проблема с настройкой VPN IPSec/L2TP

RIP, OSFP, BGP, MPLS/VPLS
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Здравствуйте подскажите в чем может быть проблема...
После настройки VPN IPSec/L2TP на микротике и после настройки впн подключения в винде, канал поднимается, во вкладке active connections видно , что пользователь подключился и ему присвоен ip из созданного пула , однако не пингуется ни одна машина за натом и на веб морду роутера не пускает.
однако, если тут PPP — Profiles--l2tp_profile поменять значения
с
Local Address: vpn-pool (192.168.199.0/24 )
Remote Address: vpn pool (192.168.199.0/24 )

на

Local Address: dhcp (192.168.88.0/24) - LAN
Remote Address: dhcp (192.168.88.0/24)
то все замечательно, все пингуется и пускает на веб морду, подключенному пользователю естественно присваивается dhcp сервером адрес локалки

, вопрос - где косяк и как правильно настроить, чтобы пользователи из vpn-pool видели машины в локальной сети
_________________________________________________________________________________________________________________________________
как я настраивал VPN IPSec/L2TP
IP — Pool — Add

Name: vpn_pool

Address: 192.168.199.1-192.168.199.10

Next Pool: none
PPP — Profiles — Add

вкладка: General

Name: l2tp_profile

Local Address: 192.168.199.1

Remote Address: vpn_pool

Change TCP MSS: yes

вкладка: Protocols

Use MPLS: default

Use Compression: default

Use Encryption: default

вкладка: Limits

Only one: default
PPP — вкладка Secrets — Add

Name: vpn_user1

Password:*********


Service: l2tp

Profile: l2tp_profile

PPP — вкладка Interface, нажал на L2TP Server

Enabled: отметил галочкой

Max MTU: 1450

Max MRU: 1450

Keepalive Timeout: 30

Default Profile: l2tp_profile

Authentication: mschap2

Use Ipsec:галочка
winbox — IP&MAC — IP — IPSec — вкладка Groups

IP — IPSec — вкладка Peers

IP — IPSec — вкладка Proposals дефолтный профиль

Name: default

Encr. Algorithms: 3des, aes-256 cbc, aes-256 ctr

Lifetime: 00:30:00

PFS Group: mod1024

Apply — Ok

IP — Firewall — Add

вкладка General:

Chain: input
Protocol: udp
Any. Port: 1701, 500, 4500

вкладка Action:

Action: Accept
вкладка General:

Chain: input
Protocol: ipsec-esp

вкладка Action:

Action: Accept


до этого на роутере был настроен порт кнокинг, ниже настройки роутера( вдруг понадобится)


интерфейсы
/interface ethernet
set [find default-name=ether1] name=WAN
/interface ethernet
set [find default-name=ether2] name=LAN1-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN2-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN3-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN4-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN5-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN6-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN7-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN8-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN9-Ethernet
Настройки wifi
/interface wireless security-profiles
set default mode=dynamic-keys authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2-pre-shared-key="12345678" management-protection=disabled group-key-update=1h disable-pmkid=yes

/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-onlyn basic-rates-b="" channel-width=20/40mhz-XX country=romania disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN5-wifi24ghz radio-name=POINT24_1 ssid=POINT24GHZ supported-rates-b="" wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled hw-retries=10 disconnect-timeout=15s on-fail-retry-time=1s
/interface wireless nstreme
set LAN5-wifi24ghz enable-polling=no
Мост
/interface bridge
add name="LAN-Bridge" comment="LAN" mtu=1500 fast-forward=no igmp-snooping=yes protocol-mode=none

Порты
/interface bridge port
add interface=LAN1-Ethernet bridge=LAN-Bridge
add interface=LAN2-Ethernet bridge=LAN-Bridge
add interface=LAN3-Ethernet bridge=LAN-Bridge
add interface=LAN4-Ethernet bridge=LAN-Bridge
add interface=LAN5-Ethernet bridge=LAN-Bridge
add interface=LAN6-Ethernet bridge=LAN-Bridge
add interface=LAN7-Ethernet bridge=LAN-Bridge
add interface=LAN8-Ethernet bridge=LAN-Bridge
add interface=LAN9-Ethernet bridge=LAN-Bridge
add interface=wifi24ghz bridge=LAN-Bridge

днс

/ip dns
set allow-remote-requests=yes cache-size=4096

dhcp

/ip dhcp-client
add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes

Списки интерфейсов

/interface list member
set [find interface=WAN] list=Internet
set [find interface=LAN-Bridge] list=Local
set [find interface=LAN1-Ethernet] list=Local
set [find interface=LAN2-Ethernet] list=Local
set [find interface=LAN3-Ethernet] list=Local
set [find interface=LAN5-Ethernet] list=Local
set [find interface=LAN6-Ethernet] list=Local
set [find interface=LAN7-Ethernet] list=Local
set [find interface=LAN8-Ethernet] list=Local
set [find interface=LAN9-Ethernet] list=Local
set [find interface=wifi24ghz] list=Local
set [find interface=Sfp1] list=Local


/ppp profile
set default interface-list=Vpn

Neighbor discovery

/ip neighbor discovery-settings set discover-interface-list="Local"

Mac Telnet Server, Mac WinBox Server


/tool mac-server set allowed-interface-list=Local
/tool mac-server mac-winbox set allowed-interface-list=Local

Интернет

/ip firewall nat
add chain=srcnat out-interface-list=Internet src-address=192.168.88.0/24 action=masquerade
IP адрес роутера
/ip address
add address=192.168.88.1/24 interface=LAN-Bridge

DHCP Сервер для локальных клиентов

/ip pool
add name=LAN-Pool ranges=192.168.88.5-192.168.88.255
/ip dhcp-server
add name=DHCP-Server disabled=no interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24 dns-server=192.168.88.1

Настройка firewall и порт кнокинг
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related protocol=udp
add action=accept chain=forward comment="ALLOW – Established, Related and Untracked connections" connection-state=established,related
add action=accept chain=input connection-state=established,related in-interface-list=Internet
add action=accept chain=input comment="ALLOW – All after ICMP knocking" in-interface-list=Internet src-address-list="Access IP"
add action=accept chain=forward in-interface-list=Internet src-address-list="Access IP"
add action=drop chain=forward comment="DROP – Invalid connections" connection-state=invalid
add action=jump chain=forward comment="DDoS – SYN flood protection" connection-state=new in-interface-list=Internet jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=SYN-Protect log=yes log-prefix="DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=forward comment="DDoS – Main protection" connection-state=new in-interface-list=Internet jump-target=DDoS-Protect
add action=jump chain=input connection-state=new in-interface-list=Internet jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=DDoS-Protect log=yes log-prefix="DDoS: MAIN-Protect"
add action=jump chain=input comment="Port Knocking – Permission to access the router" in-interface-list=Internet jump-target=port-knocking log-prefix=PING protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 1" address-list-timeout=30s chain=port-knocking in-interface-list=Internet log-prefix="Access IP Gate 1" packet-size=255 protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 2" address-list-timeout=30s chain=port-knocking in-interface-list=Internet log-prefix="Access IP Gate 2" packet-size=350 protocol=icmp src-address-list="Access IP Gate 1"
add action=add-src-to-address-list address-list="Access IP" address-list-timeout=8h chain=port-knocking in-interface-list=Internet log-prefix="Access IP" packet-size=650 protocol=icmp src-address-list="Access IP Gate 2"
add action=add-src-to-address-list address-list="Access IP" address-list-timeout=8h chain=port-knocking in-interface-list=Internet log-prefix="Access IP" packet-size=530 protocol=icmp src-address-list="Access IP Gate 2"
add action=return chain=port-knocking
add action=drop chain=input comment="DROP – Block all other input/forward connections on the WAN" in-interface-list=Internet
add action=drop chain=forward in-interface-list=Internet

Конфиг “Firewall Raw”

/ip firewall raw
add action=drop chain=prerouting comment="DDoS – Drop blacklist IP" in-interface-list=Internet src-address-list=ddos-blacklist
add action=accept chain=prerouting comment="ALLOW – Resolved SIP provider" in-interface-list=Internet protocol=udp src-address-list=SIP
add action=drop chain=prerouting comment="DROP – Not allow SIP" dst-port=5060,5061 in-interface-list=Internet protocol=udp
add action=drop chain=prerouting dst-port=5060,5061 in-interface-list=Internet protocol=tcp
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Приветствую. В Firewall Mangle у вас пусто?

Сделайте трассировку с клиента, когда не подключается.
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

'это трассировка до машины за микротиком ее ip ( 192.168.88.193) в случае, когда vpn юзеру выдается ip из vpn-pool (192.168.199.0/24 ) в этом случае не получается ни на веб морду микротика зайти ни подцепиться по рдп к машине ( 192.168.88.193)
tracert1.jpg
это трассировка в случе выставления в настройках PPP — Profiles--l2tp_profile
Local Address: dhcp (192.168.88.0/24) - LAN
Remote Address: dhcp (192.168.88.0/24)
tracert2.jpg
при подключенном vpn если на целевой машине (192.168.88.193) запустить ip scan то картина такая
ip scan 192.168.88.0 24.jpg
при этом с машины 192.168.88.193 также можно подключаться пор рдп к 192.168.88.188 тк они в одной сети
У вас нет необходимых прав для просмотра вложений в этом сообщении.
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Firewall mangle
firewall mangle.jpg
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Хм... А Брандмауэр Windows "помогать" не может? По умолчанию он доступ разрешает только из своей подсети, как помню.
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Отключил брандмауэр на целевой машине,выставил значения
Local Address: vpn-pool (192.168.199.0/24 )
Remote Address: vpn pool (192.168.199.0/24 )
но результат такой же, то есть никуда не пускает...
Может, с учетом того, что конфигурация не стандартная, настроенная вручную, чего то не хватает и нужно как то на микротике настроить взаимодействие между сетями 192.168.199.0/24 и 192.168.88.0/24 ?
Если это так , прошу подсказать что настраивать я не знаю как это сделать (((
если нужна еще какая то инфа по текущим настройкам-я скину
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Собственно, добавьте в Firewall Filter вверху два правила: разрешить из 192.168.199.0/24 в 192.168.88.0/24 и разрешить из 192.168.88.0/24 в 192.168.199.0/24.
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Что то не получается у меня ...
вот , на всякий случай мой конфиг, посмотрите , может быть упускаю что то очевидное )


RouterOS 6.46.5

/interface bridge
add arp=proxy-arp fast-forward=no igmp-snooping=yes mtu=1500 name=LAN-Bridge \
protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=LAN1-Ethernet
set [ find default-name=ether3 ] name=LAN2-Ethernet
set [ find default-name=ether4 ] name=LAN3-Ethernet
set [ find default-name=ether5 ] name=LAN4-Ethernet
set [ find default-name=ether6 ] name=LAN5-Ethernet
set [ find default-name=ether7 ] name=LAN6-Ethernet
set [ find default-name=ether8 ] name=LAN7-Ethernet
set [ find default-name=ether9 ] name=LAN8-Ethernet
set [ find default-name=ether10 ] name=LAN9-Ethernet
set [ find default-name=ether1 ] mac-address=14:DD:A9:F2:E5:A4 name=WAN
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
antenna-gain=0 band=2ghz-onlyn channel-width=20/40mhz-XX country=russia \
disabled=no disconnect-timeout=15s distance=indoors frequency=auto \
hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge name=\
LAN-wifi24ghz on-fail-retry-time=1s radio-name=POINT24_1 ssid=point2 \
wireless-protocol=802.11 wmm-support=enabled
/interface wireless nstreme
set LAN-wifi24ghz enable-polling=no
/interface list
add name=Internet
add name=Local
add name=VPN
add name=VPN_L2TP_Users
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
wpa-pre-shared-key=******** wpa2-pre-shared-key=*******
/ip pool
add name=dhcp ranges=192.168.88.5-192.168.88.255
add comment="\"Real_DefConf\"" name=VPN_Users ranges=10.255.255.0/24
/ip dhcp-server
add add-arp=yes address-pool=dhcp bootp-lease-time=lease-time bootp-support=\
dynamic disabled=no interface=LAN-Bridge lease-time=12h name=DHCP-Server
/ppp profile
set *0 interface-list=VPN
add address-list=VPN_L2TP_Users change-tcp-mss=yes interface-list=\
VPN_L2TP_Users local-address=10.255.255.1 name=L2TP_Profiles only-one=yes \
remote-address=VPN_Users use-compression=no use-encryption=no
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge interface=LAN1-Ethernet
add bridge=LAN-Bridge interface=LAN2-Ethernet
add bridge=LAN-Bridge interface=LAN3-Ethernet
add bridge=LAN-Bridge interface=LAN4-Ethernet
add bridge=LAN-Bridge interface=LAN5-Ethernet
add bridge=LAN-Bridge interface=LAN6-Ethernet
add bridge=LAN-Bridge interface=LAN7-Ethernet
add bridge=LAN-Bridge interface=LAN8-Ethernet
add bridge=LAN-Bridge interface=LAN9-Ethernet
add bridge=LAN-Bridge interface=LAN-wifi24ghz
/ip neighbor discovery-settings
set discover-interface-list=Local
/interface l2tp-server server
set authentication=mschap2 caller-id-type=number default-profile=\
L2TP_Profiles enabled=yes ipsec-secret=******** use-ipsec=required
/interface list member
add interface=WAN list=Internet
add interface=LAN-Bridge list=Local
add disabled=yes interface=LAN-Bridge list=VPN
add interface=LAN-Bridge list=VPN_L2TP_Users
/ip address
add address=192.168.88.1/24 interface=LAN1-Ethernet network=192.168.88.0
/ip dhcp-client
add disabled=no interface=WAN
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 \
netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add list="Access IP"
add list="Access IP Gate 1"
add list=ddos-blacklist
add list=SIP
add list="Access IP Gate 2"
add address=192.168.88.0/24 comment="White list for Trap for TCP traffic" \
list=NotTrapsIP
add comment="Trap for TCP traffic" list=TrapAddress
add list=VPN_L2TP_Users
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=udp
add action=accept chain=forward comment=\
"ALLOW - Established, Related and Untracked connections" \
connection-state=established,related
add action=accept chain=input connection-state=established,related \
in-interface-list=Internet
add action=accept chain=input comment="ALLOW - All after ICMP knocking" \
in-interface-list=Internet src-address-list="Access IP"
add action=accept chain=forward in-interface-list=Internet src-address-list=\
"Access IP"
add action=accept chain=input comment="\"Allow port\r\
\nfor L2TP server\"" dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment=\
"\"Allow esp protocol for\r\
\nL2TP/Ipsec server\"" protocol=ipsec-esp
add action=drop chain=forward comment="DROP - Invalid connections" \
connection-state=invalid
add action=jump chain=forward comment="DDoS - SYN flood protection" \
connection-state=new in-interface-list=Internet jump-target=SYN-Protect \
protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=SYN-Protect log=yes log-prefix=\
"DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=forward comment="DDoS - Main protection" \
connection-state=new in-interface-list=Internet jump-target=DDoS-Protect
add action=jump chain=input connection-state=new in-interface-list=Internet \
jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=DDoS-Protect log=yes log-prefix=\
"DDoS: MAIN-Protect"
add action=jump chain=input comment=\
"Port Knocking - Permission to access the router" in-interface-list=\
Internet jump-target=port-knocking log-prefix=PING protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 1" \
address-list-timeout=30s chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP Gate 1" packet-size=342 protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 2" \
address-list-timeout=30s chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP Gate 2" packet-size=372 protocol=icmp \
src-address-list="Access IP Gate 1"
add action=add-src-to-address-list address-list="Access IP" \
address-list-timeout=12h chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP" packet-size=571 protocol=icmp src-address-list=\
"Access IP Gate 2"
add action=add-src-to-address-list address-list="Access IP" \
address-list-timeout=12h chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP" packet-size=530 protocol=icmp src-address-list=\
"Access IP Gate 2"
add action=return chain=port-knocking
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for TCP traffic" \
connection-nat-state=!dstnat dst-port=\
5060,5061,4569,3389,8291,22,23,389,445,53 in-interface-list=Internet \
protocol=tcp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for UDP traffic" \
connection-nat-state=!dstnat dst-port=5060,4569,389,53,161 \
in-interface-list=Internet protocol=udp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=1w7s chain=input comment="Trap for port scanning" \
in-interface-list=Internet protocol=tcp psd=10,10s,3,1 src-address-list=\
!NotTrapsIP
add action=drop chain=input comment=\
"DROP - Block all other input/forward connections on the WAN" \
in-interface-list=Internet
add action=drop chain=forward in-interface-list=Internet
/ip firewall nat
add action=masquerade chain=srcnat comment="MASQ - Internet out masquerade" \
out-interface-list=Internet src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment=\
"NTP - Sending all requests to the 88.1" dst-port=123 in-interface-list=\
Local protocol=udp to-addresses=192.168.88.1 to-ports=123
/ip firewall raw
add action=drop chain=prerouting comment="DDoS - Drop blacklist IP" \
in-interface-list=Internet src-address-list=ddos-blacklist
add action=accept chain=prerouting comment="ALLOW - Resolved SIP provider" \
in-interface-list=Internet protocol=udp src-address-list=SIP
add action=drop chain=prerouting comment="DROP - Not allow SIP" dst-port=\
5060,5061 in-interface-list=Internet protocol=udp
add action=drop chain=prerouting dst-port=5060,5061 in-interface-list=\
Internet protocol=tcp
add action=drop chain=prerouting comment="Drop Address from Trap" \
src-address-list=TrapAddress
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
/lcd interface pages
set 0 interfaces=LAN-wifi24ghz
/ppp secret
add name=user1 password=******** profile=L2TP_Profiles service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=Local
/tool mac-server mac-winbox
set allowed-interface-list=Local
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

если на клиентской машине поставить галку " использовать шлюз удаленной сети" то тоже все начинает работать..
но как то не хочется использовать этот самый шлюз
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Ахахахахах, эта галка по умолчанию установлена, так что правильно — "если её снять, то перестаёт работать". Тогда вам надо либо каждый раз при подключении прописывать на клиенте ручками маршрут к 192.168.88.0/24, либо выбрать более лучшие подсети: viewtopic.php?t=2639
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Chupaka писал(а): 20 апр 2020, 09:45 Ахахахахах, эта галка по умолчанию установлена, так что правильно — "если её снять, то перестаёт работать". Тогда вам надо либо каждый раз при подключении прописывать на клиенте ручками маршрут к 192.168.88.0/24, либо выбрать более лучшие подсети: viewtopic.php?t=2639
Спасибо большое!
С этим понятно - буду разбираться

Скажите пожалуйста , стоит ли в текущий конфиг( то есть есть ли смысл, иначе это бессмысленное потребление ресурсов процессора ) добавлять правила по защите от скана портов и ставить трапы на самые " популярные" порты такие как 5060,5061,4569,3389,8291,22,23,389,445,53
ниже сами правила

/ip firewall address-list
add comment="Trap for TCP traffic" list=TrapAddress
add address=192.168.88.0/24 comment="White list Trap for TCP traffic" \
list=NotTrapsIP
/ip firewall filter

add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=1w7s chain=input comment="Trap for port scanning" \
in-interface-list=Internet protocol=tcp psd=10,10s,3,1 src-address-list=\
!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for TCP traffic" \
connection-nat-state=!dstnat dst-port=\
5060,5061,4569,3389,8291,22,23,389,445,53 in-interface-list=Internet \
protocol=tcp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for UDP traffic" \
connection-nat-state=!dstnat dst-port=5060,4569,389,53,161 \
in-interface-list=Internet protocol=udp src-address-list=!NotTrapsIP

/ip firewall raw
add action=drop chain=prerouting comment="Drop Address from Trap" \
src-address-list=TrapAddress
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Я предпочитаю дропать всё из Internet, чтобы не заморачиваться какими-то детальными правилами :)
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Chupaka писал(а): 20 апр 2020, 17:33 Я предпочитаю дропать всё из Internet, чтобы не заморачиваться какими-то детальными правилами :)
В таком разе доступ по белому списку, если порт проброшен , а если не проброшен, то впн?))
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Да, именно так :)
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

В общем на компе пользователя через командную строку прописал маршрут вида

route -p add <NET> mask <MASK> <GATEWAY> metric 100 if <IF_ID>

как пример:
route -p add 192.168.88.0 mask 255.255.255.0 10.255.255.1 metric 100 if 21

где 192.168.88.0 - удалённая подсеть
10.255.255.1 - Local Address указанный в l2tp профиле
21 - ID интерфейса VPN ( cmd-route print)

все заработало.( впн юзер увидел локалку за микротиком)
Но я так понимаю это костыль и таки смотреть нужно в сторону классовых подсетей, чтоб не писать маршруты вручную?

PS
У меня вопрос..
сеть расположения машины с которой подключается впн пользователь 192.168.55.0/24
сеть за микротиком 192.168.88.0/24
После установки впн подключения , со стороны сети 192.168.55.0/24 машины за микротиком 192.168.88.0/24 видно прекрасно, но вот обратно - нет, tracert показывает, что трафик не идет в тунель

тоже нужно маршрут прописывать?
А скажем, если есть задача , чтоб заставить впн пользователей видеть друг друга , тут как быть , каждому компу показывать , куда ему идти вручную?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Вы так и не написали, из какой подсети пользователь получает IP в VPN. Или тут уже вопрос про Site-to-Site VPN? Тогда - да, маршруты надо прописывать с обеих сторон.
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Если я правильно понял вопрос, то пользователь получает адрес из пула
/ip pool
add name=VPN_Users ranges=10.255.255.0/24

сеть за микротиком 192.168.88.0/24

сеть из которой подключается пользователь 192.168.55.0/24
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

halfsky писал(а): 19 апр 2020, 12:04 Что то не получается у меня ...
вот , на всякий случай мой конфиг, посмотрите , может быть упускаю что то очевидное )


RouterOS 6.46.5

/interface bridge
add arp=proxy-arp fast-forward=no igmp-snooping=yes mtu=1500 name=LAN-Bridge \
protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=LAN1-Ethernet
set [ find default-name=ether3 ] name=LAN2-Ethernet
set [ find default-name=ether4 ] name=LAN3-Ethernet
set [ find default-name=ether5 ] name=LAN4-Ethernet
set [ find default-name=ether6 ] name=LAN5-Ethernet
set [ find default-name=ether7 ] name=LAN6-Ethernet
set [ find default-name=ether8 ] name=LAN7-Ethernet
set [ find default-name=ether9 ] name=LAN8-Ethernet
set [ find default-name=ether10 ] name=LAN9-Ethernet
set [ find default-name=ether1 ] mac-address=14:DD:A9:F2:E5:A4 name=WAN
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
antenna-gain=0 band=2ghz-onlyn channel-width=20/40mhz-XX country=russia \
disabled=no disconnect-timeout=15s distance=indoors frequency=auto \
hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge name=\
LAN-wifi24ghz on-fail-retry-time=1s radio-name=POINT24_1 ssid=point2 \
wireless-protocol=802.11 wmm-support=enabled
/interface wireless nstreme
set LAN-wifi24ghz enable-polling=no
/interface list
add name=Internet
add name=Local
add name=VPN
add name=VPN_L2TP_Users
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
wpa-pre-shared-key=******** wpa2-pre-shared-key=*******
/ip pool
add name=dhcp ranges=192.168.88.5-192.168.88.255
add comment="\"Real_DefConf\"" name=VPN_Users ranges=10.255.255.0/24
/ip dhcp-server
add add-arp=yes address-pool=dhcp bootp-lease-time=lease-time bootp-support=\
dynamic disabled=no interface=LAN-Bridge lease-time=12h name=DHCP-Server
/ppp profile
set *0 interface-list=VPN
add address-list=VPN_L2TP_Users change-tcp-mss=yes interface-list=\
VPN_L2TP_Users local-address=10.255.255.1 name=L2TP_Profiles only-one=yes \
remote-address=VPN_Users use-compression=no use-encryption=no
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge interface=LAN1-Ethernet
add bridge=LAN-Bridge interface=LAN2-Ethernet
add bridge=LAN-Bridge interface=LAN3-Ethernet
add bridge=LAN-Bridge interface=LAN4-Ethernet
add bridge=LAN-Bridge interface=LAN5-Ethernet
add bridge=LAN-Bridge interface=LAN6-Ethernet
add bridge=LAN-Bridge interface=LAN7-Ethernet
add bridge=LAN-Bridge interface=LAN8-Ethernet
add bridge=LAN-Bridge interface=LAN9-Ethernet
add bridge=LAN-Bridge interface=LAN-wifi24ghz
/ip neighbor discovery-settings
set discover-interface-list=Local
/interface l2tp-server server
set authentication=mschap2 caller-id-type=number default-profile=\
L2TP_Profiles enabled=yes ipsec-secret=******** use-ipsec=required
/interface list member
add interface=WAN list=Internet
add interface=LAN-Bridge list=Local
add disabled=yes interface=LAN-Bridge list=VPN
add interface=LAN-Bridge list=VPN_L2TP_Users
/ip address
add address=192.168.88.1/24 interface=LAN1-Ethernet network=192.168.88.0
/ip dhcp-client
add disabled=no interface=WAN
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 \
netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add list="Access IP"
add list="Access IP Gate 1"
add list=ddos-blacklist
add list=SIP
add list="Access IP Gate 2"
add address=192.168.88.0/24 comment="White list for Trap for TCP traffic" \
list=NotTrapsIP
add comment="Trap for TCP traffic" list=TrapAddress
add list=VPN_L2TP_Users
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=udp
add action=accept chain=forward comment=\
"ALLOW - Established, Related and Untracked connections" \
connection-state=established,related
add action=accept chain=input connection-state=established,related \
in-interface-list=Internet
add action=accept chain=input comment="ALLOW - All after ICMP knocking" \
in-interface-list=Internet src-address-list="Access IP"
add action=accept chain=forward in-interface-list=Internet src-address-list=\
"Access IP"
add action=accept chain=input comment="\"Allow port\r\
\nfor L2TP server\"" dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment=\
"\"Allow esp protocol for\r\
\nL2TP/Ipsec server\"" protocol=ipsec-esp
add action=drop chain=forward comment="DROP - Invalid connections" \
connection-state=invalid
add action=jump chain=forward comment="DDoS - SYN flood protection" \
connection-state=new in-interface-list=Internet jump-target=SYN-Protect \
protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=SYN-Protect log=yes log-prefix=\
"DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=forward comment="DDoS - Main protection" \
connection-state=new in-interface-list=Internet jump-target=DDoS-Protect
add action=jump chain=input connection-state=new in-interface-list=Internet \
jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=DDoS-Protect log=yes log-prefix=\
"DDoS: MAIN-Protect"
add action=jump chain=input comment=\
"Port Knocking - Permission to access the router" in-interface-list=\
Internet jump-target=port-knocking log-prefix=PING protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 1" \
address-list-timeout=30s chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP Gate 1" packet-size=342 protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 2" \
