Как настроить внешний трафик через VPN с исключением?

@serg4242 · Регистрация: 22.11.2014

Author24 — интернет-сервис помощи студентам

Нужно весь внешний трафик гнать через VPN, кроме одного ip (сервер офиса), к нему нужно подключаться напрямую. Подскажите, пожалуйста, как это сделать.

@ArakelTheDragon · 05.02.2020, 01:29

Пожалуйста, укажите модель и конфигурацию вашего компьютера и маршрутизатора. ОС, роутер, компьютер. Установить VPN легко из магазина Windows 10. На каждом компьютере в сети должна быть установлена и включена VPN, кроме той, которую вы хотите подключить напрямую.

@serg4242 · 05.02.2020, 01:42 **[ТС]**

Роутер RouterBOARD 952Ui-5ac2nD. На компьютере не планирую настраивать VPN. Хочу поднять клиента на роутере и все внешние запросы перенаправлять в туннель. Кроме одного ip к которому обращение напрямую.

@ArakelTheDragon · 05.02.2020, 02:32

Это сложный процесс. Ваш маршрутизатор должен поддерживать параметры VPN-сервера и VPN-клиента. Это потребует много проб и ошибок на вашей стороне. Если ваш маршрутизатор не поддерживает VPN, вы можете прошить его с помощью DD-WRT. Здесь простой учебник на английском языке.

@insect_87 · 05.02.2020, 06:44

serg4242,
Прописываете в ip routes три статических маршрута, остальные убираете или выключаете.

Код

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.10
add dst-address=23.23.23.23 gateway=12.12.12.12
add dst-address=22.22.22.22 gateway=12.12.12.12

Где
10.10.10.10 - туннельный адрес VPN-сервера
23.23.23.23 - внешний адрес VPN-сервера
12.12.12.12 - шлюз провайдера
22.22.22.22 - внешний адрес сервера офиса

Если что-то не понятно, выкладывайте из new terminal

Код

export hide-sensitive

А так же напишите след. адреса:
туннельный адрес VPN-сервера
внешний адрес VPN-сервера
шлюз провайдера
внешний адрес сервера офиса

@serg4242 · 05.02.2020, 21:58 **[ТС]**

Пытаюсь прикрутить seem4me VPN к роутеру, ничего не выходит, постоянно обрывы, или вообще не может подлючится. Плюнул и стал настраивать на машине. Всё прекрасно работает, только теперь туннель vpn до офиса идёт внутри общего VPN от сервиса и соответственно вместо пары километров по локалке провайдера с максимально доступной скоростью, делает крюк через забугорные серваки.

Конфиг с машины:

Кликните здесь для просмотра всего текста

Windows IP Configuration

Host Name . . . . . . . . . . . . : x6258
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter Seed4me:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Windows Adapter V9 #2
Physical Address. . . . . . . . . : 00-FF-CC-F5-C2-E8
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::f51b:da:8816:cc0%34(Preferred)
IPv4 Address. . . . . . . . . . . : 10.173.3.35(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.0.0
Default Gateway . . . . . . . . . : 10.173.0.1
DHCPv6 IAID . . . . . . . . . . . : 570490828
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-C6-B2-A5-94-DE-80-A6-EB-8C

DNS Servers . . . . . . . . . . . : 10.173.0.1
8.8.8.8
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Office:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : TAP-Windows Adapter V9
Physical Address. . . . . . . . . : 00-FF-3B-5E-88-69
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::fd24:ab6f:92f6:2702%15(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.0.13(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 5 февраля 2020 г. 18:52:47
Lease Expires . . . . . . . . . . : 4 февраля 2021 г. 18:52:47
Default Gateway . . . . . . . . . :
DHCP Server . . . . . . . . . . . : 192.168.0.0
DHCPv6 IAID . . . . . . . . . . . : 268500795
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-C6-B2-A5-94-DE-80-A6-EB-8C

DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physical Address. . . . . . . . . : 94-DE-80-A6-EB-8C
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.88.188(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 5 февраля 2020 г. 20:30:47
Lease Expires . . . . . . . . . . : 5 февраля 2020 г. 21:55:47
Default Gateway . . . . . . . . . : 192.168.88.1
DHCP Server . . . . . . . . . . . : 192.168.88.1
DNS Servers . . . . . . . . . . . : 192.168.88.1
8.8.8.8
NetBIOS over Tcpip. . . . . . . . : Disabled

Ethernet adapter VirtualBox Host-Only Network:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter
Physical Address. . . . . . . . . : 0A-00-27-00-00-0D
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::a93d:d4e1:3594:85e0%13(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.56.1(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
DHCPv6 IAID . . . . . . . . . . . : 369754151
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-C6-B2-A5-94-DE-80-A6-EB-8C

DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{CC38E879-AF8A-4BF7-9A26-E3E48F8FF3FC}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{53FF44F1-EC3C-4FB7-B65A-6D67C3AA4FFB}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{3B5E8869-FB95-4C1D-8214-729DB9E72902}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #3
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{CCF5C2E8-82DF-4FF0-9040-6EDA2DAAD073}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #4
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Хотелось бы, конечно, силами роутоера это настроить, чтобы на каждом устройстве не настраивать вручную. Но раз клиента не выходит поднять, дальше, видимо двигаться не к чему.

@ArakelTheDragon · 05.02.2020, 22:48

Существует 2 варианта настройки VPN, первый вариант - использование сторонних серверов, второй вариант - использование домашнего сервера. Вы можете попробовать, если ваш сервер поддерживает его или купить какой-нибудь маршрутизатор подержанный дешево и установить DD-WRT. Вот как использовать DD-WRT с домашней или офисной сетью. Это на английском.

@serg4242 · 06.02.2020, 01:53 **[ТС]**

Сообщение от ArakelTheDragon

Существует 2 варианта настройки VPN, первый вариант - использование сторонних серверов, второй вариант - использование домашнего сервера. Вы можете попробовать, если ваш сервер поддерживает его или купить какой-нибудь маршрутизатор подержанный дешево и установить DD-WRT. Вот как использовать DD-WRT с домашней или офисной сетью. Это на английском.

Мой вариант публичный VPN сервер seek4.me через, который я хочу гнать весь сетевой трафик. И VPN сервер в офисе, к которому я подключаюсь на работе. На машине к обоим смог подключиться, только трафик до офиса идет через первый туннель. Наверно нужно какой-то маршрут прописать, чтобы подключение к офису шло напрямую через провайдера.

Поднять VPN клиент на mikrotik я не смог, ни pptp, ни l2tp. Хотя настройки делал те же, что и на машине. То вообще не подключается, то подключается и тут же рвёт связь.

@insect_87 · 06.02.2020, 06:42

serg4242, я вам написал решение уже, конфиг роутера вы так и не выложили.
+теперь мы узнаем, что у вас будет два туннеля?

@serg4242 · 10.02.2020, 20:45 **[ТС]**

Сообщение от insect_87

serg4242, я вам написал решение уже, конфиг роутера вы так и не выложили.
+теперь мы узнаем, что у вас будет два туннеля?

Решение я понял, но т.к. не смог поднять туннель до сервиса VPN на микротике, ничего проверить не смог и поэтому конфиг не выкладывал.

Второй туннель идет с самой машины как раз через тот ip офиса, в роутере его поднимать не нужно.

Кликните здесь для просмотра всего текста

# feb/10/2020 20:33:18 by RouterOS 6.46.1
# software id = 8NPB-XXHC
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 71AF0848FCF0
/interface bridge
add admin-mac=CC:2D:E0:28:5E:0B auto-mac=no comment=defconf name=bridge
/interface l2tp-client
add allow=mschap1,mschap2 connect-to=81.16.141.246 disabled=no keepalive-timeout=disabled name=seed4me use-ipsec=yes user=username
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=20/40mhz-XX default-authentication=no disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=UMTS3 wireless-protocol=802.11 \
wps-mode=disabled
set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX default-authentication=no disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=USD6 wireless-protocol=\
802.11 wps-mode=disabled
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=WFsec
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/system logging action
set 1 disk-lines-per-file=10000
/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface wireless access-list
add mac-address=30:45:96:6A:E2:EE
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1 use-peer-dns=no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input dst-port=45454 protocol=tcp src-address=192.168.0.9
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=accept chain=forward protocol=igmp
/ip firewall nat
add action=netmap chain=dstnat disabled=yes dst-port=45454 protocol=tcp to-addresses=192.168.88.246 to-ports=45454
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat disabled=yes out-interface=*B
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=1.1.1.1 pref-src=192.168.88.1
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes
add interface=bridge
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set auto-upgrade=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool user-manager database
set db-path=flash/user-manager

@insect_87 · 13.02.2020, 16:36

Сообщение от serg4242

не смог поднять туннель до сервиса VPN на микротике

Код

/interface l2tp-client
add allow=mschap1,mschap2 connect-to=81.16.141.246 disabled=no keepalive-timeout=disabled name=seed4me use-ipsec=yes user=username

1. вы пингуете с роутера сервер 81.16.141.246?
так как icmp на нем точно не закрыт, ибо я пингую его.
2. у вас туннель точно l2tp over ipsec? или все же просто l2tp?
3. зачем убрали дефолтное значение keepalive-timeout?
4. вы верно прописали ipsec secret и password для пользователя username
5. что в логах роутера-клиента?

@serg4242 · 13.02.2020, 20:39 **[ТС]**

Сообщение от insect_87

1. вы пингуете с роутера сервер 81.16.141.246?
так как icmp на нем точно не закрыт, ибо я пингую его.
2. у вас туннель точно l2tp over ipsec? или все же просто l2tp?
3. зачем убрали дефолтное значение keepalive-timeout?
4. вы верно прописали ipsec secret и password для пользователя username
5. что в логах роутера-клиента?

1. да.
2. да, насколько понимаю.
3. не менял, такое стояло.
4. да.
5.

Кликните здесь для просмотра всего текста

Feb/13/2020 20:34:25 ipsec,info ISAKMP-SA deleted 10.31.27.19[4500]-81.16.141.246[4500] spi:e0187628ab080abc:b7b7797134049622 rekey:1
Feb/13/2020 20:34:27 l2tp,ppp,info seed4me: initializing...
Feb/13/2020 20:34:27 l2tp,ppp,info seed4me: connecting...
Feb/13/2020 20:34:30 ipsec,info initiate new phase 1 (Identity Protection): 10.31.27.19[500]<=>81.16.141.246[500]
Feb/13/2020 20:34:31 ipsec,info ISAKMP-SA established 10.31.27.19[4500]-81.16.141.246[4500] spi:bd753b7fde4aa359:c54ef88b24f24ca1
Feb/13/2020 20:34:54 l2tp,ppp,info seed4me: terminating... - session closed
Feb/13/2020 20:34:54 l2tp,ppp,info seed4me: disconnected
Feb/13/2020 20:34:55 ipsec,info ISAKMP-SA deleted 10.31.27.19[4500]-81.16.141.246[4500] spi:bd753b7fde4aa359:c54ef88b24f24ca1 rekey:1
Feb/13/2020 20:34:56 firewall,info input: in:ether1 out

unknown 0), src-mac 00:21:91:b1:1f:01, proto 2, 10.40.31.254->224.0.0.1, len 32
Feb/13/2020 20:35:00 l2tp,ppp,info seed4me: initializing...
Feb/13/2020 20:35:00 l2tp,ppp,info seed4me: connecting...
Feb/13/2020 20:35:03 ipsec,info initiate new phase 1 (Identity Protection): 10.31.27.19[500]<=>81.16.141.246[500]
Feb/13/2020 20:35:05 ipsec,info ISAKMP-SA established 10.31.27.19[4500]-81.16.141.246[4500] spi:41e20248b47d8c43:151454c36750a4a4

@insect_87 · 14.02.2020, 10:04

Вы имеете доступ к настройкам удаленного L2TP over IPSEC сервера?
Или хотя бы информацию о точных параметрах L2TP, PPP и IPSEC удаленного сервера?

