Как сделать проброс L2TP через NAT в RouterOS?

Question

[Trianid Trianid]

Всем привет! Задача такова:
Есть три маршрутизатора Mikrotik.
1. ДОМ1 (на нем сервер L2tp, сам маршрутизатор в интернет выходит через PPPoE)
2. ДОМ2 (тут клиент L2tp, с маршрутизатор ДОМ1 связывается по L2tp (открыт UDP/1701 на ДОМ1) посредством провайдерской внутрисети (не pppoe интерфейс). Пакеты между сетями за NAT этих маршрутизаторов ходят без проблем, все супер!
3. ОФИС - другой провайдер, клиент L2tp.
ОФИС не хочет подключаться к ДОМ1 по внешнему IP (адрес белый, другие проброшенные протоколы типа RDP, HTTP работают). Порт 1701 в ip-firewall-firewall rules открыт для pppoe соединения и ip-firewall-NAT проброшен на внутрисетевой адресДОМ1.
Куда копать? Какой инфой дополнить этот вопрос? спасибо!

Answer 1

[Gregory]

маршруты прописаны?
ааа падажите, я вас не понял до конца. между ними сеть vpn а вы хотите цепляться по внешнему ip через проброс?

Comments

[Trianid Trianid]

да, на обоих роутерах они unreachable =( в логах сервера ДОМ1 вообще ничего о входящем подключении

[Gregory]

покажите /ip routes
лучше оба конфига , пароли ток удалите и ип свои внещние

[Viktor]

порты udp 1701, 500, 4500
протоколы 47(gre) и 50(ipsec-esp)

[Trianid Trianid]

ДОМ1


ОФИС

[Trianid Trianid]

Trianid Trianid, 3й по списку 192.168.88.0/24 разницы нет, к другой подсети маршрут пробовал.

[Trianid Trianid]

Я хочу к роутеру ДОМ1 цепляться по VPN из ДОМ2 и ОФИС.
Первое работает (ДОМ2 цепляется через локалку провайдера).
Второе не работает ибо интернет ДОМ1 видит через PPPoE и что-то я делаю совсем не так походу.

[Trianid Trianid]

Viktor, ipsec пока не врубал. Их в NAT или Filter Rules?

[Gregory]

у ДОМ1 в правилах фаервола что?

[Trianid Trianid]

Gregory,

[Gregory]

В NAT (рис2) 7 правило ет чаго?
у вас l2tp без Ipces?
показыайте весь конфиг дом1 :)

[Trianid Trianid]

Gregory, это попытка пробросить порт l2tp из интерфейса который смотрит в инет на локальный адрес роутера.
Да, у меня без него пока не работает с его портами - как сделаю понятно что включу

[Gregory]

пробуйте так l2tp+IPsec
на ДОМ1 (там где сервер с статическим IP адресом)
откройте порты 1701,500,4500 upd и ipsec-esp

/ip firewall filter
add chain=input protocol=udp port=1701,500,4500
add chain=input protocol=ipsec-esp

на сервере включить IPSec и указать ключ-IPSec


На клиентах(ДОМ2 и ОФИС.) добавить ключ-IPSec

[Ziptar]

Trianid Trianid,

это попытка пробросить порт l2tp из интерфейса который смотрит в инет на локальный адрес роутера.

И зачем это? Уберите. Это точно никак не поможет.

Какой инфой дополнить этот вопрос?

Логами с обеих сторон во время установки l2tp-соединения. Tools->Logging->L2tp,memory

Что касается IPSec... между двумя микротами можно без ipsec. Если модели Routerboard не имеют аппаратной поддержки шифрования - нагрузка на процессор будет очень высокой.

Answer 2

[Интернет]

А требуется то что? Вам нужно доступ до камер получить? Либо по белому ip либо через сервис облачный. Но облако я всегда отключаю ибо это ооооочень легко ломают боты.