проблема с настройкой VPN IPSec/L2TP

RIP, OSFP, BGP, MPLS/VPLS
Ответить
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Здравствуйте подскажите в чем может быть проблема...
После настройки VPN IPSec/L2TP на микротике и после настройки впн подключения в винде, канал поднимается, во вкладке active connections видно , что пользователь подключился и ему присвоен ip из созданного пула , однако не пингуется ни одна машина за натом и на веб морду роутера не пускает.
однако, если тут PPP — Profiles--l2tp_profile поменять значения
с
Local Address: vpn-pool (192.168.199.0/24 )
Remote Address: vpn pool (192.168.199.0/24 )

на

Local Address: dhcp (192.168.88.0/24) - LAN
Remote Address: dhcp (192.168.88.0/24)
то все замечательно, все пингуется и пускает на веб морду, подключенному пользователю естественно присваивается dhcp сервером адрес локалки

, вопрос - где косяк и как правильно настроить, чтобы пользователи из vpn-pool видели машины в локальной сети
_________________________________________________________________________________________________________________________________
как я настраивал VPN IPSec/L2TP
IP — Pool — Add

Name: vpn_pool

Address: 192.168.199.1-192.168.199.10

Next Pool: none
PPP — Profiles — Add

вкладка: General

Name: l2tp_profile

Local Address: 192.168.199.1

Remote Address: vpn_pool

Change TCP MSS: yes

вкладка: Protocols

Use MPLS: default

Use Compression: default

Use Encryption: default

вкладка: Limits

Only one: default
PPP — вкладка Secrets — Add

Name: vpn_user1

Password:*********


Service: l2tp

Profile: l2tp_profile

PPP — вкладка Interface, нажал на L2TP Server

Enabled: отметил галочкой

Max MTU: 1450

Max MRU: 1450

Keepalive Timeout: 30

Default Profile: l2tp_profile

Authentication: mschap2

Use Ipsec:галочка
winbox — IP&MAC — IP — IPSec — вкладка Groups

IP — IPSec — вкладка Peers

IP — IPSec — вкладка Proposals дефолтный профиль

Name: default

Encr. Algorithms: 3des, aes-256 cbc, aes-256 ctr

Lifetime: 00:30:00

PFS Group: mod1024

Apply — Ok

IP — Firewall — Add

вкладка General:

Chain: input
Protocol: udp
Any. Port: 1701, 500, 4500

вкладка Action:

Action: Accept
вкладка General:

Chain: input
Protocol: ipsec-esp

вкладка Action:

Action: Accept


до этого на роутере был настроен порт кнокинг, ниже настройки роутера( вдруг понадобится)


интерфейсы
/interface ethernet
set [find default-name=ether1] name=WAN
/interface ethernet
set [find default-name=ether2] name=LAN1-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN2-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN3-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN4-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN5-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN6-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN7-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN8-Ethernet
/interface ethernet
set [find default-name=ether2] name=LAN9-Ethernet
Настройки wifi
/interface wireless security-profiles
set default mode=dynamic-keys authentication-types=wpa2-psk unicast-ciphers=aes-ccm group-ciphers=aes-ccm wpa2-pre-shared-key="12345678" management-protection=disabled group-key-update=1h disable-pmkid=yes

/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-onlyn basic-rates-b="" channel-width=20/40mhz-XX country=romania disabled=no distance=indoors frequency=auto frequency-mode=regulatory-domain hw-protection-mode=rts-cts mode=ap-bridge multicast-helper=full name=LAN5-wifi24ghz radio-name=POINT24_1 ssid=POINT24GHZ supported-rates-b="" wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled hw-retries=10 disconnect-timeout=15s on-fail-retry-time=1s
/interface wireless nstreme
set LAN5-wifi24ghz enable-polling=no
Мост
/interface bridge
add name="LAN-Bridge" comment="LAN" mtu=1500 fast-forward=no igmp-snooping=yes protocol-mode=none

Порты
/interface bridge port
add interface=LAN1-Ethernet bridge=LAN-Bridge
add interface=LAN2-Ethernet bridge=LAN-Bridge
add interface=LAN3-Ethernet bridge=LAN-Bridge
add interface=LAN4-Ethernet bridge=LAN-Bridge
add interface=LAN5-Ethernet bridge=LAN-Bridge
add interface=LAN6-Ethernet bridge=LAN-Bridge
add interface=LAN7-Ethernet bridge=LAN-Bridge
add interface=LAN8-Ethernet bridge=LAN-Bridge
add interface=LAN9-Ethernet bridge=LAN-Bridge
add interface=wifi24ghz bridge=LAN-Bridge

