Добрый день.
Микротик с ОС 6.40.4.
Настроен L2TP клиент с IPsec. Маршрут прописан и с микротика удаленная подсеть пингуется. Есть IP телефон, настроенный на подключение к удаленной сети. Хочу подключить его в отдельный порт микротика . На этом порту только трафик с VPN , если интерфейс включен. Остальные порты - мимо VPN. Как можно реализовать ?
L2TP клиент в отдельный порт
-
- Сообщения: 5
- Зарегистрирован: 18 июн 2018, 22:58
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2TP клиент в отдельный порт
Добрый.
Маршрут прописать в отдельной таблице маршрутизации ("routing-mark"), затем в IP Firewall Mangle Prerouting маркировать роутинг для пакетов с нужного порта - и ура, всё заработало как надо.
Маршрут прописать в отдельной таблице маршрутизации ("routing-mark"), затем в IP Firewall Mangle Prerouting маркировать роутинг для пакетов с нужного порта - и ура, всё заработало как надо.
-
- Сообщения: 5
- Зарегистрирован: 18 июн 2018, 22:58
Re: L2TP клиент в отдельный порт
Знания не столь глубоки. Можно попросить пример реализации?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2TP клиент в отдельный порт
Код: Выделить всё
/ip route add gateway=l2tp routing-mark=VPN
/ip firewall mangle add chain=prerouting in-interface=отдельный_порт_телефона action=mark-routing new-routing-mark=VPN
-
- Сообщения: 5
- Зарегистрирован: 18 июн 2018, 22:58
Re: L2TP клиент в отдельный порт
Спасибо. Я сделал вчера аналогично :
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=Office new-routing-mark=\office passthrough=no
/ip route add distance=3 dst-address=172.24.32.0/24 gateway="L2TP office" routing-mark=\office
не работает
Взял не боевой роутер. Обновил до последней версии ОС (6.42.4) , сбросил на заводские, исключил нужный порт из бриджа, настроил vpn, прописал правила. vpn поднялся, без маркирования пингуется нужный адрес с микротика. Прописал маркировку. В интерфейсах видно, что телефон шлет запросы в порт, на l2tp интерфейсе - тишина. Подключился к порту ноутом с сетевыми настройками удаленной сети , пинги не идут.
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=Office new-routing-mark=\office passthrough=no
/ip route add distance=3 dst-address=172.24.32.0/24 gateway="L2TP office" routing-mark=\office
не работает
Взял не боевой роутер. Обновил до последней версии ОС (6.42.4) , сбросил на заводские, исключил нужный порт из бриджа, настроил vpn, прописал правила. vpn поднялся, без маркирования пингуется нужный адрес с микротика. Прописал маркировку. В интерфейсах видно, что телефон шлет запросы в порт, на l2tp интерфейсе - тишина. Подключился к порту ноутом с сетевыми настройками удаленной сети , пинги не идут.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2TP клиент в отдельный порт
Поразительно детальное описание ситуации
Если порт в бридже - то in-interface=бридж, и дальше in-bridge-port=Office
Удалённая сеть знает о том, где находится адрес телефона, или надо добавить правило NAT Masquerade с out-interface=l2tp?
-
- Сообщения: 5
- Зарегистрирован: 18 июн 2018, 22:58
Re: L2TP клиент в отдельный порт
Да, детальное описание , сам так клиентам говорю ( в другой области), но расписал что и как на примере второго микротика,заодно исключил влияние остальных правил и версии ОС. Чистая железяка со всеми обновлениями.
Мне не критично нахождение порта в бридже, ОС его по умолчанию туда помещает. Если не влияет ни на что, пусть вне бриджа будет.
По удаленной сети.Не знаю что на той стороне. Есть следующие варинты подключения к ней: На компе поднимаю VPN с аналогичными настройками, запускаю аваевский софтверный телефон, прописываю адрес сервера - работаем.Сервер пингуется. Отключаю VPN, поднимаю на микротике без маркировки , маскарадинг прописан на l2tp интерфейс, с компа сервер пингуется , софтверный телефон ругается на трансляцию адресов и не работает, аппаратный , тоже аваевский, безрезультатно ищет сервер . Включаю маркировку .Подключаемся к нужному порту. С компа пингов нет, сервер не видим, аппаратный телефон ищет сервер.
Мне не критично нахождение порта в бридже, ОС его по умолчанию туда помещает. Если не влияет ни на что, пусть вне бриджа будет.
По удаленной сети.Не знаю что на той стороне. Есть следующие варинты подключения к ней: На компе поднимаю VPN с аналогичными настройками, запускаю аваевский софтверный телефон, прописываю адрес сервера - работаем.Сервер пингуется. Отключаю VPN, поднимаю на микротике без маркировки , маскарадинг прописан на l2tp интерфейс, с компа сервер пингуется , софтверный телефон ругается на трансляцию адресов и не работает, аппаратный , тоже аваевский, безрезультатно ищет сервер . Включаю маркировку .Подключаемся к нужному порту. С компа пингов нет, сервер не видим, аппаратный телефон ищет сервер.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: L2TP клиент в отдельный порт
Чтобы не всё подряд шло в впн, а только нужное - у l2tp-клиента надо снять галку Add Default Route.
Если порт достать из бриджа - ему нужны отдельные настройки (своя подсеть, DHCP-клиент по случаю, etc)
Если порт достать из бриджа - ему нужны отдельные настройки (своя подсеть, DHCP-клиент по случаю, etc)
-
- Сообщения: 5
- Зарегистрирован: 18 июн 2018, 22:58
Re: L2TP клиент в отдельный порт
Спасибо за помощь. Частично получилось. По порядку:
на входе обновленный до последней версии и сброшенный на заводские настройки микротик.
настроенный канал L2TP IPSEC. Соединение есть. Галка на дефолтный маршрут стоит ( пока не до изысков с портами). Маршрут прописался. Добавлен маршрут на сервер вызовов . Это другая подсеть. Из микротика все пингуется, на портах - нет. В нате включаю маскарадинг. Пингуется удаленная сеть c портов микротика. Телефон находит сервер, регистрируется, подтягивает контакты и функционирует нормально ( звенит на входящие, отображает звонящего или направление звонка, набирает исходящий и т.д.) за одним исключением: звука в трубке нет ни в одном направлении. Сервиспорт для h.323 включен. При выключении сервиспорта, телефон не коннектится к серверу.
на входе обновленный до последней версии и сброшенный на заводские настройки микротик.
настроенный канал L2TP IPSEC. Соединение есть. Галка на дефолтный маршрут стоит ( пока не до изысков с портами). Маршрут прописался. Добавлен маршрут на сервер вызовов . Это другая подсеть. Из микротика все пингуется, на портах - нет. В нате включаю маскарадинг. Пингуется удаленная сеть c портов микротика. Телефон находит сервер, регистрируется, подтягивает контакты и функционирует нормально ( звенит на входящие, отображает звонящего или направление звонка, набирает исходящий и т.д.) за одним исключением: звука в трубке нет ни в одном направлении. Сервиспорт для h.323 включен. При выключении сервиспорта, телефон не коннектится к серверу.