+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

L2TP IPSEC "сайт к сайту" за NAT

L2TP IPSEC "сайт к сайту" за NAT, RouterOS

unam83

Guest

25.04.2021 04:58:00

Всем привет! Не знаю, не повторяется ли этот пост, если да — прошу прощения. Я настроил L2TP/IPSEC VPN site-to-site, но столкнулся с проблемой. Прикрепил топологию. Оба роутера Mikrotik находятся за NAT (модемом провайдера). Оба ISP-модема нельзя перевести в режим моста. VPN подключение активно и стабильно. Я создал маршрут, указывающий на L2TP-шлюз, настроил mangle на стороне L2TP клиента для маркировки трафика и маршрутизации на правильный шлюз. С обоих ПК могу пинговать LAN-шлюз, но не могу пинговать друг друга. С клиентской стороны я трассировал запросы к Google и вижу, что трафик корректно идет через туннель, но при попытке открыть веб-страницу навигация не работает. Ниже конфигурация (export) с обоих устройств:

Client
[admin@client] > export hide-sensitive terse
# apr/25/2021 06:22:54 by RouterOS 6.48.2
# software id = ZEM8-8FIV
#
# model = 951G-2HnD
/interface bridge add name=local
/interface ethernet set [ find default-name=ether1 ] name=LAN_eth1
/interface ethernet set [ find default-name=ether2 ] disabled=yes
/interface ethernet set [ find default-name=ether4 ] disabled=yes
/interface ethernet set [ find default-name=ether5 ] name=toNetGear5
/interface l2tp-client add allow=pap,chap connect-to=1.1.1.1 disabled=no keepalive-timeout=disabled name=toServer use-ipsec=yes use-peer-dns=yes user=username
/ip ipsec profile set [ find default=yes ] enc-algorithm=aes-128
/ip pool add name=dhcp_pool0 ranges=192.168.99.2-192.168.99.254
/ip dhcp-server add address-pool=dhcp_pool0 disabled=no interface=local name=dhcp1
/interface bridge port add bridge=local interface=LAN_eth1
/interface bridge port add bridge=local interface=ether3
/ip address add address=192.168.0.2/24 interface=toNetGear5 network=192.168.0.0
/ip address add address=192.168.99.1/24 interface=local network=192.168.99.0
/ip dhcp-server network add address=192.168.99.0/24 dns-server=8.8.8.8 gateway=192.168.99.1
/ip dns set servers=8.8.8.8
/ip firewall mangle add action=mark-routing chain=prerouting dst-address=0.0.0.0/0 new-routing-mark=toVPN passthrough=no src-address=192.168.99.2-192.168.99.254
/ip firewall nat add action=masquerade chain=srcnat out-interface=toServer
/ip firewall nat add action=masquerade chain=srcnat out-interface=toNetGear5
/ip route add check-gateway=ping distance=1 gateway=172.16.200.1 routing-mark=toVPN
/ip route add check-gateway=ping distance=1 gateway=192.168.0.1
/ip route add distance=1 dst-address=192.168.1.0/28 gateway=172.16.200.1
/ip route add distance=1 dst-address=192.168.88.0/24 gateway=172.16.200.1 scope=10

Server
[admin@server] > export hide-sensitive terse
# apr/25/2021 06:27:38 by RouterOS 6.48.2
# software id = C6WF-88AR
#
# model = RB750Gr3

/interface bridge add name=local
/interface ethernet set [ find default-name=ether3 ] disabled=yes
/interface ethernet set [ find default-name=ether4 ] disabled=yes
/interface ethernet set [ find default-name=ether5 ] disabled=yes
/ip ipsec profile set [ find default=yes ] enc-algorithm=aes-128
/ip pool add name=dhcp_pool0 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server add address-pool=dhcp_pool0 disabled=no interface=local name=dhcp1
/interface bridge port add bridge=local interface=ether2
/interface l2tp-server server set authentication=pap,chap enabled=yes keepalive-timeout=disabled use-ipsec=yes
/ip address add address=192.168.88.1/24 interface=local network=192.168.88.0
/ip address add address=192.168.1.8/28 interface=ether1 network=192.168.1.0
/ip dhcp-server network add address=192.168.88.0/24 dns-server=8.8.8.8 gateway=192.168.88.1
/ip dns set servers=8.8.8.8
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1
/ip route add distance=1 gateway=192.168.1.1
/ip route add distance=1 dst-address=192.168.0.0/24 gateway=172.16.200.2
/ip route add distance=1 dst-address=192.168.99.0/24 gateway=172.16.200.2
/ppp secret add local-address=172.16.200.1 name=username remote-address=172.16.200.2 service=l2tp

