Задать вопрос
@JackBauer

Mikrotik: l2tp client -> один конкретный eth-порт. Как??

Приветствую. Новичок с Mikrotik, железка RB2011UiAS-2HnD-IN.

Вводные:
1. На 'том' конце VPN L2TP server (ipsec не задействован в данном примере, сервер softether. работает отлично), виртуальный хаб VPN сервера local-bridge соединен с инет-интерфейсом сервера + на tap интерфейсе (на который забриджен виртуальный хаб) запущен DHCP сервер (диапазон 192.168.7.2-100, гейт .1) для удаленных клиентов этого VPN. Tap-интерфейс NAT-ed в интернет.
Любые клиенты без проблем соединяются с ним и не имеют проблем (получают адрес по DHCP и работают).
2. На 'этом' конце Mikrotik, работает в режиме station-pseudobridge, принимает интернет через wlan1 от главной точки доступа и предоставляет доступ железкам, подключенным в физические порты (все порты забриджены в один)

Задача:
Сделать L2TP client, который будет предоставлять 'физический' доступ к виртуальному хабу VPN сервера устройству, подключенному в ETH5 порт Mikrotik.
То есть я вставляю устройство в ETH5 и оно само получает настройки уже от VPN сервера.
ИЛИ если это не реализуемо (и я примерно могу понять потенциальные причины) - просто еще один NAT, но чтобы все что подключено к ETH5 nat-илось через VPN.

Сам L2tp-out1 интерфейс создается, получает IP 'оттуда' (.7.58 например).
Пробовал много туториалов, добавлял mangle метку всем пакетам с ETH5, и далее роутил их на L2tp-out1; пробовал назначать на ETH5 сеть 192.168.80.0/24, запускал на ней DHCP, опять же пробовал роутить все пакеты из нее на l2tp-out1, с masqurade и без.
Никак.

Прошу помощи, уже двое суток не могу осилить.
Спасибо!
  • Вопрос задан
  • 6607 просмотров
Подписаться 2 Оценить Комментировать
Решения вопроса 1
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
такс, если я правильно понял, то для конкретного порта на микротике нужно пустить весь трафик через ВПН.

Если всё верно (и нельзя создатиь отдельный бридж l2tp-cli + eth5, я не помню по техническим причинам или конкретно в вашей конфе), то делаем следующее:
1. Eth5 исключаем из всех бриджей, назначаем адрес (из сторонней не пересекающейся адресации), поднимаем DHCP
2. Маркируем все входящие на интерфейс eth5 пакеты, назначем на промаркированные пакеты в мангле роутинг тэйбл (два правила в мангле)
3. В таблицах маршрутизации создаём правило для 0.0.0.0/0 где роутинг марк указываем тот что сделали выше, шлюз тот что l2tp (или интерфейс l2tp-cli)

Если я ничего не забыл (а я мог что нить забыть), то в правилах мангла пойдут пакеты, а на l2tp-server пойдёт трафик.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы