Что не так в маршрутах? или VPN без src-nat?

Question

[Талян]

Привет!
Изначально была такая конфигурация:
Mikrotik:
BRIDGE_LAN: 192.168.0.1/24

На том же микротике L2TP+IPSEC Server: 10.10.100.1
Pool: 10.10.100.101-254

Ну и NAT:
ip.src=10.10.100.0/24 ip.dst=192.168.0.0/24 -j src-nat to-source=192.168.0.1

У L2TP клиентов:
ip route add 192.168.0.0/24 via 10.10.100.1

Все клиенты L2TP могут лазить по локалке 192.168.0.0/24

Я подумал, что можно их не натить, а убрать правило src-nat, и настроить форвардинг:

add action=accept chain=forward dst-address=192.168.0.0/24 src-address=10.10.100.0/24
add action=accept chain=forward dst-address=10.10.100.0/24 src-address=192.168.0.0/24

У клиентов L2TP и так прописан маршрут в 192.168.0.0/24 через 10.10.100.1
А все компы 192.168.0.0/24 и так в качестве основного шлюза имеют 192.168.0.1

Но трафик, пинги, не ходит ни в ту ни в другую сторону.
Маршрут в 10.10.100.0/24 не указан, так как при присоединении любого клиента L2TP к микротику, в микротике прописывается маршрут до клиента по 32-й маске.

То есть шлюз (микротик) в обе стороны может всех пинговать.
Между подсетями прописан форвардинг, и у обоих сторон шлюз - это микротик.

Что я не сделал то еще? Почему не пингуются товарищи? SRC-NAT в этой ситуации же не обязателен, верно?

Думал, что может IPSEC туннелит как-то хитро, и может из-за этого. Но отключил IPSEC, и ситуация не изменилась.

Comments

[Drno]

нужен не форвардинг, а роутинг

[Талян]

Drno, вы если бы дали более развернутый ответ, я может вас бы и понял.

А так:
- У меня маршруты все имеются из обоих сетей в обе сети через общий шлюз. (такой роутинг вас утроит?)
- У меня между интерфейсами настроен форвардинг (а как еще траффик между разными интерфейсами ходить должен?)

Или что вы имеете ввиду?

[res2001]

SRC-NAT в этой ситуации же не обязателен, верно?

Все верно! Сто раз писал тут про это в обсуждениях вопросов по OpenVPN.
И да, нужен обычный стандартный роутинг (форвардинг не нужен), а он у вас и так должен работать, т.к. маршруты везде есть.
Проверьте правила фаерволов на всех хостах, возможно надо явно разрешить трафик из одной подсети в другую и наоборот.
Что бы понять на какой стороне затык, хорошо бы использовать что-то типа tcpdump на микротике и пинговать из одной сети другую.

[Максим Гришин]

Ещё вариант - смените подсеть 192.168.0.0/24 на 192.168.х.0/24, возможен конфликт IP-адресов за VPN с локальными сетями L2TP-клиентов, там роутеры чаще всего 192.168.0.0/24 и раздают.
А так - надо смотреть настройки IPsec тоже, там есть понятия leftsubnet и rightsubnet, и чтобы пакет пролез в туннель, нужно, чтобы он шел из left в right или обратно. Но вообще диалапный VPN нужно именно source-NAT'ить, чтобы не было проблем с пакетами, приходящими от ресурсов вне локальной подсети VPN-сервера.

[Талян]

Максим Гришин, Про конфликт - понятно. Его не рассматриваю на данном этапе. Клиент - я один, и у меня на роутере другая подсеть.

Answer 1

[Руслан Федосеев]

Проверьте таблицу маршрутизации на клиенте при поднятом впн - маршрут в нужную сеть идет через впн?
Проверьте фаервол на микротике.

Comments

[Талян]

Таблицу маршрутизации на клиенте проверил. Мало того, я маршрут сам лично прописываю в нужную сеть.

А по поводу файрвола на микротике:
Последнее правило в микротике - запрещающее весь форвардинг.
Выше я писал, что правила форвардинга между сетями у меня стоит сразу после accept related,established.
В то же время товарищ Drno пишет, что

нужен не форвардинг, а роутинг

.