@serg4242 30 / 21 / 9 Регистрация: 22.11.2014 Сообщений: 129
		1
	Как настроить внешний трафик через VPN с исключением? 04.02.2020, 23:07. Показов 6669. Ответов 12 Метки нет (Все метки) Нужно весь внешний трафик гнать через VPN, кроме одного ip (сервер офиса), к нему нужно подключаться напрямую. Подскажите, пожалуйста, как это сделать. 0

@ArakelTheDragon 13 / 8 / 5 Регистрация: 11.01.2020 Сообщений: 53
	05.02.2020, 01:29	2
	Пожалуйста, укажите модель и конфигурацию вашего компьютера и маршрутизатора. ОС, роутер, компьютер. Установить VPN легко из магазина Windows 10. На каждом компьютере в сети должна быть установлена и включена VPN, кроме той, которую вы хотите подключить напрямую. 0

@serg4242 30 / 21 / 9 Регистрация: 22.11.2014 Сообщений: 129
	05.02.2020, 01:42 [ТС]	3
	Роутер RouterBOARD 952Ui-5ac2nD. На компьютере не планирую настраивать VPN. Хочу поднять клиента на роутере и все внешние запросы перенаправлять в туннель. Кроме одного ip к которому обращение напрямую. 0

@ArakelTheDragon 13 / 8 / 5 Регистрация: 11.01.2020 Сообщений: 53
	05.02.2020, 02:32	4
	Это сложный процесс. Ваш маршрутизатор должен поддерживать параметры VPN-сервера и VPN-клиента. Это потребует много проб и ошибок на вашей стороне. Если ваш маршрутизатор не поддерживает VPN, вы можете прошить его с помощью DD-WRT. Здесь простой учебник на английском языке. 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	05.02.2020, 06:44	5
	serg4242, Прописываете в ip routes три статических маршрута, остальные убираете или выключаете. Код /ip route add dst-address=0.0.0.0/0 gateway=10.10.10.10 add dst-address=23.23.23.23 gateway=12.12.12.12 add dst-address=22.22.22.22 gateway=12.12.12.12 Где 10.10.10.10 - туннельный адрес VPN-сервера 23.23.23.23 - внешний адрес VPN-сервера 12.12.12.12 - шлюз провайдера 22.22.22.22 - внешний адрес сервера офиса Если что-то не понятно, выкладывайте из new terminal Код export hide-sensitive А так же напишите след. адреса: туннельный адрес VPN-сервера внешний адрес VPN-сервера шлюз провайдера внешний адрес сервера офиса 0

@serg4242 30 / 21 / 9 Регистрация: 22.11.2014 Сообщений: 129
	05.02.2020, 21:58 [ТС]	6
	Пытаюсь прикрутить seem4me VPN к роутеру, ничего не выходит, постоянно обрывы, или вообще не может подлючится. Плюнул и стал настраивать на машине. Всё прекрасно работает, только теперь туннель vpn до офиса идёт внутри общего VPN от сервиса и соответственно вместо пары километров по локалке провайдера с максимально доступной скоростью, делает крюк через забугорные серваки. Конфиг с машины: Кликните здесь для просмотра всего текста Windows IP Configuration Host Name . . . . . . . . . . . . : x6258 Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No Ethernet adapter Seed4me: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : TAP-Windows Adapter V9 #2 Physical Address. . . . . . . . . : 00-FF-CC-F5-C2-E8 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes Link-local IPv6 Address . . . . . : fe80::f51b:da:8816:cc0%34(Preferred) IPv4 Address. . . . . . . . . . . : 10.173.3.35(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.0.0 Default Gateway . . . . . . . . . : 10.173.0.1 DHCPv6 IAID . . . . . . . . . . . : 570490828 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-C6-B2-A5-94-DE-80-A6-EB-8C DNS Servers . . . . . . . . . . . : 10.173.0.1 8.8.8.8 NetBIOS over Tcpip. . . . . . . . : Enabled Ethernet adapter Office: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : TAP-Windows Adapter V9 Physical Address. . . . . . . . . : 00-FF-3B-5E-88-69 DHCP Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes Link-local IPv6 Address . . . . . : fe80::fd24:ab6f:92f6:2702%15(Preferred) IPv4 Address. . . . . . . . . . . : 192.168.0.13(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Lease Obtained. . . . . . . . . . : 5 февраля 2020 г. 18:52:47 Lease Expires . . . . . . . . . . : 4 февраля 2021 г. 18:52:47 Default Gateway . . . . . . . . . : DHCP Server . . . . . . . . . . . : 192.168.0.0 DHCPv6 IAID . . . . . . . . . . . : 268500795 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-C6-B2-A5-94-DE-80-A6-EB-8C DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1 fec0:0:0:ffff::2%1 fec0:0:0:ffff::3%1 NetBIOS over Tcpip. . . . . . . . : Enabled Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek PCIe GBE Family Controller Physical Address. . . . . . . . . : 94-DE-80-A6-EB-8C DHCP Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IPv4 Address. . . . . . . . . . . : 192.168.88.188(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Lease Obtained. . . . . . . . . . : 5 февраля 2020 г. 20:30:47 Lease Expires . . . . . . . . . . : 5 февраля 2020 г. 21:55:47 Default Gateway . . . . . . . . . : 192.168.88.1 DHCP Server . . . . . . . . . . . : 192.168.88.1 DNS Servers . . . . . . . . . . . : 192.168.88.1 8.8.8.8 NetBIOS over Tcpip. . . . . . . . : Disabled Ethernet adapter VirtualBox Host-Only Network: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : VirtualBox Host-Only Ethernet Adapter Physical Address. . . . . . . . . : 0A-00-27-00-00-0D DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes Link-local IPv6 Address . . . . . : fe80::a93d:d4e1:3594:85e0%13(Preferred) IPv4 Address. . . . . . . . . . . : 192.168.56.1(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : DHCPv6 IAID . . . . . . . . . . . : 369754151 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-22-C6-B2-A5-94-DE-80-A6-EB-8C DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1 fec0:0:0:ffff::2%1 fec0:0:0:ffff::3%1 NetBIOS over Tcpip. . . . . . . . : Enabled Tunnel adapter isatap.{CC38E879-AF8A-4BF7-9A26-E3E48F8FF3FC}: Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Microsoft ISATAP Adapter Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes Tunnel adapter isatap.{53FF44F1-EC3C-4FB7-B65A-6D67C3AA4FFB}: Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2 Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes Tunnel adapter isatap.{3B5E8869-FB95-4C1D-8214-729DB9E72902}: Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Microsoft ISATAP Adapter #3 Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes Tunnel adapter isatap.{CCF5C2E8-82DF-4FF0-9040-6EDA2DAAD073}: Media State . . . . . . . . . . . : Media disconnected Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Microsoft ISATAP Adapter #4 Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP Enabled. . . . . . . . . . . : No Autoconfiguration Enabled . . . . : Yes Хотелось бы, конечно, силами роутоера это настроить, чтобы на каждом устройстве не настраивать вручную. Но раз клиента не выходит поднять, дальше, видимо двигаться не к чему. 0

