L2TP инет на клиенте

RIP, OSFP, BGP, MPLS/VPLS
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

L2TP инет на клиенте

Сообщение joker »

Здравствуйте!
Настроили VPN IPSec/L2TP сервер на Mikrotik. Клиент подключается успешно, компьютеры в сети видит, но интернета нету.
/ip firewall address-list
add address=192.168.1.0/24 list=anti-nat
add address=10.1.0.0/16 list=anti-nat
add address=193.176.181.193 list="vpn ipsec list"
add address=178.124.177.215 list="vpn ipsec list"
/ip firewall filter
add action=accept chain=input src-address-list="vpn ipsec list"
add action=accept chain=input comment=L2TP dst-port=500,1701,4500 in-interface=ether1 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment="Established connection Allowed" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward dst-address=192.168.4.0/24 src-address=192.168.1.20
add action=accept chain=forward dst-address=192.168.30.0/24 src-address=192.168.1.23
add action=accept chain=forward comment="allow L2TP for subnet4.0 only" dst-address=192.168.15.0/24 src-address=192.168.4.0/24
add action=drop chain=forward dst-address=192.168.30.0/24 src-address=192.168.4.0/24
add action=drop chain=input comment="Close 53 port DNS" dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=input connection-state=invalid in-interface-list=WAN
add action=drop chain=input disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN
add action=accept chain=srcnat dst-address-list=!anti-nat out-interface-list=WAN
Подскажите, что нужно прописать, чтобы интернет у клиента L2TP работал?
Спасибо
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2TP инет на клиенте

Сообщение Chupaka »

Приветствую. А что значит "интернета нету" более техническим языком? Покажите трассировку с клиента на ya.ru и на 8.8.8.8, например.
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: L2TP инет на клиенте

Сообщение joker »

Скрины трасировки во вложении
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2TP инет на клиенте

Сообщение Chupaka »

Значит, Интернет доступен, проблема с DNS. Смотрите, какой адрес получает клиент в качестве DNS-сервера и почему он не может к нему достучаться.
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: L2TP инет на клиенте

Сообщение joker »

Chupaka писал(а): 27 июл 2020, 16:25 Значит, Интернет доступен, проблема с DNS. Смотрите, какой адрес получает клиент в качестве DNS-сервера и почему он не может к нему достучаться.
192.168.1.20 это наш DNS-сервер
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2TP инет на клиенте

Сообщение Chupaka »

А есть возможность проверить, что с DNS-сервера трассировка на адрес VPN-клиента нормально идёт, как минимум до L2TP-сервера?
joker
Сообщения: 45
Зарегистрирован: 29 апр 2019, 16:22

Re: L2TP инет на клиенте

Сообщение joker »

Спасибо за подсказку :) Разобрался. Наш dns-сервер находится за другим маршрутизатором Mikrotik.
Настроил туннель между подсетью микротика в котором dns-сервер и подсетью микротика который выступает в качестве L2TP-сервера.