В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MikrotikClub

2620 membersпожаловаться на группу
2020 June 07

C

Cumberbatch in MikrotikClub
Maksim Pasukhov
Доброго времени суток. Настраиваю подключение для сотрудника по VPN (L2TP+IPSec) c Windows в локальную сеть предприятия. Делаю по устаревшей статье (mikrotik.vetriks.ru). Если в профиле пользователя указать local/remote адреса из сети предприятия, то все работает. Но я хочу не задавать каждый раз адреса подключения, а использовать пул из другой подсети. Создал правило, разрешающее forward между сетью vpn и локальной предприятия, но все равно с клиента ресурсы сети не вижу.
/ip firewall filter
add chain=forward action=accept src-address=172.16.30.0/24 in-interface=!ether1 out-interface=bridge comment="allow vpn to lan" log=no log-prefix=""
Правило поднял в фильтре до тех, которые дропают инвалидные форварды

П.С.
А в обратную сторону?
источник
09:23пожаловаться#1

MP

Maksim Pasukhov in MikrotikClub
Может в роуты нужна статическая запись о нахождении подсети Vpn для запросов из локальной? (Хотя мне кажется, что если сети существуют на одном микротике и нет запрещающих правил, они должны знать друг друга)
источник
09:23пожаловаться#2

MP

Maksim Pasukhov in MikrotikClub
Roman Polukhin
И пинга между L2TP клиентом и устройствами за микротиком нет?

Что у вас в forward за правила?
Минуту.
источник
09:24пожаловаться#3

MP

Maksim Pasukhov in MikrotikClub
Roman Polukhin
И пинга между L2TP клиентом и устройствами за микротиком нет?

Что у вас в forward за правила?
Скрин или распечатку?
источник
09:24пожаловаться#4

RP

Roman Polukhin in MikrotikClub
С маршрутизацией всё нормально у вас, на текущем этапе.
источник
09:24пожаловаться#5

RP

Roman Polukhin in MikrotikClub
Maksim Pasukhov
Скрин или распечатку?
Достаточно сказать есть или нет, пока.

То, что bridge отвечает мы уже выяснили.
источник
09:25пожаловаться#6

MP

Maksim Pasukhov in MikrotikClub
Все правила для цепочки forward
источник
09:25пожаловаться#7

RP

Roman Polukhin in MikrotikClub
Разрешающие правило для VPN не нужно создавать, политика по умолчанию в MT accept
источник
09:27пожаловаться#8

MP

Maksim Pasukhov in MikrotikClub
9    ;;; defconf: accept in ipsec policy
     chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec

10    ;;; defconf: accept out ipsec policy
     chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec

11    ;;; defconf: fasttrack
     chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

12    ;;; defconf: accept established,related, untracked
     chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""

13    ;;; allow vpn to lan
     chain=forward action=accept src-address=172.16.30.0/24 in-interface=!ether1 out-interface=bridge log=no log-prefix=""

14    ;;; defconf: drop invalid
     chain=forward action=drop connection-state=invalid log=no log-prefix=""

15    ;;; defconf: drop all from WAN not DSTNATed
     chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix=""
источник
09:27пожаловаться#9

MP

Maksim Pasukhov in MikrotikClub
Вот!
источник
09:27пожаловаться#10

MP

Maksim Pasukhov in MikrotikClub
Все правила стандартные от последней прошивки.
источник
09:29пожаловаться#11

MP

Maksim Pasukhov in MikrotikClub
Cumberbatch
А в обратную сторону?
Извините, но нет возможности пока что проверить.
источник
09:30пожаловаться#12

RP

Roman Polukhin in MikrotikClub
Maksim Pasukhov
Все правила стандартные от последней прошивки.
Правило для VPN вам не нужно в forward, только в input для IPSec/L2TP
источник
09:30пожаловаться#13

C

Cumberbatch in MikrotikClub
Maksim Pasukhov
Извините, но нет возможности пока что проверить.
В вашем случае не нужно
источник
09:31пожаловаться#14

MP

Maksim Pasukhov in MikrotikClub
Roman Polukhin
Правило для VPN вам не нужно в forward, только в input для IPSec/L2TP
Убрал. Его взял с сайта, когда искал решение.
источник
09:32пожаловаться#15

MP

Maksim Pasukhov in MikrotikClub
Roman Polukhin
Правило для VPN вам не нужно в forward, только в input для IPSec/L2TP
В input имеется:
chain=input action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix=""
chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
источник
09:33пожаловаться#16

RP

Roman Polukhin in MikrotikClub
Maksim Pasukhov
В input имеется:
chain=input action=accept protocol=udp dst-port=1701,500,4500 log=no log-prefix=""
chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
Правила у вас в порядке теперь.
источник
09:34пожаловаться#17

RP

Roman Polukhin in MikrotikClub
На ваших сервисах внутри локальной сети используется фаервол или антивирус с функцией фаервола?
источник
09:35пожаловаться#18

MP

Maksim Pasukhov in MikrotikClub
Стоковая прошивка по дефолту после перезагрузки. Только адрес подсети изменен на 192.168.1.0/24 и от провайдера получаю статические настройки для WAN
источник
09:36пожаловаться#19

MP

Maksim Pasukhov in MikrotikClub
Roman Polukhin
На ваших сервисах внутри локальной сети используется фаервол или антивирус с функцией фаервола?
Defender+Firewall (Win10) Все по умолчанию с последними обновлениями.
Но если сменить адреса для выдачи vpn-клиентам на диапазон из локальной сети, то связь имеется. Поэтому, думаю, что защита  тут роли не играет. Дело где-то в настройках МТ.
источник
09:38пожаловаться#20