address-list-timeout=30s chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP Gate 2" packet-size=372 protocol=icmp \
src-address-list="Access IP Gate 1"
add action=add-src-to-address-list address-list="Access IP" \
address-list-timeout=12h chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP" packet-size=571 protocol=icmp src-address-list=\
"Access IP Gate 2"
add action=add-src-to-address-list address-list="Access IP" \
address-list-timeout=12h chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP" packet-size=530 protocol=icmp src-address-list=\
"Access IP Gate 2"
add action=return chain=port-knocking
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for TCP traffic" \
connection-nat-state=!dstnat dst-port=\
5060,5061,4569,3389,8291,22,23,389,445,53 in-interface-list=Internet \
protocol=tcp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for UDP traffic" \
connection-nat-state=!dstnat dst-port=5060,4569,389,53,161 \
in-interface-list=Internet protocol=udp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=1w7s chain=input comment="Trap for port scanning" \
in-interface-list=Internet protocol=tcp psd=10,10s,3,1 src-address-list=\
!NotTrapsIP
add action=drop chain=input comment=\
"DROP - Block all other input/forward connections on the WAN" \
in-interface-list=Internet
add action=drop chain=forward in-interface-list=Internet
/ip firewall nat
add action=masquerade chain=srcnat comment="MASQ - Internet out masquerade" \
out-interface-list=Internet src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment=\
"NTP - Sending all requests to the 88.1" dst-port=123 in-interface-list=\
Local protocol=udp to-addresses=192.168.88.1 to-ports=123
/ip firewall raw
add action=drop chain=prerouting comment="DDoS - Drop blacklist IP" \
in-interface-list=Internet src-address-list=ddos-blacklist
add action=accept chain=prerouting comment="ALLOW - Resolved SIP provider" \
in-interface-list=Internet protocol=udp src-address-list=SIP
add action=drop chain=prerouting comment="DROP - Not allow SIP" dst-port=\
5060,5061 in-interface-list=Internet protocol=udp
add action=drop chain=prerouting dst-port=5060,5061 in-interface-list=\
Internet protocol=tcp
add action=drop chain=prerouting comment="Drop Address from Trap" \
src-address-list=TrapAddress
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
/lcd interface pages
set 0 interfaces=LAN-wifi24ghz
/ppp secret
add name=user1 password=******** profile=L2TP_Profiles service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=Local
/tool mac-server mac-winbox
set allowed-interface-list=Local
вот мой конфиг целиком, если есть косяки поправьте пожалуйста
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Так сеть, из которой подключается пользователь, ни на что не влияет. Куда вы делаете трассировку, которая не уходит в тоннель?
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Chupaka писал(а): 23 апр 2020, 23:18 Так сеть, из которой подключается пользователь, ни на что не влияет. Куда вы делаете трассировку, которая не уходит в тоннель?
при подключенном тоннеле, если попробовать сделать трассировку с машины впн юзера ( 192.168.55.0/24 ) в сеть за микротиком ( 192.168.88.0/24) ( это уже после того как я прописал маршрут
route -p add 192.168.88.0 mask 255.255.255.0 10.255.255.1 metric 100 if 21)
результат такой
tracert_ok.jpg
если попробовать сделать трассировку обратно ( с машины за микротиком до машины впн юзера)
результат такой
tracert.jpg
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Вы запутались. VPN поднимает компьютер пользователя, впн-сервер ему выдаёт адрес 10.255.255.x, после этого сервер знает, за каким тоннелем находится это 10.255.255.х. Никакие 192.168.55.y серверу не известны, нет смысла их пинговать. Вы, конечно, можете и на стороне сервера прописать маршрут к 192.168.55.167 через свежеподключенный интерфейс клиента, но это даже костыль ради костыля, а не чтобы решить какую-то задачу :)
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Chupaka писал(а): 24 апр 2020, 13:43 Вы запутались. VPN поднимает компьютер пользователя, впн-сервер ему выдаёт адрес 10.255.255.x, после этого сервер знает, за каким тоннелем находится это 10.255.255.х. Никакие 192.168.55.y серверу не известны, нет смысла их пинговать. Вы, конечно, можете и на стороне сервера прописать маршрут к 192.168.55.167 через свежеподключенный интерфейс клиента, но это даже костыль ради костыля, а не чтобы решить какую-то задачу :)
спасибо за пояснения))
пойду читать матбазу, не знаю основ)
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

а можно как то сделать, чтоб все впн клиенты видели друг друга, как, если бы они находились в одной сети?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Ну, строго говоря, надо приложить определённые усилия для того, чтобы запретить им это. Хотя тут ещё неопределённость термина "видели". Например, сетевое окружение Windows работает на широковещательных пакетах - они через VPN-роутер не будут проходить между клиентами. Но обычное юникастовое взаимодействие по умолчанию возможно.