Доступ к роутеру при поднятом VPN между двумя Микротиками

Тема в разделе "Маршрутизация", создана пользователем Darkcat, 4 май 2017.

  1. Darkcat

    Darkcat Новый участник

    VPN я уже настраивать научился, осталась одна проблема - не могу ни через VPN ни со стороны получить доступ к роутеру.

    Конфиг на удаленном (он проще), на моем аналогично:
    Код:
    /interface ethernet
    set [ find default-name=ether1 ] arp=proxy-arp name=Internet
    set [ find default-name=ether2 ] arp=proxy-arp name=local-master
    set [ find default-name=ether3 ] master-port=local-master name=local-slave1
    set [ find default-name=ether4 ] master-port=local-master name=local-slave2
    set [ find default-name=ether5 ] master-port=local-master name=local-slave3
    /interface l2tp-client
    add connect-to=MYIP disabled=no ipsec-secret=***** name=l2tp-out1 \
        password=***** use-ipsec=yes user=user
    /interface wireless
    set [ find default-name=wlan1 ] arp=proxy-arp band=2ghz-b/g/n disabled=no name=\
        Yota ssid=YOTA station-roaming=disabled wireless-protocol=802.11
    /interface wireless security-profiles
    set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=\
        tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \
        wpa-pre-shared-key=*****wpa2-pre-shared-key=*****
    /ip ipsec policy group
    add name=group1
    /ip ipsec proposal
    set [ find default=yes ] auth-algorithms=sha1,md5
    /ip pool
    add name=dhcp ranges=192.168.88.10-192.168.88.199
    add name=vpnpool ranges=192.168.88.200-192.168.88.219
    /ip dhcp-server
    add address-pool=dhcp disabled=no interface=local-master name=dhcp2
    /ppp profile
    add change-tcp-mss=yes local-address=vpnpool name=l2tp_profile remote-address=\
        vpnpool
    /interface l2tp-server server
    set authentication=mschap2 caller-id-type=ip-address default-profile=\
        l2tp_profile ipsec-secret=***** use-ipsec=yes
    /ip address
    add address=192.168.88.1/24 interface=local-master network=192.168.88.0
    add address=SECONDIP/24 interface=Internet network=SECONDNET
    /ip dhcp-client
    add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=\
        Yota
    /ip dhcp-server network
    add address=192.168.88.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.88.1 \
        netmask=24
    /ip dns
    set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
    /ip firewall filter
    add action=accept chain=forward protocol=icmp
    add action=accept chain=input protocol=icmp
    add action=accept chain=input dst-port=8005,8006,8088,8291 protocol=tcp
    add action=accept chain=input connection-state=established,related
    add action=accept chain=input connection-state=established,related \
        in-interface=local-master src-address=192.168.88.0/24
    add action=accept chain=input dst-port=500,1701,4500 protocol=udp
    add action=accept chain=input protocol=ipsec-esp
    add action=accept chain=input protocol=ipsec-ah
    add action=accept chain=forward connection-state=established,related
    add action=accept chain=input in-interface=l2tp-out1
    add action=drop chain=input connection-state=invalid
    add action=drop chain=input in-interface=Internet
    add action=drop chain=input in-interface=Yota
    /ip firewall nat
    add action=masquerade chain=srcnat
    add action=dst-nat chain=dstnat dst-port=8005 in-interface=Internet protocol=\
        tcp to-addresses=192.168.88.5 to-ports=80
    add action=dst-nat chain=dstnat dst-port=8006 in-interface=Internet protocol=\
        tcp to-addresses=192.168.88.6 to-ports=80
    /ip ipsec peer
    add address=MYIP/32 enc-algorithm=aes-256 exchange-mode=main-l2tp \
        generate-policy=port-strict hash-algorithm=md5 secret=*****
    /ip ipsec policy
    set 0 disabled=yes dst-address=MYIP/32 group=group1 src-address=\
        SECONDIP/32
    add dst-address=MYIP/32 src-address=SECONDIP/32
    /ip ipsec user
    add name=user password=*****
    /ip route
    add distance=1 gateway=SECONDGW pref-src=SECONDIP
    add distance=2 gateway=176.16.0.1 pref-src=176.16.0.170 scope=10
    add distance=1 dst-address=10.0.0.0/24 gateway=l2tp-out1 pref-src=10.0.0.221 \
        scope=10
    /ip service
    set www port=8088
    /ppp secret
    add name=user password=***** profile=l2tp_profile service=l2tp 
    Сетка моя 10.0.0.0/24, удаленная 192.168.88.0/24, на удаленном роутере резервом Yota через WiFi с сеткой 176.16.0.0/24. Все работает, VPN поднимается, сервисы той сети снаружи видны (порты 8005 и 8006).

    Не работает доступ из 10.0.0.0/24 к самому роутеру (192.168.88.1) и не работает доступ из интернета (с планшета) к SECONDIP (ни 8088, ни winbox).

    Подозреваю, что не хватает какого-то правила, чтобы пакеты останавливались на роутере.

    Доступ к SECONDIP работает из сети 192.168.88.0/24. Работало до настройки VPN.
     
    Последнее редактирование: 4 май 2017
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Вам надо добиться того, чтобы пакеты пришедшие с VPN уходили назад в VPN а не на Default-gateway
    Как вариант
    Код:
    /ip firewall mangle
    add chain=input action=mark-connection in-interface=VPN \
        new-connection-mark=con_VPN passthrough=yes
    add chain=output action=mark-routing connection-mark=con_VPN \
        new-routing-mark=route_VPN
    /ip route 
    add gateway=VPN_INTERFACE route-mark=route-VPN  
     
  3. Darkcat

    Darkcat Новый участник

    Сделал. Результат странный. Пинг есть, но при попытке зайти winbox'ом или на web-страничку пакеты не маркируются. Срабатывает только при пинге.
    Снимок_1.PNG
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Трассировка что показывает?
     
  5. Mama

    Mama Участник

    поделюсь своим способом:
    надо пробросить некие порты в vpn -
    add action=dst-nat chain=dstnat dst-address=!192.168.0.0/16 dst-address-type=local dst-port=80,8000 in-interface=ether1 protocol=tcp to-addresses=192.168.254.2
    а так же вернуть их обратно, а не в шлюз по умолчанию
    add action=src-nat chain=srcnat dst-address=192.168.254.2 to-addresses=192.168.254.1
    =)
     
  6. West

    West Новый участник

    Была такая же беда. При подключении удаленного микротик к моему микротик по ВПН (pptp) если стоит галка add to default route, то все работает, идут с моего компа и пинги доступ у удаленному роутеру по ВПН без проблем, но стоит ее убрать и все пропадает. Долго думал потом дошло, что это по сути обычный nat lookback настроил его и все получилось легко.
    Вот пример.

    внутр сеть 192,168,10,1 ВПН сеть 10,100,10,1
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=192.168.10.0/24 src-address=10.100.10.0/24 to-addresses=10.100.10.0/24
    add action=masquerade chain=srcnat dst-address=10.100.10.0/24 src-address=192.168.10.0/24

    Достоинства метода что нет ограничений на количество подключенных клиентов ВПН
     
    Последнее редактирование: 5 май 2017
    Mama нравится это.
  7. Darkcat

    Darkcat Новый участник

    Заработало.

    Добавил:
    add action=dst-nat chain=dstnat comment=VPN dst-address=192.168.88.1 src-address=10.0.0.0/24 to-addresses=192.168.88.1
     
    Последнее редактирование: 6 май 2017