L2TP клиент в отдельный порт

RIP, OSFP, BGP, MPLS/VPLS
Ответить
DimaVL
Сообщения: 5
Зарегистрирован: 18 июн 2018, 22:58

L2TP клиент в отдельный порт

Сообщение DimaVL » 19 июн 2018, 01:54

Добрый день.
Микротик с ОС 6.40.4.
Настроен L2TP клиент с IPsec. Маршрут прописан и с микротика удаленная подсеть пингуется. Есть IP телефон, настроенный на подключение к удаленной сети. Хочу подключить его в отдельный порт микротика . На этом порту только трафик с VPN , если интерфейс включен. Остальные порты - мимо VPN. Как можно реализовать ?

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: L2TP клиент в отдельный порт

Сообщение Chupaka » 19 июн 2018, 18:52

Добрый.

Маршрут прописать в отдельной таблице маршрутизации ("routing-mark"), затем в IP Firewall Mangle Prerouting маркировать роутинг для пакетов с нужного порта - и ура, всё заработало как надо.

DimaVL
Сообщения: 5
Зарегистрирован: 18 июн 2018, 22:58

Re: L2TP клиент в отдельный порт

Сообщение DimaVL » 19 июн 2018, 20:59

Знания не столь глубоки. Можно попросить пример реализации?

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: L2TP клиент в отдельный порт

Сообщение Chupaka » 20 июн 2018, 10:03

Код: Выделить всё

/ip route add gateway=l2tp routing-mark=VPN
/ip firewall mangle add chain=prerouting in-interface=отдельный_порт_телефона action=mark-routing new-routing-mark=VPN

DimaVL
Сообщения: 5
Зарегистрирован: 18 июн 2018, 22:58

Re: L2TP клиент в отдельный порт

Сообщение DimaVL » 20 июн 2018, 11:40

Спасибо. Я сделал вчера аналогично :
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=Office new-routing-mark=\office passthrough=no
/ip route add distance=3 dst-address=172.24.32.0/24 gateway="L2TP office" routing-mark=\office
не работает

Взял не боевой роутер. Обновил до последней версии ОС (6.42.4) , сбросил на заводские, исключил нужный порт из бриджа, настроил vpn, прописал правила. vpn поднялся, без маркирования пингуется нужный адрес с микротика. Прописал маркировку. В интерфейсах видно, что телефон шлет запросы в порт, на l2tp интерфейсе - тишина. Подключился к порту ноутом с сетевыми настройками удаленной сети , пинги не идут.

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: L2TP клиент в отдельный порт

Сообщение Chupaka » 20 июн 2018, 17:48

DimaVL писал(а):
20 июн 2018, 11:40
не работает
Поразительно детальное описание ситуации
DimaVL писал(а):
20 июн 2018, 11:40
исключил нужный порт из бриджа
Если порт в бридже - то in-interface=бридж, и дальше in-bridge-port=Office
DimaVL писал(а):
20 июн 2018, 11:40
В интерфейсах видно, что телефон шлет запросы в порт, на l2tp интерфейсе - тишина. Подключился к порту ноутом с сетевыми настройками удаленной сети , пинги не идут.
Удалённая сеть знает о том, где находится адрес телефона, или надо добавить правило NAT Masquerade с out-interface=l2tp?

DimaVL
Сообщения: 5
Зарегистрирован: 18 июн 2018, 22:58

Re: L2TP клиент в отдельный порт

Сообщение DimaVL » 20 июн 2018, 22:04

Да, детальное описание :) , сам так клиентам говорю ( в другой области), но расписал что и как на примере второго микротика,заодно исключил влияние остальных правил и версии ОС. Чистая железяка со всеми обновлениями.
Мне не критично нахождение порта в бридже, ОС его по умолчанию туда помещает. Если не влияет ни на что, пусть вне бриджа будет.

По удаленной сети.Не знаю что на той стороне. Есть следующие варинты подключения к ней: На компе поднимаю VPN с аналогичными настройками, запускаю аваевский софтверный телефон, прописываю адрес сервера - работаем.Сервер пингуется. Отключаю VPN, поднимаю на микротике без маркировки , маскарадинг прописан на l2tp интерфейс, с компа сервер пингуется , софтверный телефон ругается на трансляцию адресов и не работает, аппаратный , тоже аваевский, безрезультатно ищет сервер . Включаю маркировку .Подключаемся к нужному порту. С компа пингов нет, сервер не видим, аппаратный телефон ищет сервер.

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: L2TP клиент в отдельный порт

Сообщение Chupaka » 20 июн 2018, 22:58

Чтобы не всё подряд шло в впн, а только нужное - у l2tp-клиента надо снять галку Add Default Route.

Если порт достать из бриджа - ему нужны отдельные настройки (своя подсеть, DHCP-клиент по случаю, etc)

DimaVL
Сообщения: 5
Зарегистрирован: 18 июн 2018, 22:58

Re: L2TP клиент в отдельный порт

Сообщение DimaVL » 27 июн 2018, 12:03

Спасибо за помощь. Частично получилось. По порядку:
на входе обновленный до последней версии и сброшенный на заводские настройки микротик.
настроенный канал L2TP IPSEC. Соединение есть. Галка на дефолтный маршрут стоит ( пока не до изысков с портами). Маршрут прописался. Добавлен маршрут на сервер вызовов . Это другая подсеть. Из микротика все пингуется, на портах - нет. В нате включаю маскарадинг. Пингуется удаленная сеть c портов микротика. Телефон находит сервер, регистрируется, подтягивает контакты и функционирует нормально ( звенит на входящие, отображает звонящего или направление звонка, набирает исходящий и т.д.) за одним исключением: звука в трубке нет ни в одном направлении. Сервиспорт для h.323 включен. При выключении сервиспорта, телефон не коннектится к серверу.

Ответить