Спасибо за помощь!

unam83

Guest

10.05.2021 21:03:00

Итак, ребята, после нескольких дней и попыток я наконец-то нашёл проблему. С конфигурацией обоих Mikrotik всё в порядке. Проблема у провайдера клиента Mikrotik. Провайдер использует технологию WiMAX. Модем провайдера на фото с IP 192.168.0.1 подключён к антенне провайдера… то есть, по сути, Mikrotik находится за двойным NAT (модем провайдера и антенна провайдера).

Что я сделал, чтобы выяснить, что проблема у провайдера? Включил точку доступа WiFi на телефоне и подключился к Mikrotik клиента, то есть использовал телефон как шлюз. L2TP IPsec успешно установился, я смог пользоваться интернетом, и трафик шёл через туннель, как задумано.

Так что подозреваю, что проблемы с обратным трафиком или асимметричным трафиком. Всем спасибо!

pe1chl

Guest

10.05.2021 21:37:00

Из моего опыта, чтобы заставить работать двойной NAT (и другие загадочные ситуации с NAT), нужно смягчить проверку номеров портов в IPsec. Предположим, что вы настроили L2TP-сервер с настройками IPsec по умолчанию, запомните, какие записи он создал в IP->IPsec, затем удалите IPsec из L2TP-сервера и воссоздайте эти записи вручную. Но на вкладке Identities в этой записи выберите «port override» вместо «port strict», который стоит по умолчанию при автоматическом создании записи. Обычно это помогает. Убедитесь, что ваш файрвол пропускает входящий UDP-трафик на порт 1701 (на MikroTik) только с IPsec-политикой в:ipsec (на вкладке Advanced).

unam83

Guest

11.05.2021 15:14:00

Ну, pe1chl, IPsec установился, и UDP-порты были открыты. Проблем с сервером не было, только на стороне клиента. Трафик проходил через туннель, и я мог пинговать и трассировать Google с хостов за клиентом L2TP, но с браузерами вообще не мог выходить в интернет. Так что с портами точно никаких проблем.

DeJoe

Guest

14.05.2021 14:42:00

Ну что, pe1chl, IPsec установился, и UDP порты открыты. Проблем с сервером нет, только на стороне клиента. Трафик проходил через туннель, я мог пинговать и трассировать Google с хостов за L2TP клиентом, но в браузерах нормально зайти не получалось. Значит, точно никаких проблем с портами нет. Если туннель поднят и работает, порты в порядке, а двойной NAT тут ни при чём. Если пинг до роутера проходит, но клиенты из разных сетей не достигают друг друга — скорее всего, проблема в маршрутизации или файрволе. Если хочешь, можешь выложить полную конфигурацию, только значения с секретами спрячь, пожалуйста. Может, вместе найдем, в чем дело. Приветствую!

unam83

Guest

17.05.2021 16:40:00

Привет, DeJoe, спасибо за ответ. Конфигурация уже есть в посте выше. Когда я говорю о NAT, я имею в виду не только порты, но и возможность переводить приватный IP-адрес в публичный... поэтому думаю, что проблема может быть в сети провайдера. Когда я запускаю обычный traceroute на Google, вижу, что первый хоп — это мой шлюз 192.168.0.1, второй — приватный IP моей антенны ISP, а третий — IP моего публичного адреса.

Jotne Guest	#7 0 17.05.2021 16:46:00 Если в трассировке видно два приватных IP-адреса, значит, скорее всего, у вас два NAT.

unam83 Guest	#8 0 17.05.2021 19:30:00 Правильно… именно это я и сказал.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры