Задать вопрос
@st1ny
IT

L2TP + IPSEC .Почему между RRaS и MikroTik нет соединения?

Доброго времени суток! Подскажите куда копнуть. Есть удаленный сервер в датацентре с белым IP, есть VPS с белым IP на базе RouterOS CHR. есть RB2011 с белым IP в удаленным офисе с локальной подсетью. Между офисом и облачным микротиком создан L2TP/IPSEC. С Cloud Hosted Router вижу LAN пользователей за микротиком офиса. На терминальном сервере с WIN 2012 R2 поднята роль RRaS сервера. Прописан пул получаемых клиентами адресов. Настроен VPN сервер по протоколу L2TP/IPSEC с Windows авторизацией mschap2. В AD создал пользователя и в его свойствах привязал ему статический адрес.
Если пробовать присоединиться с WIndows клиента к серверу через L2TP VPN, то проходит авторизация и благополучно происходит connect. Пинги есть и с одной и с другой стороны. Но если я с облачного микротика пытаюсь подключиться к серверу, то вижу вот такое в логах:
59e4b36192311536375185.jpeg
Конечная задача - создать туннелирование между терминальным сервером и локальной сетью через VPS для удаленной печати.
59e4c2f3c6b23639162571.png
Подкиньте мне идеи пожалуйста.
  • Вопрос задан
  • 1006 просмотров
Подписаться 2 Простой Комментировать
Решения вопроса 1
icCE
@icCE
youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
Не могу указать, что за CHR доступна локальная сеть через туннель. С метриками что то не так, или может что то в файрволе сервера упускаю, а может что то еще ?


Как всегда, все сложно понять по рисунку.
Если коротко, то у вас на маршрутизаторе должен быть указан GW к кому стучатся за этой сеткой ?

Условно у вас две сети. 192.168.0.0 и 192.168.1.0
Поднят VPN с 4 адресами и используется 172.17.1.1 для одного роутера и 172.17.1.2 для второго.
На первом роуторе указываем, что за сетью 192.168.1.0 обращаться к 172.17.1.1 .
На втором, что сеть 192.168.0.0 обращаться к 172.17.1.2
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@st1ny Автор вопроса
IT
Все таки получилось у меня связать CHR и сервер. Ошибка была в моей невнимательности. В RRaS стояла галка на L2TP и ikev, а на CHR в proposal стояли неправильные алгоритмы шифрования IPSEC.
Теперь из локалки доступен сервер по адресу VPN. Но я опять наткнулся на проблему, которая связана с маршрутизацией на сервере. Не могу указать, что за CHR доступна локальная сеть через туннель. С метриками что то не так, или может что то в файрволе сервера упускаю, а может что то еще ?
59e5f662c0169578694819.jpeg
Маршрут пробовал добавлять вот так:
route add 192.168.10.0 mask 255.255.255.0 176.176.17.2 metric 265 if 36
59e5f78e8e600160847320.jpeg
NAT CHR:
[root@MikroTik_vpn] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""
1 chain=srcnat action=masquerade out-interface=vpn-gw-serv log=no log-prefix=""
2 chain=srcnat action=masquerade out-interface=vpn-gw-st log=no log-prefix=""

ROUTES CHR:
[root@MikroTik_vpn] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 46.101.192.xxx 1
1 ADC 46.101.192.0/18 46.101.214.197 ether1 0
2 ADC 176.176.16.1/32 176.176.16.99 vpn-gw-st 0
3 ADC 176.176.17.1/32 176.176.17.2 vpn-gw-serv 0
4 A S 192.168.5.0/24 vpn-gw-st 1
5 A S 192.168.9.0/24 vpn-gw-st 1
6 A S 192.168.10.0/24 vpn-gw-st 1
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы