Не видны локальные машины по VPN. L2TP

[e.sipovich]

Добрый день. Подскажите что не так настроил.

Есть роутер (huawei) с инетом. К нему подключены сервер, пару компов и микротик RBwap2nd. Микротик работает в качестве точки доступа и сейчас понадобилось поднять на нём l2tp/ipsec. Поднял. Настроил на удалённом компе подключение - vpn соединение работает. Но удалённый комп не видит компы офиса, как и офисные не видят удалённый комп. Микротик пингует и удалённый и внутренние компы.

Вот настройки:

microtik.jpg

Желательно, конечно, что бы сети были разные у vpn клиентов и локальных пользователей.

[e.sipovich]

Итак, если pool vpn делать из той же подсети, что и офисные компы то проблема решается очень просто. Interfaces -> bridge1, в пункте ARP выбираете proxy-arp.

А как решить задачу с разными подсетями для офисных и vpn пользователей?

[Chupaka]

Доброго. Проверяли брандмауэр? По умолчанию в Шindoшs доступ разрешён только из своей подсети.

[e.sipovich]

Я добавил на сервере дополнительный IP с подсетью как у VPN. Сам себя сервер пингует по дополнительному IP, а вот микротик и сервер не пингуют друг друга по этой сети. Брандмауер ничего не блочит.

[Chupaka]

Т.е. вы с сервера не пингуете адрес микротика в подсети ВПН? А трассировка что говорит? А то вдруг у вас policy routing эти пакеты куда-нибудь дальше отправляет...

[onyx]

Добрый всем.
Не могу увидеть клиента с клиента. Не сети за клиентами, а сами клиенты не видят друг друга.
По VPN L2TP поднято два канала. Сервер(микрот1)-клиент1(микрот2) и сервер(микрот1)-клиент2(комп).
Реальные IP по концам тоннелей Х.Х.Х.1(микрот1-сервер) Х.Х.Х.2(микрот2-клиент) Х.Х.Х.3(комп)
Виртуальные IP в тоннеле, те, что устанавливаются при соединении Y.Y.Y.1(микрот1сервер) Y.Y.Y.2(микрот2клиент) Y.Y.Y.3(комп)
Комп и микрот2 не пингуются, т.е. Y.Y.Y.2 и Y.Y.Y.3 не видят друг друга.
Оба клиента видят L2TP сервер.
Маршрутизация только динамическая, доп.маршрутов не делал. Interface binding тоже не делал.
Почему не видятся IP-ы, которые самые первые в тоннеле?

[Chupaka]

Здравствуйте. Да миллион причин может быть, а вы даже базовую диагностику не предоставили, которую я просил в посте над вашим почти два года назад Сделайте трассировку. Смотрите на правила файрвола.

[onyx]

Нет. У меня все проще. Никаких сетей за клиентами не создано. Просто L2TP клиент --- L2TP сервер.

[Chupaka]

Это я с первого раза понял, а трассировку вы даже со второго не осилили

Если это не настройки роутера - то ещё нужно проверить файрвол на компе, Windows любит по умолчанию блокировать такого рода доступ к себе, например.

[onyx]

конфиги

[onyx]

Это я с первого раза понял, а трассировку вы даже со второго не осилили

Если это не настройки роутера - то ещё нужно проверить файрвол на компе, Windows любит по умолчанию блокировать такого рода доступ к себе, например.

С виндоуса нет пингов на другого клиента. Трасерт уперся в сервер.

[Chupaka]

Проверьте, что у вас на клиентах есть маршруты к другому клиенту через VPN.

[onyx]

Спасибо, помогло. На винде пакеты и так пытались выйти через Y.Y.Y.1, а вот микроте-клиенте пришлось шлюз указывать вручную. Странно. Почему микрот автоматом не шлет пакеты в сервер Y.Y.Y.1?

[Chupaka]

Не шлёт - потому что у него нет такого маршрута. Windows добавляет себе маршрут на классовую подсеть viewtopic.php?f=2&t=2639 (которая может не иметь ничего общего с настройками сервера; например, в вашем случае он добавляет маршрут к 10.0.0.0/8, а не к какому-нибудь 10.11.12.0/24), а MikroTik, как и прочие Linux, получают от сервера адрес /32 - им и довольствуются, пока не сказано иного.

[zarro]

политику может добавить 0.0.0.0/0 - 0.0.0.0/0 ?

[Chupaka]

Политику чего? L2TP? :)