Как с микротика подключится к другому клиенту l2tp?

Question

[Alexander]

Имеется l2tp-сервер с подключенными клиентами. Пытаюсь подключить mikrotik 751G как клиент к l2tp-серверу (интернет на микротике через 3g-модем). Соединение устанавливается, присваивается внутренний IP: 200.200.200.102
Но ни с компа подключенного к микротику, ни с самого микротика другого клиента подключенного к этому серверу - пропинговать не удается. Если прописываю route вида:
Dst.addres: 200.200.200.0/24
GateWay: l2tp-out1
Pref.source: 200.200.200.102
То пользователи пингуются с микротика, но не пингуются с компа подключенного к микротику.
Вопросы:
1. Как правильно прописать роут(ы)?
2. Если добавить второе правило маскарад для l2tp - то с компов подключенных к микротику - другие клиенты становятся доступными. Почему? (Эти правила после перезагрузки отваливаются, и надо вручную запускать. Полагаю, что так делать нельзя)
3. Не удается подключить микротик как pptp-клиент. Как можно на миротике дебажить причину link established? ( /interface pptp-client monitor ничего не показывает кроме link established)

Answer 1

[Клёвый Админ]

Первое что важно понять - l2tp расшифровывается как - туннельный протокол второго уровня. Т.е. это канальный протокол, работающий в качестве туннеля. От этого понимания рождается два вывода:
1. Можно пускать трафик просто в интерфейс, кто-нибудь его всё равно обработает (если точнее, то не "кто-нибудь", а чётко вторая сторона, других сторон в туннеле нет)
2. Адреса на такой туннель устанавливаются с маской /32.

Из последнего получается, что в таблице маршрутизации микротика или сервера не появляется маршрут вида 200.200.200.0/24, поэтому его нужно прописывать руками.

Дальше. Сервер на который вы подключаетесь управляет кучей таких туннелей и все они у него как куча подсетей /32 в зависимости от адреса назначения пакет отправляется по соответствующему маршруту, который как написано выше равен отдельному туннелю. Но этот сервер совершенно ничего не знает про то, какие сети расположены за его клиентами, в его таблице маршрутов просто нет записи вида Х.Y.Z.W/24 gw 200.200.200.102, а значит если трафик в каком либо туннеле придёт от источника из этой подсети роутер не сможет вернуть его назад - потому от удалённой сети ваша сеть за микротиком не видна.

В протоколе ipv4 для такой ситуации придумали механизм - NAT - он подменяет адрес источника во всех пакетах идущих от компьютеров за микротиком, на адрес назначенный на туннель, в такой ситуации сервер l2tp сможет понять (если точнее, то в такой ситуации сервер L2TP думает что весь трафик идёт только от МИкротика - от его клиента) куда же отправить пакеты и трафик начинает ходить.

Резюмируя. При использовании любых P2P туннелей нужно добавлять маршруты в таблицу (либо руками, либо автоматом, но это за рамками вопроса). Так же необходимо использовать NAT либо добавлять маршруты в таблицу сервера (последнее так же за рамками вопроса).

Comments

[Alexander]

Евгений, спасибо за развернутый ответ. Вы правы при подключении к l2tp микротик автоматически добавляет роут:
Dst.addres: 100.100.100.1/32
GateWay: l2tp-out1
Pref.source: 200.200.200.102
И если более ничего не добавлять я пингую с микротика 100.100.100.1(внутренний ip l2tp-сервера), но с компа подключенного к микротику я не пингую данный IP.
NAT изначально на микротике стоит:
chain: srcnat
out. Interface: ppp-out1 (USB-модем)
Action: masquerade
Только благодаря этому правилу компы с локальными IP адресами выданными микротиком имеют выход в инет(NAT).
Но теперь ко всему этому добавляется тунель - и что нужно еще одно такое правило сделать? Или заменить в этом правиле out. Interface: ppp-out1 на l2tp-out1? Но тогда получается что не будет доступа во вне кроме как через l2tp? А хотелось бы отправлять в этот туннель только если ip-адрес соответствует тем что в этом туннеле присутствуют.

Резюмируя. Как я и предполагал ранее мне нужно чтобы при обращении к ip адресам 200.200.200.ХХХ - устройство подключенное к микротику, попадало в этот тунель. Именно из-за этого я добавил правило:
Dst.addres: 200.200.200.0/24
GateWay: l2tp-out1
Pref.source: 200.200.200.102
Но этим добился лишь доступ самого микротика.

P.S. Конечно хотелось бы сделать все через pptp, но с ним какие то сложности и пока не нашел способов как получить информацию об ошибке соединения.

[Клёвый Админ]

ZzeroCool: нужно создать ещё одно правило маскарадинга в НАТ для второго туннеля.

[Alexander]

Евгений Быченко:
Евгений, я так делал как уже писал. И это даже работало. Но меня такое решение смущает. Да и после перезагрузки роутера первый маскарадинг почему то становится неактивным(серым) и запускается после того как в него зайдешь и нажмешь ОК(ничего не меняя).
Спасибо, буду тогда внимательно проверять данное решение. Может там был временный глюк.

А что касается дебага подключения по pptp, могли бы подсказать?

[Клёвый Админ]

ZzeroCool: правило становится неактивный так как падает туннель, если прошивка новая и такое поведение сохраняется, то поменяйте ваше основное правило на !lan (не локальная сеть) в исходящем интерфейсе, всё будет работать.

Дебаг осуществляется просто, в System Logging добавляем запись с типом pptp и смотрим лог.