L2tp+Ipsec. Маршрутизация

Доброго. Есть RB951G-2Hnd. Прошивка 6.44.2
192.168.1.0 - внутренняя сеть
192.168.10.0 - впн сеть
Ип белый.
Задача с разных клиентов подключаться по рдп к серверам внутри сети 1.0.
Прописывать статические маршруты на клиентах - не вариант.
Настроил L2tp+Ipsec. Подлючение с вин 10 работает. Пингов к компьютерам сети 1.0 и роутеру 1.1 нет. Подскажите как прописать маршрутизацию правильно. И в ней ли только дело? Какой конфиг нужен для обзора проблемы? Спасибо.

 

Спасибо за ответ.
1. Галку ставил - не работало. Пинги есть до шлюза 1.1 и 10.10. Тоесть до роутера. За ним пинги к любой машине пропадают... вместе с интернетом. При убранной галке только до 10.10.
2. Второй тоже пробовал - тоже не работало. Пинги только до роутера идут, а за ним теряются.
3. Не пробовал. Буду посмотреть.

 

Если в микротике всё настроено правильно то всего лишь нужно прописать маршрут в Windows. Создаем vpn подключение, затем:
Открываем свойства созданного VPN подключения, безопасность, тип VPN: Протокол L2tp с IPSEC, дополнительно, «Для проверки подленности использовать общий ключ», указываем ключ, Ставим галочку «Протокол Microsoft CHAP версии 2 (MS-CHAPv2)».
Сеть, убираем галочку IPv6. IPv4 свойства, дополнительно, убрать галочку «Использовать основной шлюз в удаленной сети» (для того чтобы интернет был не через микротик).

Создадим маршрут. Запускаем cmd, пишем: route print, необходимо найти в списке интерфейсов наше VPN подключение, если его нет то запустим его (VPN подключение) и повторно выполним команду route print. В списке слева от интерфейса будет цифра, например 39 (метрика). Далее в cmd: route add -p 192.168.0.0 mask 255.255.255.0 10.10.5.1 if 39
Где -p создание постоянного маршрута, 192.168.0.0 - удалённая подсеть за микротиком, 10.10.5.1 - адрес микротика в ВИРТУАЛЬНОЙ подсети VPN, 39 - метрика созданного VPN подключения.
Далее заходи в свойства созданного VPN, сеть, дополнительно, снимаем автоматическую метрику и ставим 39 (для того, чтобы при перезагрузки метрика этого подключения не сменилась), всё, пинги должны пойти.
Далее перезагружаемся, подключаемся и перепроверяем пинги.

Proxy-Arp если включали, то выключите.

Если не заработает то в микротике что то не донастроил, заходишь в терминал, пишешь команду export, копируешь в текстовый документ всё что вывалилось, заменяешь белые ip, логины и пароли на левые и прикрепляешь сдесь, а там уже кому не лень вникнут да подскажут что не так.

 

Спасибо за ответ... Этот вариант я специально избегаю. Я писал выше, что подключение с различных устройств будет происходить. Всем прописывать маршрут не получится.
ВПН-Клиенты не находят сеть ЗА микротиком. Подскажите почему? Какие скрины предоставить?

 

Выдавайте клиентам адреса из 192.168.1.0
Комп клиентас адресом из .10.0, если ему не прописать маршрут, понятия не имеет где сеть 1.0.

 

У меня кстати в одном случае так работает. И более того компьютер получает доступ ко всем сетям о которых знает роутер, а в другом случае тоже только до роутера пинги идут. Не могу понять чем настройки отличаются)

 

Я выдавал из одной подсети и прокси-арп включал. Не видно за роутером компы.

 

у меня 2 маршрутизатора с белыми айпи и с л2тп серверами. При подключении к одному я вижу всю сеть и не только его, а ещё вообще все сети которые он видит через туннели. А на другом вижу только ip роутера. Постараюсь проанализировать в чем разница.
ip клиентам с андроида и мак ос выдается из сети маршрутизатора.

