L2TP между двумя mikrotik (и два провайдера)

[freeddos]

Здравствуйте.
Имеются два микротика:
1. Основной шлюз на который приходит два провайдера.
2. Маршрутизатор внутренней сети на котором L2TP сервер.
На mikrotik(1) приходят два провайдера, которые разруливаются через mangle. Заранее скажу, что правила работают потому, что например dst-nat на внутренний сервер ftp работает проброс с обоих провайдеров.

Код: Выделить всё

add action=mark-connection chain=input comment="Input Mark Conn ISP1" in-interface=ether1 new-connection-mark=con_ISP1 \
    passthrough=yes
add action=mark-connection chain=input comment="Input Mark Conn ISP2" in-interface=ether2 new-connection-mark=con_ISP2 \
    passthrough=yes
add action=mark-connection chain=forward comment="Forward for DSTNAT ISP1" in-interface=ether1 new-connection-mark=con_f_ISP1 \
    passthrough=no
add action=mark-connection chain=forward comment="Forward for DSTNAT ISP2" in-interface=ether2 new-connection-mark=con_f_ISP2 \
    passthrough=no
add action=mark-routing chain=prerouting comment="Preroute for Forward DSTNAT ISP1" connection-mark=con_f_ISP1 in-interface=\
    ether5 new-routing-mark=to_ISP1 passthrough=no
add action=mark-routing chain=prerouting comment="Preroute for Forward DSTNAT ISP2" connection-mark=con_f_ISP2 in-interface=\
    ether5 new-routing-mark=to_ISP2 passthrough=no
add action=mark-routing chain=output comment="Route Makr to ISP1" connection-mark=con_ISP1 new-routing-mark=to_ISP1 \
    passthrough=no
add action=mark-routing chain=output comment="Route Makr to ISP2" connection-mark=con_ISP2 new-routing-mark=to_ISP2 \
    passthrough=no

На mikrotik(2) маршрут по умолчанию на mikrotik(1), на этом же mikrotik(2) поднял L2TP сервер он работает т.к. есть подключение к нему из внутренней сети (то есть когда на прямую к mikrotik(2) подключаешься).
Настраиваю проборос портов по upd 500, 4500, 1701 и 50(ipsec) с mikrotik(1) на mikrotik(2) но из вне подключиться не получается. Сделал проброс всех портов на mikrotik(2) (на случай если что то забыл) - всеравно не получается. Но в Connections на mikrotik(2) появляются попытки соединения на 500 и 4500 порты, то есть какой то проброс есть.
Подумал может dst-nat (netmap - именно через него) не работает, поднял на том же mikrotik(2) OVPN и SSTP пробрасывая нужные порты (правда tcp) и все работает, подключение есть - значит проброс портов работает нормально.

И тут возник вопрос может есть какая то хитрость с пробросом udp через mangle?

[Chupaka]

Приветствую.

А извне без IPSec работает? А в логе про ipsec ничего подозрительного? А в Torch на первом роутере пакеты пробрасываемые видны в одну сторону или в обе?

Фильтр файрвола не может мешать?

[freeddos]

При подключении до l2tp не доходит из вне, поэтому и по логам l2tp записей вообще нет.
Если tourch запустить то видно что пакеты от ПК из вне до mikrotik(1) доходят в одну сторону (причем так же они отображаются и при OVPN и SSTP).
Фильтры фаервола не могут мешать. никаких запрещающих l2tp или upd.

PS подключился в mikrotik(2) через OVPN (конечно же через проброс портов mikrotik(1)) и потом на локальный ip mikrotik(2) через тунель ovpn подключился через туннель l2tp. все подключилось. То есть дело точно в пробросе udp портов (или просто портов) для l2tp

[Chupaka]

Я имею в виду, что если попробовать подключиться без IPSec (например, с другого роутера RouterOS в Интернете без IPSec Secret) - будет ли работать проброс порта 1701/udp?

Torch не интересны пакеты извне до mikrotik(1), интересно именно то, что улетает в сторону mikrotik(2) и возвращается (ли) оттуда.

[freeddos]

Да, получилось проверить. Все хорошо, без IPSec с внешнего mikrotik подключиться к L2TP mikrotik(2) через mikrotik(1) (через проброс портов).
Так же пробрасываю udp 500, 4500, 1701. Подключилось, получил адрес, туннель поднялся.

[Chupaka]

А подключение в логе показывает с адреса клиента? Хочу проверить гипотезу излишнего src-nat на mikrotik(1).

[freeddos]

Прилетает в логи mikrotik(2) IP адрес внешнего mikrotik (тоесть белый ip этого внешнего mikrotik).
А на mikrotik(2) дефолтный маршрут направлен в сторону mikrotik(1).

[Chupaka]

Ага, а должен прилетать адрес самого клиента, а не другого роутера. Смотрите, что у вас не так в Firewall NAT на mikrotik(1)

[freeddos]

Проверил еще раз. получается что на этапе соединения фигурирует внешний ip.
Но при подключении уже появляется ip из пула l2tp.
Если смотреть Connections в Src. внешний ip в Dst. локальный ip mikrotik(2) и порт 1701.

[Chupaka]

Какой из адресов на скриншоте внешний?..

[freeddos]

То что закрашено красным - это внешний ip.
172.17.6.1 - это local adress в настройках (тот адрес что засветиться на mikrotik(2))
172.17.6.4 - это адрес который выдан клиенту (повесится на интерфейс клиента).

[Chupaka]

Если на роутере 2 светится внешний IP роутера 1 - что-то у вас не так настроено в NAT. Как я уже сказал, туда смотрите в первую очередь.