Mikrotik: l2tp client -> один конкретный eth-порт. Как??

Question

[JackBauer]

Приветствую. Новичок с Mikrotik, железка RB2011UiAS-2HnD-IN.

Вводные:
1. На 'том' конце VPN L2TP server (ipsec не задействован в данном примере, сервер softether. работает отлично), виртуальный хаб VPN сервера local-bridge соединен с инет-интерфейсом сервера + на tap интерфейсе (на который забриджен виртуальный хаб) запущен DHCP сервер (диапазон 192.168.7.2-100, гейт .1) для удаленных клиентов этого VPN. Tap-интерфейс NAT-ed в интернет.
Любые клиенты без проблем соединяются с ним и не имеют проблем (получают адрес по DHCP и работают).
2. На 'этом' конце Mikrotik, работает в режиме station-pseudobridge, принимает интернет через wlan1 от главной точки доступа и предоставляет доступ железкам, подключенным в физические порты (все порты забриджены в один)

Задача:
Сделать L2TP client, который будет предоставлять 'физический' доступ к виртуальному хабу VPN сервера устройству, подключенному в ETH5 порт Mikrotik.
То есть я вставляю устройство в ETH5 и оно само получает настройки уже от VPN сервера.
ИЛИ если это не реализуемо (и я примерно могу понять потенциальные причины) - просто еще один NAT, но чтобы все что подключено к ETH5 nat-илось через VPN.

Сам L2tp-out1 интерфейс создается, получает IP 'оттуда' (.7.58 например).
Пробовал много туториалов, добавлял mangle метку всем пакетам с ETH5, и далее роутил их на L2tp-out1; пробовал назначать на ETH5 сеть 192.168.80.0/24, запускал на ней DHCP, опять же пробовал роутить все пакеты из нее на l2tp-out1, с masqurade и без.
Никак.

Прошу помощи, уже двое суток не могу осилить.
Спасибо!

Answer 1

[Клёвый Админ]

такс, если я правильно понял, то для конкретного порта на микротике нужно пустить весь трафик через ВПН.

Если всё верно (и нельзя создатиь отдельный бридж l2tp-cli + eth5, я не помню по техническим причинам или конкретно в вашей конфе), то делаем следующее:
1. Eth5 исключаем из всех бриджей, назначаем адрес (из сторонней не пересекающейся адресации), поднимаем DHCP
2. Маркируем все входящие на интерфейс eth5 пакеты, назначем на промаркированные пакеты в мангле роутинг тэйбл (два правила в мангле)
3. В таблицах маршрутизации создаём правило для 0.0.0.0/0 где роутинг марк указываем тот что сделали выше, шлюз тот что l2tp (или интерфейс l2tp-cli)

Если я ничего не забыл (а я мог что нить забыть), то в правилах мангла пойдут пакеты, а на l2tp-server пойдёт трафик.

Comments

[JackBauer]

Траффик пошел! Спасибо! Основная ошибка была в неправильной настройке mangle - во многих туториалах метод passthru, а на R-OS 6 надо делать метод routing-mark->имя марки, а там уже чекать passthru.

Теперь совершенно неожиданный глюк: одному из устройств на этом eth5 нужно иметь возможность ping-ать адрес gateway (в моем случае на eth5 повесил сеть 192.168.80.0/24 и gw 80.1, он же dns).
80.1 не пингуется. Причем во время загрузки (перезагрузки) несколько пингов все таки проходят, но после того как роутер полностью прогрузился - пинги глухие. Траффик идет! Нормально так.
Правило accept icmp есть в firewall. Даже вижу пакетики пинговые напротив этого правила.

UPDATE: это mangle такой 'эффект' дает. если добавляю !icmp - тут же начинается пинг eth5 (80.1), НО пропадает пинг в интернет (через VPN), хотя траффик идет. Пробовал создавать второе правило - никак не хочет. Или !icmp в mangle и тогда есть пинг в нет но нет пинга 80.1, или наоборот (без !icmp) есть пинг везде, кроме 80.1.
Чудеса

[Клёвый Админ]

Хм, действительно чудеса. Такс, в качестве обхода ставим мангл, с экшином аццепт, на трафик только пинга шлюза (дест 80.1 icmp)

[JackBauer]

Пробую в ближайшее время. Спасибо! По идее понятно - мангл маркирует пакеты на прямую отправку на l2tp-out1 и они летят 'мимо' eth5.

[JackBauer]

ps. до чего же вкусное устройство за свои деньги.

[Клёвый Админ]

@JackBauer ну вообще логика маркировки в том чтобы отправить нужгные (промаркированные пакеты) на свой шлюз по-умолчанию и на свой исходящий интерфейс. Пинги же локальные, по-идее, под маркироваку и под маршрутизацию попадать не должны.
Но устройство отличное. =)

[JackBauer]

Кстати не получилось с мэнглом на accept 80.1.

[JackBauer]

Cделал. Даже развел еще один VPN туннель на ETH4. Пигнуется все и везде. В фаерволе мечу все icmp пакеты на адрес гейтвея как 'нечто' (ну просто от фонаря, но action mark routing+passthru). Результат отличный. Все пинги летят в l2tp-out, пинги на гейтвей метятся просто 'по другому' и летят куда надо.
Спасибо!!!

[Клёвый Админ]

@JackBauer ну ок =) пиши ежели чего

[JackBauer]

@ifaustrue а спасибо =)

[netraven]

Можно поподробнее описать правила маркировки и маршрутизации ? Пытаюсь решить подобную задачу на роутре 750GL. Только вместо проброса устройства к серверу VPN, на выделенном порту нужно создать резервный канал через VPN для подсети вида 192.168.2.0/24 . Я выделил один порт на роутере "ether5-C24-local" и дал ему адрес , совпадающий с адресом текущего шлюза этой подсети, а также создал интерфес VPN соединения с центральной сетью "pptp-G1". В случае падения канала на основном шлюзе останется только переткнуть нужный провод в этот порт роутера . Адреса в подсети заданы статически. Маскарадинг , видимо надо включить для VPN интерфейса роутера еще. Остается правильно направить трафик с порта и обратно с помощью маркировки. Роутер только осваиваю, поэтому по общим рекомендациям пока не могу точно написать правила.

[Клёвый Админ]

@netraven что у вас там с перетыканием провода? Это зачем?

Не совсем ясна ваша задача. Начните по-порядку и наверное в отдельном вопросе.

[netraven]

Спасибо , сейчас отдельный вопрос создам.