днс

/ip dns
set allow-remote-requests=yes cache-size=4096

dhcp

/ip dhcp-client
add interface=WAN add-default-route=yes disabled=no default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes

Списки интерфейсов

/interface list member
set [find interface=WAN] list=Internet
set [find interface=LAN-Bridge] list=Local
set [find interface=LAN1-Ethernet] list=Local
set [find interface=LAN2-Ethernet] list=Local
set [find interface=LAN3-Ethernet] list=Local
set [find interface=LAN5-Ethernet] list=Local
set [find interface=LAN6-Ethernet] list=Local
set [find interface=LAN7-Ethernet] list=Local
set [find interface=LAN8-Ethernet] list=Local
set [find interface=LAN9-Ethernet] list=Local
set [find interface=wifi24ghz] list=Local
set [find interface=Sfp1] list=Local


/ppp profile
set default interface-list=Vpn

Neighbor discovery

/ip neighbor discovery-settings set discover-interface-list="Local"

Mac Telnet Server, Mac WinBox Server


/tool mac-server set allowed-interface-list=Local
/tool mac-server mac-winbox set allowed-interface-list=Local

Интернет

/ip firewall nat
add chain=srcnat out-interface-list=Internet src-address=192.168.88.0/24 action=masquerade
IP адрес роутера
/ip address
add address=192.168.88.1/24 interface=LAN-Bridge

DHCP Сервер для локальных клиентов

/ip pool
add name=LAN-Pool ranges=192.168.88.5-192.168.88.255
/ip dhcp-server
add name=DHCP-Server disabled=no interface=LAN-Bridge lease-time=12h address-pool=LAN-Pool bootp-support=dynamic bootp-lease-time=lease-time add-arp=yes authoritative=yes
/ip dhcp-server network
add address=192.168.88.0/24 gateway=192.168.88.1 netmask=24 dns-server=192.168.88.1

Настройка firewall и порт кнокинг
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=established,related protocol=udp
add action=accept chain=forward comment="ALLOW – Established, Related and Untracked connections" connection-state=established,related
add action=accept chain=input connection-state=established,related in-interface-list=Internet
add action=accept chain=input comment="ALLOW – All after ICMP knocking" in-interface-list=Internet src-address-list="Access IP"
add action=accept chain=forward in-interface-list=Internet src-address-list="Access IP"
add action=drop chain=forward comment="DROP – Invalid connections" connection-state=invalid
add action=jump chain=forward comment="DDoS – SYN flood protection" connection-state=new in-interface-list=Internet jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=SYN-Protect log=yes log-prefix="DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=forward comment="DDoS – Main protection" connection-state=new in-interface-list=Internet jump-target=DDoS-Protect
add action=jump chain=input connection-state=new in-interface-list=Internet jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist address-list-timeout=1d chain=DDoS-Protect log=yes log-prefix="DDoS: MAIN-Protect"
add action=jump chain=input comment="Port Knocking – Permission to access the router" in-interface-list=Internet jump-target=port-knocking log-prefix=PING protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 1" address-list-timeout=30s chain=port-knocking in-interface-list=Internet log-prefix="Access IP Gate 1" packet-size=255 protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 2" address-list-timeout=30s chain=port-knocking in-interface-list=Internet log-prefix="Access IP Gate 2" packet-size=350 protocol=icmp src-address-list="Access IP Gate 1"
add action=add-src-to-address-list address-list="Access IP" address-list-timeout=8h chain=port-knocking in-interface-list=Internet log-prefix="Access IP" packet-size=650 protocol=icmp src-address-list="Access IP Gate 2"
add action=add-src-to-address-list address-list="Access IP" address-list-timeout=8h chain=port-knocking in-interface-list=Internet log-prefix="Access IP" packet-size=530 protocol=icmp src-address-list="Access IP Gate 2"
add action=return chain=port-knocking
add action=drop chain=input comment="DROP – Block all other input/forward connections on the WAN" in-interface-list=Internet
add action=drop chain=forward in-interface-list=Internet

Конфиг “Firewall Raw”

/ip firewall raw
add action=drop chain=prerouting comment="DDoS – Drop blacklist IP" in-interface-list=Internet src-address-list=ddos-blacklist
add action=accept chain=prerouting comment="ALLOW – Resolved SIP provider" in-interface-list=Internet protocol=udp src-address-list=SIP
add action=drop chain=prerouting comment="DROP – Not allow SIP" dst-port=5060,5061 in-interface-list=Internet protocol=udp
add action=drop chain=prerouting dst-port=5060,5061 in-interface-list=Internet protocol=tcp
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Приветствую. В Firewall Mangle у вас пусто?

Сделайте трассировку с клиента, когда не подключается.
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

'это трассировка до машины за микротиком ее ip ( 192.168.88.193) в случае, когда vpn юзеру выдается ip из vpn-pool (192.168.199.0/24 ) в этом случае не получается ни на веб морду микротика зайти ни подцепиться по рдп к машине ( 192.168.88.193)
tracert1.jpg
tracert1.jpg (91.47 КБ) 2723 просмотра
это трассировка в случе выставления в настройках PPP — Profiles--l2tp_profile
Local Address: dhcp (192.168.88.0/24) - LAN
Remote Address: dhcp (192.168.88.0/24)
tracert2.jpg
tracert2.jpg (307.22 КБ) 2723 просмотра
при подключенном vpn если на целевой машине (192.168.88.193) запустить ip scan то картина такая
ip scan 192.168.88.0 24.jpg
ip scan 192.168.88.0 24.jpg (156.84 КБ) 2723 просмотра
при этом с машины 192.168.88.193 также можно подключаться пор рдп к 192.168.88.188 тк они в одной сети
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Firewall mangle
firewall mangle.jpg
firewall mangle.jpg (91.49 КБ) 2721 просмотр
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Хм... А Брандмауэр Windows "помогать" не может? По умолчанию он доступ разрешает только из своей подсети, как помню.
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Отключил брандмауэр на целевой машине,выставил значения
Local Address: vpn-pool (192.168.199.0/24 )
Remote Address: vpn pool (192.168.199.0/24 )
но результат такой же, то есть никуда не пускает...
Может, с учетом того, что конфигурация не стандартная, настроенная вручную, чего то не хватает и нужно как то на микротике настроить взаимодействие между сетями 192.168.199.0/24 и 192.168.88.0/24 ?
Если это так , прошу подсказать что настраивать я не знаю как это сделать (((
если нужна еще какая то инфа по текущим настройкам-я скину
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Собственно, добавьте в Firewall Filter вверху два правила: разрешить из 192.168.199.0/24 в 192.168.88.0/24 и разрешить из 192.168.88.0/24 в 192.168.199.0/24.
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Что то не получается у меня ...
вот , на всякий случай мой конфиг, посмотрите , может быть упускаю что то очевидное )


RouterOS 6.46.5

/interface bridge
add arp=proxy-arp fast-forward=no igmp-snooping=yes mtu=1500 name=LAN-Bridge \
protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=LAN1-Ethernet
set [ find default-name=ether3 ] name=LAN2-Ethernet
set [ find default-name=ether4 ] name=LAN3-Ethernet
set [ find default-name=ether5 ] name=LAN4-Ethernet
set [ find default-name=ether6 ] name=LAN5-Ethernet
set [ find default-name=ether7 ] name=LAN6-Ethernet
set [ find default-name=ether8 ] name=LAN7-Ethernet
set [ find default-name=ether9 ] name=LAN8-Ethernet
set [ find default-name=ether10 ] name=LAN9-Ethernet
set [ find default-name=ether1 ] mac-address=14:DD:A9:F2:E5:A4 name=WAN
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
antenna-gain=0 band=2ghz-onlyn channel-width=20/40mhz-XX country=russia \
disabled=no disconnect-timeout=15s distance=indoors frequency=auto \
hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge name=\
LAN-wifi24ghz on-fail-retry-time=1s radio-name=POINT24_1 ssid=point2 \
wireless-protocol=802.11 wmm-support=enabled
/interface wireless nstreme
set LAN-wifi24ghz enable-polling=no
/interface list
add name=Internet
add name=Local
add name=VPN
add name=VPN_L2TP_Users
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
wpa-pre-shared-key=******** wpa2-pre-shared-key=*******
/ip pool
add name=dhcp ranges=192.168.88.5-192.168.88.255
add comment="\"Real_DefConf\"" name=VPN_Users ranges=10.255.255.0/24
/ip dhcp-server
add add-arp=yes address-pool=dhcp bootp-lease-time=lease-time bootp-support=\
dynamic disabled=no interface=LAN-Bridge lease-time=12h name=DHCP-Server
/ppp profile
set *0 interface-list=VPN
add address-list=VPN_L2TP_Users change-tcp-mss=yes interface-list=\
VPN_L2TP_Users local-address=10.255.255.1 name=L2TP_Profiles only-one=yes \
remote-address=VPN_Users use-compression=no use-encryption=no
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge interface=LAN1-Ethernet
add bridge=LAN-Bridge interface=LAN2-Ethernet
add bridge=LAN-Bridge interface=LAN3-Ethernet
add bridge=LAN-Bridge interface=LAN4-Ethernet
add bridge=LAN-Bridge interface=LAN5-Ethernet
add bridge=LAN-Bridge interface=LAN6-Ethernet
add bridge=LAN-Bridge interface=LAN7-Ethernet
add bridge=LAN-Bridge interface=LAN8-Ethernet
add bridge=LAN-Bridge interface=LAN9-Ethernet
add bridge=LAN-Bridge interface=LAN-wifi24ghz
/ip neighbor discovery-settings
set discover-interface-list=Local
/interface l2tp-server server
set authentication=mschap2 caller-id-type=number default-profile=\
L2TP_Profiles enabled=yes ipsec-secret=******** use-ipsec=required
/interface list member
add interface=WAN list=Internet
add interface=LAN-Bridge list=Local
add disabled=yes interface=LAN-Bridge list=VPN
add interface=LAN-Bridge list=VPN_L2TP_Users
/ip address
add address=192.168.88.1/24 interface=LAN1-Ethernet network=192.168.88.0
/ip dhcp-client
add disabled=no interface=WAN
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 \
netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add list="Access IP"
add list="Access IP Gate 1"
add list=ddos-blacklist
add list=SIP
add list="Access IP Gate 2"
add address=192.168.88.0/24 comment="White list for Trap for TCP traffic" \
list=NotTrapsIP
add comment="Trap for TCP traffic" list=TrapAddress
add list=VPN_L2TP_Users
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=udp
add action=accept chain=forward comment=\
"ALLOW - Established, Related and Untracked connections" \
connection-state=established,related
add action=accept chain=input connection-state=established,related \
in-interface-list=Internet
add action=accept chain=input comment="ALLOW - All after ICMP knocking" \
in-interface-list=Internet src-address-list="Access IP"
add action=accept chain=forward in-interface-list=Internet src-address-list=\
"Access IP"
add action=accept chain=input comment="\"Allow port\r\
\nfor L2TP server\"" dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment=\
"\"Allow esp protocol for\r\
\nL2TP/Ipsec server\"" protocol=ipsec-esp
add action=drop chain=forward comment="DROP - Invalid connections" \
connection-state=invalid
add action=jump chain=forward comment="DDoS - SYN flood protection" \
connection-state=new in-interface-list=Internet jump-target=SYN-Protect \
protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=SYN-Protect log=yes log-prefix=\
"DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=forward comment="DDoS - Main protection" \
connection-state=new in-interface-list=Internet jump-target=DDoS-Protect
add action=jump chain=input connection-state=new in-interface-list=Internet \
jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=DDoS-Protect log=yes log-prefix=\
"DDoS: MAIN-Protect"
add action=jump chain=input comment=\
"Port Knocking - Permission to access the router" in-interface-list=\
Internet jump-target=port-knocking log-prefix=PING protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 1" \
address-list-timeout=30s chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP Gate 1" packet-size=342 protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 2" \
address-list-timeout=30s chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP Gate 2" packet-size=372 protocol=icmp \
src-address-list="Access IP Gate 1"
add action=add-src-to-address-list address-list="Access IP" \
address-list-timeout=12h chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP" packet-size=571 protocol=icmp src-address-list=\
"Access IP Gate 2"
add action=add-src-to-address-list address-list="Access IP" \
address-list-timeout=12h chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP" packet-size=530 protocol=icmp src-address-list=\
"Access IP Gate 2"
add action=return chain=port-knocking
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for TCP traffic" \
connection-nat-state=!dstnat dst-port=\
5060,5061,4569,3389,8291,22,23,389,445,53 in-interface-list=Internet \
protocol=tcp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for UDP traffic" \
connection-nat-state=!dstnat dst-port=5060,4569,389,53,161 \
in-interface-list=Internet protocol=udp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=1w7s chain=input comment="Trap for port scanning" \
in-interface-list=Internet protocol=tcp psd=10,10s,3,1 src-address-list=\
!NotTrapsIP
add action=drop chain=input comment=\
"DROP - Block all other input/forward connections on the WAN" \
in-interface-list=Internet
add action=drop chain=forward in-interface-list=Internet
/ip firewall nat
add action=masquerade chain=srcnat comment="MASQ - Internet out masquerade" \
out-interface-list=Internet src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment=\
"NTP - Sending all requests to the 88.1" dst-port=123 in-interface-list=\
Local protocol=udp to-addresses=192.168.88.1 to-ports=123
/ip firewall raw
add action=drop chain=prerouting comment="DDoS - Drop blacklist IP" \
in-interface-list=Internet src-address-list=ddos-blacklist
add action=accept chain=prerouting comment="ALLOW - Resolved SIP provider" \
in-interface-list=Internet protocol=udp src-address-list=SIP
add action=drop chain=prerouting comment="DROP - Not allow SIP" dst-port=\
5060,5061 in-interface-list=Internet protocol=udp
add action=drop chain=prerouting dst-port=5060,5061 in-interface-list=\
Internet protocol=tcp
add action=drop chain=prerouting comment="Drop Address from Trap" \
src-address-list=TrapAddress
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
/lcd interface pages
set 0 interfaces=LAN-wifi24ghz
/ppp secret
add name=user1 password=******** profile=L2TP_Profiles service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=Local
/tool mac-server mac-winbox
set allowed-interface-list=Local
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

если на клиентской машине поставить галку " использовать шлюз удаленной сети" то тоже все начинает работать..
но как то не хочется использовать этот самый шлюз
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Ахахахахах, эта галка по умолчанию установлена, так что правильно — "если её снять, то перестаёт работать". Тогда вам надо либо каждый раз при подключении прописывать на клиенте ручками маршрут к 192.168.88.0/24, либо выбрать более лучшие подсети: viewtopic.php?t=2639
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Chupaka писал(а): 20 апр 2020, 09:45 Ахахахахах, эта галка по умолчанию установлена, так что правильно — "если её снять, то перестаёт работать". Тогда вам надо либо каждый раз при подключении прописывать на клиенте ручками маршрут к 192.168.88.0/24, либо выбрать более лучшие подсети: viewtopic.php?t=2639
Спасибо большое!
С этим понятно - буду разбираться

Скажите пожалуйста , стоит ли в текущий конфиг( то есть есть ли смысл, иначе это бессмысленное потребление ресурсов процессора ) добавлять правила по защите от скана портов и ставить трапы на самые " популярные" порты такие как 5060,5061,4569,3389,8291,22,23,389,445,53
ниже сами правила

/ip firewall address-list
add comment="Trap for TCP traffic" list=TrapAddress
add address=192.168.88.0/24 comment="White list Trap for TCP traffic" \
list=NotTrapsIP
/ip firewall filter

add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=1w7s chain=input comment="Trap for port scanning" \
in-interface-list=Internet protocol=tcp psd=10,10s,3,1 src-address-list=\
!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for TCP traffic" \
connection-nat-state=!dstnat dst-port=\
5060,5061,4569,3389,8291,22,23,389,445,53 in-interface-list=Internet \
protocol=tcp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for UDP traffic" \
connection-nat-state=!dstnat dst-port=5060,4569,389,53,161 \
in-interface-list=Internet protocol=udp src-address-list=!NotTrapsIP

/ip firewall raw
add action=drop chain=prerouting comment="Drop Address from Trap" \
src-address-list=TrapAddress
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Я предпочитаю дропать всё из Internet, чтобы не заморачиваться какими-то детальными правилами :)
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Chupaka писал(а): 20 апр 2020, 17:33 Я предпочитаю дропать всё из Internet, чтобы не заморачиваться какими-то детальными правилами :)
В таком разе доступ по белому списку, если порт проброшен , а если не проброшен, то впн?))
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Да, именно так :)
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

В общем на компе пользователя через командную строку прописал маршрут вида

route -p add <NET> mask <MASK> <GATEWAY> metric 100 if <IF_ID>

как пример:
route -p add 192.168.88.0 mask 255.255.255.0 10.255.255.1 metric 100 if 21

где 192.168.88.0 - удалённая подсеть
10.255.255.1 - Local Address указанный в l2tp профиле
21 - ID интерфейса VPN ( cmd-route print)

все заработало.( впн юзер увидел локалку за микротиком)
Но я так понимаю это костыль и таки смотреть нужно в сторону классовых подсетей, чтоб не писать маршруты вручную?

PS
У меня вопрос..
сеть расположения машины с которой подключается впн пользователь 192.168.55.0/24
сеть за микротиком 192.168.88.0/24
После установки впн подключения , со стороны сети 192.168.55.0/24 машины за микротиком 192.168.88.0/24 видно прекрасно, но вот обратно - нет, tracert показывает, что трафик не идет в тунель

тоже нужно маршрут прописывать?
А скажем, если есть задача , чтоб заставить впн пользователей видеть друг друга , тут как быть , каждому компу показывать , куда ему идти вручную?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Вы так и не написали, из какой подсети пользователь получает IP в VPN. Или тут уже вопрос про Site-to-Site VPN? Тогда - да, маршруты надо прописывать с обеих сторон.
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Если я правильно понял вопрос, то пользователь получает адрес из пула
/ip pool
add name=VPN_Users ranges=10.255.255.0/24

сеть за микротиком 192.168.88.0/24

сеть из которой подключается пользователь 192.168.55.0/24
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

halfsky писал(а): 19 апр 2020, 12:04 Что то не получается у меня ...
вот , на всякий случай мой конфиг, посмотрите , может быть упускаю что то очевидное )


RouterOS 6.46.5

/interface bridge
add arp=proxy-arp fast-forward=no igmp-snooping=yes mtu=1500 name=LAN-Bridge \
protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=LAN1-Ethernet
set [ find default-name=ether3 ] name=LAN2-Ethernet
set [ find default-name=ether4 ] name=LAN3-Ethernet
set [ find default-name=ether5 ] name=LAN4-Ethernet
set [ find default-name=ether6 ] name=LAN5-Ethernet
set [ find default-name=ether7 ] name=LAN6-Ethernet
set [ find default-name=ether8 ] name=LAN7-Ethernet
set [ find default-name=ether9 ] name=LAN8-Ethernet
set [ find default-name=ether10 ] name=LAN9-Ethernet
set [ find default-name=ether1 ] mac-address=14:DD:A9:F2:E5:A4 name=WAN
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
antenna-gain=0 band=2ghz-onlyn channel-width=20/40mhz-XX country=russia \
disabled=no disconnect-timeout=15s distance=indoors frequency=auto \
hw-protection-mode=rts-cts hw-retries=10 mode=ap-bridge name=\
LAN-wifi24ghz on-fail-retry-time=1s radio-name=POINT24_1 ssid=point2 \
wireless-protocol=802.11 wmm-support=enabled
/interface wireless nstreme
set LAN-wifi24ghz enable-polling=no
/interface list
add name=Internet
add name=Local
add name=VPN
add name=VPN_L2TP_Users
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik \
wpa-pre-shared-key=******** wpa2-pre-shared-key=*******
/ip pool
add name=dhcp ranges=192.168.88.5-192.168.88.255
add comment="\"Real_DefConf\"" name=VPN_Users ranges=10.255.255.0/24
/ip dhcp-server
add add-arp=yes address-pool=dhcp bootp-lease-time=lease-time bootp-support=\
dynamic disabled=no interface=LAN-Bridge lease-time=12h name=DHCP-Server
/ppp profile
set *0 interface-list=VPN
add address-list=VPN_L2TP_Users change-tcp-mss=yes interface-list=\
VPN_L2TP_Users local-address=10.255.255.1 name=L2TP_Profiles only-one=yes \
remote-address=VPN_Users use-compression=no use-encryption=no
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=LAN-Bridge interface=LAN1-Ethernet
add bridge=LAN-Bridge interface=LAN2-Ethernet
add bridge=LAN-Bridge interface=LAN3-Ethernet
add bridge=LAN-Bridge interface=LAN4-Ethernet
add bridge=LAN-Bridge interface=LAN5-Ethernet
add bridge=LAN-Bridge interface=LAN6-Ethernet
add bridge=LAN-Bridge interface=LAN7-Ethernet
add bridge=LAN-Bridge interface=LAN8-Ethernet
add bridge=LAN-Bridge interface=LAN9-Ethernet
add bridge=LAN-Bridge interface=LAN-wifi24ghz
/ip neighbor discovery-settings
set discover-interface-list=Local
/interface l2tp-server server
set authentication=mschap2 caller-id-type=number default-profile=\
L2TP_Profiles enabled=yes ipsec-secret=******** use-ipsec=required
/interface list member
add interface=WAN list=Internet
add interface=LAN-Bridge list=Local
add disabled=yes interface=LAN-Bridge list=VPN
add interface=LAN-Bridge list=VPN_L2TP_Users
/ip address
