L2TP+ipsec между двумя Mikrotik (site to site)

RIP, OSFP, BGP, MPLS/VPLS
lexx-nts
Сообщения: 5
Зарегистрирован: 29 авг 2025, 14:04

L2TP+ipsec между двумя Mikrotik (site to site)

Сообщение lexx-nts »

Имеется два устройства Mikrotik1 и Mikrotik2

Mikrotik1 - основной офис
bridge - 192.168.11.0/24

Mikrotik2 - филиал
bridge - 192.168.97.0/24

На Mikrotik1 развернут L2TP сервер
Local Address 172.16.100.4
Remote Address 172.16.100.40

На Mikrotik2 L2TP клиент
Соединение успешно поднято, PPP интерфейсы с обоих сторон видят друг друга

На Mikrotik1
Маршрут 192.168.97.0/24 172.16.100.40
На Mikrotik2
Маршрут 192.168.11.0/24 172.16.100.4

Проблема заключается в том что устройства из сети 192.168.97.0/24 не видят устройства 192.168.11.0/24 и наоборот(основная задача получить доступ к сети основного офиса)
При этом пинг с самого Mikrotik2 до условного 192.168.11.101 доходит

Трассировка с клиента в 192.168.97.0/24 в 192.168.11.0/24
Изображение


Трассировка с Mikrotik2 в 192.168.11.0/24
Изображение
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Вернуться к началу
lexx-nts
Сообщения: 5
Зарегистрирован: 29 авг 2025, 14:04

Re: L2TP+ipsec между двумя Mikrotik (site to site)

Сообщение lexx-nts »

MK1
routes

Код: Выделить всё

  DAv 0.0.0.0/0         pppoe-out1            main                  1
  DAc 111.111.111.111/32  pppoe-out1            main                  0
  DAc 172.16.100.40/32  BCP-L2TP-SERVER       main                  0
  DAc 192.168.11.0/24   bridge                main                  0
  As 192.168.97.0/24   172.16.100.40         main                  1
filter

Код: Выделить всё

Flags: X - disabled, I - invalid; D - dynamic
0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    chain=forward action=accept src-address=192.168.97.0/24 
      dst-address=192.168.11.0/24 log=no log-prefix="" 

 2    chain=forward action=accept src-address=192.168.11.0/24 
      dst-address=192.168.97.0/24 log=no log-prefix="" 

 3    ;;; accept ipsec
      chain=input action=accept protocol=ipsec-esp 

 4    ;;; accept ipsec ports
      chain=input action=accept protocol=udp port=500,4500 

 5    ;;; accept l2tp
      chain=input action=accept protocol=udp dst-port=1701

 7    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 8    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 9    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

10    ;;; defconf: accept to local loopback (for CAPsMAN)
      chain=input action=accept dst-address=127.0.0.1 

11    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

12    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

13    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

14    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection hw-offload=yes 
      connection-state=established,related 
15    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

16    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

17    ;;; defconf: drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat 
      in-interface-list=WAN log=no log-prefix=""
MK2
routes

Код: Выделить всё

  DAv 0.0.0.0/0         pppoe-out                 1
  DAc 222.222.222.222/32  pppoe-out                 0
  DAc 172.16.100.4/32   BCP-L2TP-CLIENT           0
  As 192.168.11.0/24   172.16.100.4              1
  DAc 192.168.97.0/24   bridge                    0
filter

Код: Выделить всё

Flags: X - disabled, I - invalid; D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    chain=forward action=accept src-address=192.168.11.0/24 dst-address=192.168.97.0/24 log=no log-prefix="" 

 2    chain=forward action=accept src-address=192.168.97.0/24 dst-address=192.168.11.0/24 log=no log-prefix="" 

 3    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 4    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid 

 5    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

6    ;;; defconf: accept to local loopback (for CAPsMAN)
      chain=input action=accept dst-address=127.0.0.1 

7    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN 

8    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

9    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

10    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection hw-offload=yes connection-state=established,related 

11    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

12    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid 

13    ;;; defconf: drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN
Вернуться к началу
Аватара пользователя
Chupaka
Сообщения: 4177
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2TP+ipsec между двумя Mikrotik (site to site)

Сообщение Chupaka »

В первую очередь - проверяйте Брандмауэр Windows, он любит блокировать доступ не из своей подсети.

Если нет - сделайте трассировку с 192.168.11.101 к машине, с которой делали трассировку выше.
Вернуться к началу
lexx-nts
Сообщения: 5
Зарегистрирован: 29 авг 2025, 14:04

Re: L2TP+ipsec между двумя Mikrotik (site to site)

Сообщение lexx-nts »

Брандмауэр Windows отключал, с ним не идет даже с Микрота, трассировка с обратной стороны такая-же, обрывается на шлюзе.
Вернуться к началу
Аватара пользователя
Chupaka
Сообщения: 4177
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: L2TP+ipsec между двумя Mikrotik (site to site)

Сообщение Chupaka »

Обрывается на шлюзе ближнем или дальнем?

Когда лень разбираться в конфиге - я создаю в фильтре правило с chain=forward action=accept log=yes proocol=tcp src-address=IP1 dst-address=IP2 и помещаю его в самый верх. Во-первых, оно подтвердит, что пакет через фильтр проходит, во-вторых, покажет, через какие интерфейсы. Может прояснить ситуацию.
Вернуться к началу
lexx-nts
Сообщения: 5
Зарегистрирован: 29 авг 2025, 14:04

Re: L2TP+ipsec между двумя Mikrotik (site to site)

Сообщение lexx-nts »

Сделал как вы и сказали, создал правило и включил лог, и наблюдаю вот такую картину

forward: in:BCP-L2TP-SERVER out:bridge, connection-state:new proto ICMP (type 8, code 0), 192.168.97.88->192.168.11.101, len 92

Но при это в консоли глухо

Это может быть связано с маскарадом? на обоих устройствах стандартное правило

0 ;;; masq
chain=srcnat action=masquerade out-interface-list=WAN log=no log-prefix=""
Последний раз редактировалось lexx-nts 01 сен 2025, 10:58, всего редактировалось 1 раз.
Вернуться к началу
lexx-nts
Сообщения: 5
Зарегистрирован: 29 авг 2025, 14:04

Re: L2TP+ipsec между двумя Mikrotik (site to site)

Сообщение lexx-nts »

Нашел в какой-то статейке в интернете, что может помочь включение на бридже proxy-arp, и да все сразу начинает работать.
Но у меня в сети при включение proxy-arp, компьютеры на windows-xp перестают статически принимать ip адреса, ложатся с ошибкой (конфликт ip адресов)

О чем это может свидетельствовать, и можно ли это как-то пофиксить без включения proxy-arp
Вернуться к началу

Вернуться в «Маршрутизация, коммутация»