.X.X/24 \ to-addresses=X.X.X.X/24 /ip route add distance=1 dst-address=X.X.X.X/32 gateway=pppoe-out1 add check-gateway=ping distance=1 dst-address=X.X.X.X/32 gateway=X.X.X.X pref-src=X.X.X.X add distance=1 dst-address=X.X.X.X/24 gateway=l2tp-in1 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ppp secret add name=XXX password=XXX profile=l2tp service=l2tp /system clock set time-zone-name=Europe/Moscow /system ntp client set enabled=yes primary-ntp=192.36.143.130 secondary-ntp=91.209.94.10 0

@mkat 85 / 28 / 4 Регистрация: 07.07.2019 Сообщений: 99
	19.05.2021, 18:25	7
	pppoe добавить в интерфейс лист WAN 0

@romsan 5105 / 2166 / 463 Регистрация: 17.10.2015 Сообщений: 9,251
	19.05.2021, 18:45	8
	Сообщение от mkat pppoe добавить в интерфейс лист WAN для чего? У ТС в конфиге вообще листы WAN и LAN не фигурируют. (для чего было группировать!?) Да, так же вижу, что адреса подсетей повешены на порты, а не на бридж. И повешено два адреса из разных подсетей. Возможно под ХХХХ у ТС внутренняя подсеть 6.0/24 и используется... тут только угадывать. )))) порты вроде открыты, должно работать. Создай правило log в фаерволе и поставь первым. Отследи пакеты... где затык.. 1

@jekh 0 / 0 / 0 Регистрация: 19.05.2021 Сообщений: 21
	20.05.2021, 08:39 [ТС]	9
	какие порты смотрят в локалку? сколько всего локальных сетей на L3? две в одном броадкасте? в какие порты приходят провайдеры? например тот, через который pppoe поднимается Провайдерский pppoe висит на ether10. В локалку смотрят по сути все остальные. Сетей две: 192.168.0.0/24 и 192.168.6.0/24. Причем я отвечаю только за первую, именно на ней висит вся основная инфраструктура. Вторая: баловство московского филиала для своих отдельных клиентских wi-fi ap. С interfaces lists путаница, но как отметили до меня, они по сути и не используются нигде. Вторая большая ошибка Не используйте action=netmap, если не знаете как он работает, для перенаправления портов используйте action=dst-nat Странно. На курсах MTCNA мне с точностью до наоборот было сказано использовать netmap при маппинге как более совершенный вариант, а dst-nat оставить продвинутым специалистам. Безусловно, косяков в конфиге хватает. С ним успел поработать уже целый взвод сисадминов. Буду исправлять по мере сил. Спасибо за подсказки! Добавлено через 15 минут Сообщение от romsan Создай правило log в фаерволе и поставь первым. Отследи пакеты... где затык.. Можно образец правила? Не приходилось еще логгировать ipsec пакеты. Или просто по VPN порту? Что-то вроде такого? add action=log chain=forward comment=IPsec_log log=yes log-prefix=IPSEC out-interface=LAN-bridge1 port=500 protocol=udp 0

@romsan 5105 / 2166 / 463 Регистрация: 17.10.2015 Сообщений: 9,251
	20.05.2021, 08:50	10
	Сообщение от jekh Можно образец правила? да, именно. Создать два правила - для входящих пакетов (dst-address=[адрес_ПК_с_VPN]) и для исходящих пакетов (src-address=[адрес_ПК_с_VPN]) и порты соответствующие. Ну и позырыть - что куда ходит и ходит ли вообще? 0

@jekh 0 / 0 / 0 Регистрация: 19.05.2021 Сообщений: 21
	20.05.2021, 09:13 [ТС]	12
	Сейчас специально выпросил доступ к AP, которая висит на ether2, сходил, подключился и проверил доступность своего тестового L2tp/ipsec сервера. Работает! Получается из 192.168.6.0/24 L2tp/ipsec доступен, с проблемного микрота через L2tp-client доступен, а недоступен только из основной сети 192.168.0.0/24. Сообщение от insect_87 PS - закрашивать каждый адрес не нужно, тем более внутренние, прятать можно было только ваш внешний адрес, а его вы получаете по PPP динамически, потому в конфиге его нет У страха глаза велики Внешний адрес статический. Но это уже не суть, я Вас понял. 0

	20.05.2021, 11:23

@insect_87 Модератор 11427 / 6996 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	20.05.2021, 09:17	13
	jekh, прочтите и переделайте все по пунктам и ответьте на два вопроса Сообщение от insect_87 И сразу: адрес 192.168.0.1 у кого? Сообщение от jekh Странно. На курсах MTCNA мне с точностью до наоборот было сказано использовать netmap при маппинге как более совершенный вариант, а dst-nat оставить продвинутым специалистам. кто тренер? и организация какая? 0

@jekh 0 / 0 / 0 Регистрация: 19.05.2021 Сообщений: 21
	20.05.2021, 09:21 [ТС]	14
	192.168.0.1 - в бородатые времена принадлежал контроллеру домена. В настоящее время не принадлежит никому. Шлюз 192.168.0.2 (собственно микрот) Сообщение от insect_87 кто тренер? и организация какая? Сейчас уже не вспомню, а блокнот с конспектами дома оставил. 0

@insect_87 Модератор 11427 / 6996 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	20.05.2021, 09:22	15
	Сообщение от jekh Сейчас уже не вспомню, а блокнот с конспектами дома оставил. Москва? 0

@jekh 0 / 0 / 0 Регистрация: 19.05.2021 Сообщений: 21
	20.05.2021, 09:33 [ТС]	16
	Сообщение от insect_87 Москва? Киров. 0

@romsan 5105 / 2166 / 463 Регистрация: 17.10.2015 Сообщений: 9,251
	20.05.2021, 09:36	17
	а где эти правила? Код #Для правильной работы ipsec в туннельном режиме add action=accept chain=forward ipsec-policy=in,ipsec add action=accept chain=forward ipsec-policy=out,ipsec Сообщение от jekh использовать netmap при маппинге а "сноску" не говорили? ))) Вот схема. Кликните здесь для просмотра всего текста Обрати внимание - netmap используется при одинаковых подсетях за микротиками. В вашем случае используется именно dst-nat (проброс), а не объединение подсетей с одинаковой адрессацией. Не по теме: Еще: Destination NAT – изменение IP-адреса назначения и выполнение обратной функции для ответа. Преобразование адреса получателя называется dst-nat Цепочка Dstnat при настройке NAT на MikroTik служит для изменения IP-адреса и/или порта назначения и выполнения обратной функции для ответа. Действие Netmap служит для создания связки из IP-адресов (1:1 NAT). На практике применяется для решения следующих задач: - сделать IP-адрес или группу адресов доступными из интернета по белому IP. (принцип 1:1); - объединить разные сети с одинаковыми адресами сетей. 0

@insect_87 Модератор 11427 / 6996 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	20.05.2021, 09:45	18
	Сообщение от romsan а где эти правила? Роман, для NAT-T IPSEC нужен только 4500 UDP и режим там транспортный 0

@jekh 0 / 0 / 0 Регистрация: 19.05.2021 Сообщений: 21
	20.05.2021, 11:12 [ТС]	19
	add action=log chain=forward comment=IPsec_log log=yes log-prefix=IPSEC out-interface=LAN-bridge1 port=500 protocol=udp Молчит. Добавлено через 5 минут insect_87, прошёлся по пунктам, поправил. Ничего не изменилось. 0