@ArakelTheDragon 13 / 8 / 5 Регистрация: 11.01.2020 Сообщений: 53
	05.02.2020, 22:48	7
	Существует 2 варианта настройки VPN, первый вариант - использование сторонних серверов, второй вариант - использование домашнего сервера. Вы можете попробовать, если ваш сервер поддерживает его или купить какой-нибудь маршрутизатор подержанный дешево и установить DD-WRT. Вот как использовать DD-WRT с домашней или офисной сетью. Это на английском. 0

@serg4242 30 / 21 / 9 Регистрация: 22.11.2014 Сообщений: 129
	06.02.2020, 01:53 [ТС]	8
	Сообщение от ArakelTheDragon Существует 2 варианта настройки VPN, первый вариант - использование сторонних серверов, второй вариант - использование домашнего сервера. Вы можете попробовать, если ваш сервер поддерживает его или купить какой-нибудь маршрутизатор подержанный дешево и установить DD-WRT. Вот как использовать DD-WRT с домашней или офисной сетью. Это на английском. Мой вариант публичный VPN сервер seek4.me через, который я хочу гнать весь сетевой трафик. И VPN сервер в офисе, к которому я подключаюсь на работе. На машине к обоим смог подключиться, только трафик до офиса идет через первый туннель. Наверно нужно какой-то маршрут прописать, чтобы подключение к офису шло напрямую через провайдера. Поднять VPN клиент на mikrotik я не смог, ни pptp, ни l2tp. Хотя настройки делал те же, что и на машине. То вообще не подключается, то подключается и тут же рвёт связь. 0

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	06.02.2020, 06:42	9
	serg4242, я вам написал решение уже, конфиг роутера вы так и не выложили. +теперь мы узнаем, что у вас будет два туннеля? 0

@serg4242 30 / 21 / 9 Регистрация: 22.11.2014 Сообщений: 129
	10.02.2020, 20:45 [ТС]	10
	Сообщение от insect_87 serg4242, я вам написал решение уже, конфиг роутера вы так и не выложили. +теперь мы узнаем, что у вас будет два туннеля? Решение я понял, но т.к. не смог поднять туннель до сервиса VPN на микротике, ничего проверить не смог и поэтому конфиг не выкладывал. Второй туннель идет с самой машины как раз через тот ip офиса, в роутере его поднимать не нужно. Кликните здесь для просмотра всего текста # feb/10/2020 20:33:18 by RouterOS 6.46.1 # software id = 8NPB-XXHC # # model = RouterBOARD 952Ui-5ac2nD # serial number = 71AF0848FCF0 /interface bridge add admin-mac=CC:2D:E0:28:5E:0B auto-mac=no comment=defconf name=bridge /interface l2tp-client add allow=mschap1,mschap2 connect-to=81.16.141.246 disabled=no keepalive-timeout=disabled name=seed4me use-ipsec=yes user=username /interface wireless set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=20/40mhz-XX default-authentication=no disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=UMTS3 wireless-protocol=802.11 \ wps-mode=disabled set [ find default-name=wlan2 ] antenna-gain=0 band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX default-authentication=no disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=USD6 wireless-protocol=\ 802.11 wps-mode=disabled /interface list add comment=defconf name=WAN add comment=defconf name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=WFsec /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /system logging action set 1 disk-lines-per-file=10000 /tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge comment=defconf interface=wlan1 add bridge=bridge comment=defconf interface=wlan2 /ip neighbor discovery-settings set discover-interface-list=LAN /interface list member add comment=defconf interface=bridge list=LAN add comment=defconf interface=ether1 list=WAN /interface wireless access-list add mac-address=30:45:96:6A:E2:EE /ip address add address=192.168.88.1/24 comment=defconf interface=ether2 network=192.168.88.0 /ip dhcp-client add comment=defconf disabled=no interface=ether1 use-peer-dns=no /ip dhcp-server network add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip dns static add address=192.168.88.1 name=router.lan /ip firewall filter add action=accept chain=input dst-port=45454 protocol=tcp src-address=192.168.0.9 add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN add action=accept chain=forward protocol=igmp /ip firewall nat add action=netmap chain=dstnat disabled=yes dst-port=45454 protocol=tcp to-addresses=192.168.88.246 to-ports=45454 add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat disabled=yes out-interface=*B /ip route add distance=1 dst-address=192.168.0.0/24 gateway=1.1.1.1 pref-src=192.168.88.1 /ip ssh set allow-none-crypto=yes forwarding-enabled=remote /routing igmp-proxy set quick-leave=yes /routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes add interface=bridge /system clock set time-zone-name=Europe/Moscow /system routerboard settings set auto-upgrade=yes /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN /tool user-manager database set db-path=flash/user-manager 0