add address=192.168.88.1/24 interface=LAN1-Ethernet network=192.168.88.0
/ip dhcp-client
add disabled=no interface=WAN
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 \
netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add list="Access IP"
add list="Access IP Gate 1"
add list=ddos-blacklist
add list=SIP
add list="Access IP Gate 2"
add address=192.168.88.0/24 comment="White list for Trap for TCP traffic" \
list=NotTrapsIP
add comment="Trap for TCP traffic" list=TrapAddress
add list=VPN_L2TP_Users
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=udp
add action=accept chain=forward comment=\
"ALLOW - Established, Related and Untracked connections" \
connection-state=established,related
add action=accept chain=input connection-state=established,related \
in-interface-list=Internet
add action=accept chain=input comment="ALLOW - All after ICMP knocking" \
in-interface-list=Internet src-address-list="Access IP"
add action=accept chain=forward in-interface-list=Internet src-address-list=\
"Access IP"
add action=accept chain=input comment="\"Allow port\r\
\nfor L2TP server\"" dst-port=1701,500,4500 protocol=udp
add action=accept chain=input comment=\
"\"Allow esp protocol for\r\
\nL2TP/Ipsec server\"" protocol=ipsec-esp
add action=drop chain=forward comment="DROP - Invalid connections" \
connection-state=invalid
add action=jump chain=forward comment="DDoS - SYN flood protection" \
connection-state=new in-interface-list=Internet jump-target=SYN-Protect \
protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=Internet \
jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect limit=200,5:packet tcp-flags=""
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=SYN-Protect log=yes log-prefix=\
"DDoS: SYN-Protect" tcp-flags=""
add action=jump chain=forward comment="DDoS - Main protection" \
connection-state=new in-interface-list=Internet jump-target=DDoS-Protect
add action=jump chain=input connection-state=new in-interface-list=Internet \
jump-target=DDoS-Protect
add action=return chain=DDoS-Protect dst-limit=15,15,src-address/10s
add action=add-src-to-address-list address-list=ddos-blacklist \
address-list-timeout=1d chain=DDoS-Protect log=yes log-prefix=\
"DDoS: MAIN-Protect"
add action=jump chain=input comment=\
"Port Knocking - Permission to access the router" in-interface-list=\
Internet jump-target=port-knocking log-prefix=PING protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 1" \
address-list-timeout=30s chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP Gate 1" packet-size=342 protocol=icmp
add action=add-src-to-address-list address-list="Access IP Gate 2" \
address-list-timeout=30s chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP Gate 2" packet-size=372 protocol=icmp \
src-address-list="Access IP Gate 1"
add action=add-src-to-address-list address-list="Access IP" \
address-list-timeout=12h chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP" packet-size=571 protocol=icmp src-address-list=\
"Access IP Gate 2"
add action=add-src-to-address-list address-list="Access IP" \
address-list-timeout=12h chain=port-knocking in-interface-list=Internet \
log-prefix="Access IP" packet-size=530 protocol=icmp src-address-list=\
"Access IP Gate 2"
add action=return chain=port-knocking
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for TCP traffic" \
connection-nat-state=!dstnat dst-port=\
5060,5061,4569,3389,8291,22,23,389,445,53 in-interface-list=Internet \
protocol=tcp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=3d3s chain=input comment="Trap for UDP traffic" \
connection-nat-state=!dstnat dst-port=5060,4569,389,53,161 \
in-interface-list=Internet protocol=udp src-address-list=!NotTrapsIP
add action=add-src-to-address-list address-list=TrapAddress \
address-list-timeout=1w7s chain=input comment="Trap for port scanning" \
in-interface-list=Internet protocol=tcp psd=10,10s,3,1 src-address-list=\
!NotTrapsIP
add action=drop chain=input comment=\
"DROP - Block all other input/forward connections on the WAN" \
