Как объединение двух офисов в Mikrotik VPN Tunel?

Нужно вот такие правила в NAT

/ip firewall nat
Add chain=srcnet action=accept place-before=0 src=address=10.10.10.0/24 dst-address=192.168.1.0/24
Add chain=srcnet action=accept place-before=0 src=address=192.168.1.0/24 dst-address=10.10.10.0/24

И маршруты вида
/ip route add comment="Route to 192.168.1.0/24" distance=1 dst-address=192.168.20.0/24 gateway=L2TP_INTERFACE

Плюс создать сам туннель. Если у тебя будет l2tp то в маршрутах достаточно указать имя интерфейса, на месте шлюза, если тип туннеля будет другой, то указываешь IP адрес второй стороны туннеля.

И два важных правила:
1. Пиши грамотно. Это правда важно.
2. Отвечай не ответом, а комментарием. Иначе не приходит уведомление.

Как настроить hotspot в уже имеющейся среде?

в таком случае, нужно использовать авторизацию отличную от MAC

Что не так с маршрутизацией на Mikrotik?

да, сюрприз, при создании через GUI маска указывается как "/32" (это они так неявно помогают невнимательному пользователю)

VPN и mikrotik, что выбрать?

@icCE: вы же всё правильно пишете. Какую строку ещё нужно указать? secret="123"

VPN и mikrotik, что выбрать?

@icCE: вы со стороны клиента указываете его в пире. Как в примере выше. Это он и есть.

VPN и mikrotik, что выбрать?

локал адрес лучше убрать, а в целом всё верно.

VPN и mikrotik, что выбрать?

Смотрите, у вас используется два независимых пароля (секрета), один в l2tp клиенте - это классический пароль для логина там же, и второй в настройках ipsec пира - это уже тот самый секрет что вам нужен.

Если у клиента динамический IP то на сервере вы создаёте пир с адресом 0.0.0.0/0 и указываете что он может генерировать политики (лучше предварительно создать шаблон политики, где будет указан трафик UDP 1701 - тогда отладка будет проще, т.к. меньше шансов потерять управление). По идее всё заработает.

VPN и mikrotik, что выбрать?

Владимир, выше в моём комментарии показал свою конфу, где всё работает с общим ключём в связке l2tp + ipsec в транспортном.

VPN и mikrotik, что выбрать?

при чём у меня на самом деле клиент ещё и за NAT, влияет это только на ipsec политики с его стороны, там меняется адрес отправителя и sa отправителя на серый адрес выданный провайдером, со стороны сервера в аналогичных местах должны быть белые адреса.

VPN и mikrotik, что выбрать?

соответственно получаю туннель с адресацией 172.16.0.0 и заворачиваю весь траф подсетей в него.

VPN и mikrotik, что выбрать?

вот настройки моего туннеля l2tp + ipsec в транспортном. Никаких сертиков я не использую
На стороне сервера:
/ppp> export
/ppp profile
add change-tcp-mss=yes name=tunnel only-one=no use-encryption=required \
use-ipv6=no use-mpls=no
/ppp secret
add local-address=172.16.0.12 name=L2TP_LOGIN password=*** profile=tunnel remote-address=172.16.0.11 service=l2tp
/ip> ipsec export
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc pfs-group=modp1536
add enc-algorithms=aes-128-cbc,aes-256-cbc name=vpn
add enc-algorithms=des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc name=tunnel \
pfs-group=modp1536
/ip ipsec peer
add address=CLIENT_IP/32 dh-group=modp1536 dpd-interval=disable-dpd \
enc-algorithm=3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp \
generate-policy=port-override passive=yes secret=youipsecsecret
/ip ipsec policy
add dst-address=CLIENT_IP/32 dst-port=1701 priority=2 proposal=tunnel protocol=udp \
sa-dst-address=CLIENT_IP sa-src-address=SERVER_IP src-address=SERVER_IP/32

На стороне клиента:
/interface l2tp-client> export
/interface l2tp-client
add add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=SERVER_IP dial-on-demand=no \ disabled=no keepalive-timeout=disabled max-mru=1450 max-mtu=1450 mrru=disabled \
name=tunnel password=*** profile=default-encryption user=L2TP_LOGIN
/ip ipsec> export
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
des,3des,aes-128-cbc,aes-192-cbc,aes-256-cbc pfs-group=modp1536
/ip ipsec peer
add address=SERVER_IP/32 dh-group=modp1536 enc-algorithm=\
3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp generate-policy=\
port-override secret=youipsecsecret
/ip ipsec policy
add dst-address=SERVER_IP /32 dst-port=1701 protocol=udp sa-dst-address=\
SERVER_IP sa-src-address=CLIENT_IP src-address=CLIENT_IP/32

Поможет ли no-ip с серым и динамическим ip?

@NSidorov если это вопрос - то не знаю, ваш же провайдер, если это утверждение - то такова жизнь )

Как блокировать ресурсы в mikrotik ?

@SmileyK хм, сомневаюсь что хоть в каком то роутере есть функция просто так способная показать какое приложение на клиенте сгенерировало трафф (без установки софта на последний).

Как блокировать ресурсы в mikrotik ?

@SmileyK не пробовал, но если сервис "близко" находится (пинг короткий, канал широкий), то всё будет работать.

Поворот трафика в общем то дело не сложное, отметили в мангле нужный трафик, потом с нужным трафиком как хотите поступаете - хоть другой шлюз по умолчанию ему указываете (а там уже туннель до вашего облачного фильтра) хоть прозрачную прокси на него включаете (где прокси либо ваш облачный сервис, либо локальная прокся, для которой облако - родительская прокся).

Как подключить СХД к серверу через FSP модуль на коммутаторе?

к сожалению вариантов, если схд не держит iscisi\nfs, нет. Плюс если вдруг серверов больше чем FC портов на СХД, то придётся ещё и SAN свич брать.

VPN и mikrotik, что выбрать?

@icCE шаред секрет - это фича ипсек. И сейчас она там есть.

Посоветуте крошечный NAS с USB и LAN?

от 6300 www.oldi.ru/catalog/element/0231794/?from=ya_marke...

Посоветуте крошечный NAS с USB и LAN?

@lfway погуглил, действительно всё от 7000 из того что нашёл.

HP ProCurve 2650 vs Cisco Catalyst 2960/3550: что выбрать для свитчей доступа в офисной сети?

@e1ferapontov жаль. Ну в общем берите любые. Задачи у вас не сложные если выбирать между eol то не важно.

HP ProCurve 2650 vs Cisco Catalyst 2960/3550: что выбрать для свитчей доступа в офисной сети?

@SmileyK да, с пое у них пока в фич реквесте висят