	14.02.2020, 10:04

@insect_87 Модератор 11429 / 6998 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	13.02.2020, 16:36	11
	Сообщение от serg4242 не смог поднять туннель до сервиса VPN на микротике Код /interface l2tp-client add allow=mschap1,mschap2 connect-to=81.16.141.246 disabled=no keepalive-timeout=disabled name=seed4me use-ipsec=yes user=username 1. вы пингуете с роутера сервер 81.16.141.246? так как icmp на нем точно не закрыт, ибо я пингую его. 2. у вас туннель точно l2tp over ipsec? или все же просто l2tp? 3. зачем убрали дефолтное значение keepalive-timeout? 4. вы верно прописали ipsec secret и password для пользователя username 5. что в логах роутера-клиента? 0

@serg4242 30 / 21 / 9 Регистрация: 22.11.2014 Сообщений: 129
	13.02.2020, 20:39 [ТС]	12
	Сообщение от insect_87 1. вы пингуете с роутера сервер 81.16.141.246? так как icmp на нем точно не закрыт, ибо я пингую его. 2. у вас туннель точно l2tp over ipsec? или все же просто l2tp? 3. зачем убрали дефолтное значение keepalive-timeout? 4. вы верно прописали ipsec secret и password для пользователя username 5. что в логах роутера-клиента? 1. да. 2. да, насколько понимаю. 3. не менял, такое стояло. 4. да. 5. Кликните здесь для просмотра всего текста Feb/13/2020 20:34:25 ipsec,info ISAKMP-SA deleted 10.31.27.19[4500]-81.16.141.246[4500] spi:e0187628ab080abc:b7b7797134049622 rekey:1 Feb/13/2020 20:34:27 l2tp,ppp,info seed4me: initializing... Feb/13/2020 20:34:27 l2tp,ppp,info seed4me: connecting... Feb/13/2020 20:34:30 ipsec,info initiate new phase 1 (Identity Protection): 10.31.27.19[500]<=>81.16.141.246[500] Feb/13/2020 20:34:31 ipsec,info ISAKMP-SA established 10.31.27.19[4500]-81.16.141.246[4500] spi:bd753b7fde4aa359:c54ef88b24f24ca1 Feb/13/2020 20:34:54 l2tp,ppp,info seed4me: terminating... - session closed Feb/13/2020 20:34:54 l2tp,ppp,info seed4me: disconnected Feb/13/2020 20:34:55 ipsec,info ISAKMP-SA deleted 10.31.27.19[4500]-81.16.141.246[4500] spi:bd753b7fde4aa359:c54ef88b24f24ca1 rekey:1 Feb/13/2020 20:34:56 firewall,info input: in:ether1 outunknown 0), src-mac 00:21:91:b1:1f:01, proto 2, 10.40.31.254->224.0.0.1, len 32 Feb/13/2020 20:35:00 l2tp,ppp,info seed4me: initializing... Feb/13/2020 20:35:00 l2tp,ppp,info seed4me: connecting... Feb/13/2020 20:35:03 ipsec,info initiate new phase 1 (Identity Protection): 10.31.27.19[500]<=>81.16.141.246[500] Feb/13/2020 20:35:05 ipsec,info ISAKMP-SA established 10.31.27.19[4500]-81.16.141.246[4500] spi:41e20248b47d8c43:151454c36750a4a4 0