in-interface-list=Internet
add action=drop chain=forward in-interface-list=Internet
/ip firewall nat
add action=masquerade chain=srcnat comment="MASQ - Internet out masquerade" \
out-interface-list=Internet src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment=\
"NTP - Sending all requests to the 88.1" dst-port=123 in-interface-list=\
Local protocol=udp to-addresses=192.168.88.1 to-ports=123
/ip firewall raw
add action=drop chain=prerouting comment="DDoS - Drop blacklist IP" \
in-interface-list=Internet src-address-list=ddos-blacklist
add action=accept chain=prerouting comment="ALLOW - Resolved SIP provider" \
in-interface-list=Internet protocol=udp src-address-list=SIP
add action=drop chain=prerouting comment="DROP - Not allow SIP" dst-port=\
5060,5061 in-interface-list=Internet protocol=udp
add action=drop chain=prerouting dst-port=5060,5061 in-interface-list=\
Internet protocol=tcp
add action=drop chain=prerouting comment="Drop Address from Trap" \
src-address-list=TrapAddress
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
/lcd interface pages
set 0 interfaces=LAN-wifi24ghz
/ppp secret
add name=user1 password=******** profile=L2TP_Profiles service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=Local
/tool mac-server mac-winbox
set allowed-interface-list=Local
вот мой конфиг целиком, если есть косяки поправьте пожалуйста
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Так сеть, из которой подключается пользователь, ни на что не влияет. Куда вы делаете трассировку, которая не уходит в тоннель?
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Chupaka писал(а): 23 апр 2020, 23:18 Так сеть, из которой подключается пользователь, ни на что не влияет. Куда вы делаете трассировку, которая не уходит в тоннель?
при подключенном тоннеле, если попробовать сделать трассировку с машины впн юзера ( 192.168.55.0/24 ) в сеть за микротиком ( 192.168.88.0/24) ( это уже после того как я прописал маршрут
route -p add 192.168.88.0 mask 255.255.255.0 10.255.255.1 metric 100 if 21)
результат такой
tracert_ok.jpg
tracert_ok.jpg (32.62 КБ) 2858 просмотров
если попробовать сделать трассировку обратно ( с машины за микротиком до машины впн юзера)
результат такой
tracert.jpg
tracert.jpg (36.96 КБ) 2858 просмотров
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Вы запутались. VPN поднимает компьютер пользователя, впн-сервер ему выдаёт адрес 10.255.255.x, после этого сервер знает, за каким тоннелем находится это 10.255.255.х. Никакие 192.168.55.y серверу не известны, нет смысла их пинговать. Вы, конечно, можете и на стороне сервера прописать маршрут к 192.168.55.167 через свежеподключенный интерфейс клиента, но это даже костыль ради костыля, а не чтобы решить какую-то задачу :)
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

Chupaka писал(а): 24 апр 2020, 13:43 Вы запутались. VPN поднимает компьютер пользователя, впн-сервер ему выдаёт адрес 10.255.255.x, после этого сервер знает, за каким тоннелем находится это 10.255.255.х. Никакие 192.168.55.y серверу не известны, нет смысла их пинговать. Вы, конечно, можете и на стороне сервера прописать маршрут к 192.168.55.167 через свежеподключенный интерфейс клиента, но это даже костыль ради костыля, а не чтобы решить какую-то задачу :)
спасибо за пояснения))
пойду читать матбазу, не знаю основ)
halfsky
Сообщения: 16
Зарегистрирован: 27 мар 2020, 16:06

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение halfsky »

а можно как то сделать, чтоб все впн клиенты видели друг друга, как, если бы они находились в одной сети?
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: проблема с настройкой VPN IPSec/L2TP

Сообщение Chupaka »

Ну, строго говоря, надо приложить определённые усилия для того, чтобы запретить им это. Хотя тут ещё неопределённость термина "видели". Например, сетевое окружение Windows работает на широковещательных пакетах - они через VPN-роутер не будут проходить между клиентами. Но обычное юникастовое взаимодействие по умолчанию возможно.
Ответить