Mikrotik rb951g 2hnd VPN L2TP — клиент не видит локалку, как поправить?

Question

[inogda_dobriy]

настраивал вот так: bozza.ru/art-248.html, создал подключение на win8. Подлючается, на роутере подключение видится но клиент не видит локальную сеть и не пингует компы в локалке хотя адрес сети такой же как и в основной локалке

Answer 1

[mequasar]

NAT попробуйте из локальной сети в VPN.

Comments

[inogda_dobriy]

как это сделать? я не на столько харош чтоб сделать это без подсказки

Answer 2

[Maksim]

Руки отвалятся если сделать скриншоты?

1.IP-Firewall-Filter rules
2.IP-Firewall-NAT
3.IP-Routes

Answer 3

[inogda_dobriy]

не отвалятся конечно:
[*****@MikroTik] /ip> route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 **.**.228.1 0
1 ADC **.**.228.0/24 **.**.228.128 ether1-gateway 0
2 ADC 192.168.85.0/24 192.168.85.1 wlan2 0
3 ADC 192.168.88.0/24 192.168.88.1 bridge1-local 0

[*****@MikroTik] /ip firewall>> filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; icmp
chain=input action=accept protocol=icmp log=no log-prefix=""
1 ;;; established
chain=input action=accept connection-state=established log=no log-prefix=""
2 ;;; related
chain=input action=accept connection-state=related log=no log-prefix=""
3 ;;; manage
chain=input action=accept in-interface=bridge1-local log=no log-prefix=""
4 ;;; VPN
chain=input action=accept connection-state=new protocol=udp in-interface=ether1-gateway dst-port=1701,500,4500 log=no log-prefix=""
5 ;;; VPN
chain=input action=accept connection-state=new protocol=ipsec-esp in-interface=ether1-gateway log=no log-prefix=""
6 ;;; https NAS
chain=input action=accept protocol=tcp in-interface=ether1-gateway dst-port=443 log=no log-prefix=""
8 ;;; all other drop
chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""
9 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid log=no log-prefix=""
10 ;;; Allow established connections
chain=forward action=accept connection-state=established log=no log-prefix=""
11 ;;; Allow related connections
chain=forward action=accept connection-state=related log=no log-prefix=""
12 ;;; Allow acess to internet
chain=forward action=accept src-address-list=inet in-interface=bridge1-local out-interface=ether1-gateway log=no log-prefix=""
13 chain=forward action=accept src-address-list=inet2 in-interface=wlan2 out-interface=ether1-gateway log=no log-prefix=""
15 ;;; https NAS
chain=forward action=accept protocol=tcp dst-port=443 log=no log-prefix=""
16 ;;; VPN
chain=forward action=accept protocol=ipsec-esp log=no log-prefix=""
17 ;;; VPN
chain=forward action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix=""
18 ;;; All other drop
chain=forward action=drop log=no log-prefix=""

[admin@MikroTik] /ip firewall nat>> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=192.168.88.111 protocol=tcp in-interface=ether1-gateway dst-port=443 log=no log-prefix=""

Answer 4

[athacker]

Нарисуйте лучше схему, что как подключено, и какие IP-адреса на интерфейсах. Откуда подключается клиент -- из интернета, или из той же локалки, куда он должен получить доступ? :-)

Comments

[inogda_dobriy]

на роутере
1-й порт приходит инет от провайдера
2-4 +wifi єто локалка в бридже которая видится между собой (все это 88-я сеть)
на роутере поднят l2tp+IPsec сервер
клиент приходит через интернет с виндовой машины/ подключается и ему нужно видеть локальную сеть но он ее не видит, хотя подключение есть.

в результате нам нужно чтоб работник из любого места где есть интернет мог работать в локальной сети.

[athacker]

inogda_dobriy: вам нужно у клиента на машине прописывать статический маршрут в виде: route add MASK <сетевая_маска_вашей_локалки>. На винде это придётся делать ручками. Либо назначать шлюз по умолчанию на VPN-интерфейс, и раздавать клиенту интернет через ваш роутер в такие моменты, тогда маршрут до локалки прописывать будет не нужно.

[inogda_dobriy]

athacker: я так понимаю в первом варианте (прописав статический маршрут) клиент сможет работать только в нашей сети, тоесть из своей родной (там где он находится) он автоматически выпадет. Во втором варианте он сможет пользоваться своей родной сетью, а при подключении будет попадать в офисную.

тогда конечно второй вариант более предпочтителен. как этот шлюз для VPN интерфейса назначить?

[athacker]

inogda_dobriy: ровно наоборот -- если прописать статический маршрут, то клиент сможет пользоваться и своей сетью, и своим интернетом, и ходить в вашу сеть. Но только при условии, что у него локальный IP-адрес не пересекается с IP-адресами вашей офисной сети. Ну т.е. если у клиента IP в локалке 192.168.0.1, а у вас в офисной сети используется сеть 192.168.0.0, то работать эта схема не будет. У вас в туннеле, у клиента в локалке и в офисной локалке должны быть разные IP-подсети. Ну например, у клиента в локалке 192.168.0.0/24, в туннеле подсеть 172.16.0.0/30, а в офисной локалке -- 192.168.1.0/24. Тогда всё будет работать, нужно только маршрутизацию правильно прописать.

А если вы клиенту будете отдавать дефолт, то у него своя локалка (в случае непересечения IP-подсетей) будет доступна, но не будет доступен свой интернет, поэтому вам придётся раздавать ему интернет через свой роутер внутрь туннеля.