L2TP между двумя mikrotik (и два провайдера)
Добавлено: 10 апр 2020, 13:30
Здравствуйте.
Имеются два микротика:
1. Основной шлюз на который приходит два провайдера.
2. Маршрутизатор внутренней сети на котором L2TP сервер.
На mikrotik(1) приходят два провайдера, которые разруливаются через mangle. Заранее скажу, что правила работают потому, что например dst-nat на внутренний сервер ftp работает проброс с обоих провайдеров.
На mikrotik(2) маршрут по умолчанию на mikrotik(1), на этом же mikrotik(2) поднял L2TP сервер он работает т.к. есть подключение к нему из внутренней сети (то есть когда на прямую к mikrotik(2) подключаешься).
Настраиваю проборос портов по upd 500, 4500, 1701 и 50(ipsec) с mikrotik(1) на mikrotik(2) но из вне подключиться не получается. Сделал проброс всех портов на mikrotik(2) (на случай если что то забыл) - всеравно не получается. Но в Connections на mikrotik(2) появляются попытки соединения на 500 и 4500 порты, то есть какой то проброс есть.
Подумал может dst-nat (netmap - именно через него) не работает, поднял на том же mikrotik(2) OVPN и SSTP пробрасывая нужные порты (правда tcp) и все работает, подключение есть - значит проброс портов работает нормально.
И тут возник вопрос может есть какая то хитрость с пробросом udp через mangle?
Имеются два микротика:
1. Основной шлюз на который приходит два провайдера.
2. Маршрутизатор внутренней сети на котором L2TP сервер.
На mikrotik(1) приходят два провайдера, которые разруливаются через mangle. Заранее скажу, что правила работают потому, что например dst-nat на внутренний сервер ftp работает проброс с обоих провайдеров.
Код: Выделить всё
add action=mark-connection chain=input comment="Input Mark Conn ISP1" in-interface=ether1 new-connection-mark=con_ISP1 \
passthrough=yes
add action=mark-connection chain=input comment="Input Mark Conn ISP2" in-interface=ether2 new-connection-mark=con_ISP2 \
passthrough=yes
add action=mark-connection chain=forward comment="Forward for DSTNAT ISP1" in-interface=ether1 new-connection-mark=con_f_ISP1 \
passthrough=no
add action=mark-connection chain=forward comment="Forward for DSTNAT ISP2" in-interface=ether2 new-connection-mark=con_f_ISP2 \
passthrough=no
add action=mark-routing chain=prerouting comment="Preroute for Forward DSTNAT ISP1" connection-mark=con_f_ISP1 in-interface=\
ether5 new-routing-mark=to_ISP1 passthrough=no
add action=mark-routing chain=prerouting comment="Preroute for Forward DSTNAT ISP2" connection-mark=con_f_ISP2 in-interface=\
ether5 new-routing-mark=to_ISP2 passthrough=no
add action=mark-routing chain=output comment="Route Makr to ISP1" connection-mark=con_ISP1 new-routing-mark=to_ISP1 \
passthrough=no
add action=mark-routing chain=output comment="Route Makr to ISP2" connection-mark=con_ISP2 new-routing-mark=to_ISP2 \
passthrough=no
Настраиваю проборос портов по upd 500, 4500, 1701 и 50(ipsec) с mikrotik(1) на mikrotik(2) но из вне подключиться не получается. Сделал проброс всех портов на mikrotik(2) (на случай если что то забыл) - всеравно не получается. Но в Connections на mikrotik(2) появляются попытки соединения на 500 и 4500 порты, то есть какой то проброс есть.
Подумал может dst-nat (netmap - именно через него) не работает, поднял на том же mikrotik(2) OVPN и SSTP пробрасывая нужные порты (правда tcp) и все работает, подключение есть - значит проброс портов работает нормально.
И тут возник вопрос может есть какая то хитрость с пробросом udp через mangle?