 

Пробую дальше.
Настроил аналогичные связки на других микротиках. Проверил на 4 устройствах и абсолютно разных сетях.
Выдавал ип из той же подсети, прокси-арп включён. Если удалённая сеть совпадает с моей (0.1 - 0.1), то подключения к хостам есть. Если не совпадает, то не видит, НО. Я делаю tracert хост, и маршрут находится. После этого подключение к удалённому хосту работает и пинги идут.
Что же до проблемной сети из-за которой я поднял тему, то никак не получается достучаться до хоста за микротиком.

 

вот здесь я подключаюсь с макбука или андроид телефона по l2tp-ipsec. Вот это соединение l2tp-tun-rem-user. И вижу и пользуюсь всеми тоннелями остальными.
Анализируйте.
Повторюсь: есть еще роутер, и вот вроде те же настройки, но там это не работает (видимо не все всё таки)

 

Вопрос по той же теме, подскажите пожалуйста. Аналогично как автор темы объединял через IPsec сети 192.168.1.0 и 10.0, способ настройки подсматривал на сайте tugibaev. Туннель построил, два офиса соединил, все всё хорошо видят. Но меня смущает стабильность. У меня тоже используется rdp подключения из филиалов в главный офис, и туннель иногда выдает картину со скриншота. Как можно это вылечить? Или что можно исправить чтобы соединение что стабильно и не проваливалось иногда?
пинг с роутера 192.168.10.1 . адрес 1.120 это терминальный сервер, к нему как раз и нужно стабильное подключение

 

у меня 3 туннеля до центрального и на одном тоже пинги скачут, настройки одинаковые, грешу на провайдера. По мимо RDP что то ещё ходит по туннелю? Помониторьте нагрузку на CPU.

 

Провайдер у меня один и тот же и в главном офисе, и в филиале. С филиала постоянно пишут камеры в главный офис по этому туннелю, а так там только ноутбуки с гарнитурами. ЦП сейчас нагружается максимум на 3%, но пакеты всё равно иногда теряются, даже не важно что я пингую из филиала, хоть какой нибудь принтер в главном офисе, пинг скачет и иногда теряет пакеты

 

Ради эксперимента отключите камеры и посмотрите пинг измениться или нет. На сколько я знаю, гонять видео трафик по шифрованному туннелю не очень хорошая идея, возможно как раз по этому у вас и скачет пинг. У вас микротики с поддержкой аппаратного шифрования?

 

Я попробовал отключить Ipsec, оставив только pptp, поставив MTU 3000. Пока из 2500 пакетов ни один не потерялся, пару раз по паре пакетов скакнуло до ~16мс. Посмотрю ещё как работает без ipsec, потом попробую включить и менять методы шифрования, чтобы найти самый оптимальный. Канал провайдера у меня 200мбит, по факту он должен бесперебойно использоваться полностью. камеры ели в сумме около 40мбит, поставил на них квоты, может потом пущу их как-нибудь по другому.
Аппаратного шифрования вроде нет на моделях 2011 и 3011

А не, нашёл табличку кто что поддерживает, только 2011 не вижу там. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption


Покопал ещё, нашёл что "RB2011UiAS-2HnD-IN не поддерживает аппаратное шифрование, поэтому вы не сможете получить от него максимальную производительность. Я бы предложил обновить устройство до устройства, которое поддерживает аппаратное шифрование." А он у меня как раз в главном офисе стоит, и пишут что по IPSec на нём можно выжать максимум 24мбита, а в среднем даже где-то 10мбит, что может объяснить мою ситуацию

 

Да, всё верно, если у вас не поддерживается аппаратное шифрование на обоих концах то при скорости провайдера в 200 Мбит/с в шифрованном туннеле скорость будет в разы меньше и нагрузка на cpu большая, а вот с поддержкой аппаратного шифрования даже бюджетные модели по офф данным могут выжимать с IPSEC до 470 Мбит/с и не нагружать сильно проц, но лично не проверял. Думаю что смена метода шифрования вам особо не поможет. Может попробовать пробросить порт камеры наружу, поставить на неё хороший пароль и соединить с базой в обход туннеля ? Ну это если у вас IP везде белые...

 

Теперь стало понятно. Спасибо! что нибудь придумаю)