Конечная точка L2TP внутри интрасети

Спасибо, idlemind, но это уже сделано, и они всё равно не видят 192.168.2.x. Конкретно: L2TP-соединение уже установлено и работает. Конечные точки на рисунке выше. Клиенты, подключённые к 192.168.4.x с основным шлюзом 192.168.4.1, нормально пингуют 192.168.2.x. Всё работает как и ожидалось. Клиенты, подключённые к 192.168.3.x с основным шлюзом 192.168.3.5, не могут пинговать 192.168.2.x! Почему? Это неожиданно, учитывая маршруты, которые я указал в своём исходном посте. Подозреваю, что в реализации L2TP-клиента в RouterOS есть что-то встроенное, что не позволяет получить доступ к другой стороне туннеля с конечной точки. Можно ли это обойти и разрешить клиентам, подключённым к 192.168.3.x с основным шлюзом 192.168.3.5, иметь доступ к 192.168.2.x через туннель? Про IPv6, кстати, не нужно — меня такой обход не интересует. К слову, я пробую это на RB433AH, RouterOS версии 6.38.5, версия прошивки 3.24, но, думаю, вопрос общий для всех RouterOS. Это очень важный вопрос, потому что без решения невозможно построить WiFi-точку доступа, которая была бы L2TP-клиентом и работала бы и с проводными, и с беспроводными клиентами. В моём маршруте “3 A S 192.168.2.0/24 my-l2tp-client-interface 1” нет ничего, что разрешало бы клиентам из 192.168.4.x и запрещало клиентам из 192.168.3.x доступ к 192.168.2.0. Он должен разрешать всем доступ к 192.168.2.0! Мог бы кто-нибудь из MikroTik взглянуть на это? Это не ошибка в таблице маршрутизации. Я уверен, что это что-то специфичное с реализацией L2TP-клиента в RouterOS. Помогите, пожалуйста!

Спасибо за идею, idlemind, но: сервер L2TP — это динамически создаваемый интерфейс, удобная фишка RouterOS. Он выдаёт адреса из пула VPN каждому подключающемуся клиенту. У меня этот пул находится в той же сети класса C, что и LAN (со стороны сервера), и всё это работает через NAT. Это нормально для любого клиента, который подключается. При этом в настройках L2TP-сервера вообще нет упоминаний о 192.168.4.x или 192.168.3.x (и при этом он работает с 192.168.4.x, но не с 192.168.3.x). Ему всё равно, кто подключается — он просто маскирует входящее соединение и направляет обратно ответы. Поэтому я прихожу к выводу, что проблема не в маршрутах L2TP-сервера. Я даже сделал аналогичную настройку на Mac OS X, и всё работает как надо (заменил RB433AH/L2TP-клиент на Mac Pro с двумя Ethernet-портами, кстати, в Mac OS есть встроенный L2TP-клиент). Сеть клиента видна с обоих портов (с того, где L2TP-клиент, и с другого тоже). Это доказывает, что проблема специфична именно для RouterOS. Кто-нибудь из MikroTik может глянуть на это?

Вау, idlemind, ты действительно постарался помочь — спасибо. Вижу, у тебя всё работает, а у меня нет. Давай посмотрим на различия:  

L2TP сервер: у тебя есть маршруты обратно к L2TP клиенту, у меня то же самое с помощью маскарадинга (LAN и пул VPN в одном сегменте). Я не вижу ничего, что вправду меняет ситуацию.  

L2TP клиент: у тебя стоит «use-ipsec=no», а я использую IPSEC. Не мог бы ты включить IPSEC и попробовать снова? Почему? — я подозреваю, что в реализации L2TP клиента на RouterOS они блокируют незащищённый доступ к VPN-узлу, чтобы случайно не пустить незашифрованный туннель, который «сливает инфу» в интернет. Если можешь, включи IPSEC и проверь.  

Мы приближаемся к решению. Спасибо, J.

Окей, вот оно (я подредактировал реальные адреса на A.B.C.D, пароли и имена серверов):

Сервер L2TP (игнорируйте pppoe к 10.1.1.1 — так он получает интернет от провайдера). Обратите внимание, что ни “192.168.4”, ни “192.168.3” нигде не встречаются в конфигурации этого роутера, значит проблема не здесь:

[admin@rtr-a] > /ip route print
Флаги: X - отключено, A - активно, D - динамический,  
C - подключено, S - статический, r - rip, b - bgp, o - ospf, m - mme,  
B - blackhole, U - недоступно, P - запрещено  
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE  
0 ADS  0.0.0.0/0                          10.1.1.1                  0  
1 ADC  10.1.1.1/32        A.B.C.D         pppoe-out1                0  
2 ADC  192.168.2.0/24     192.168.2.1     ether1                    0  
3 ADC  192.168.2.253/32   192.168.2.1     <l2tp-me>                 0  

[admin@rtr-a] > /interface l2tp-server server print
           enabled: yes  
           max-mtu: 1460  
           max-mru: 1460  
              mrru: disabled  
    authentication: pap, chap, mschap1, mschap2  
 keepalive-timeout: 30  
      max-sessions: unlimited  
   default-profile: default-encryption  
         use-ipsec: yes  
      ipsec-secret: TheSecret  
   allow-fast-path: no  

[admin@rtr-a] > /ppp secret print detail
Флаги: X - отключено  
0   name="me" service=any caller-id="" password="ThePassword"  
    profile=default routes="" limit-bytes-in=0 limit-bytes-out=0  
    last-logged-out=апр/03/2017 10:29:46  

[admin@rtr-a] > /ip dhcp print detail
Флаги: X - отключено, I - недействительно  
0   name="dhcp1" interface=ether1 lease-time=10m address-pool=dhcp_pool1  
    bootp-support=static authoritative=after-2sec-delay lease-script=""  

[admin@rtr-a] > /ip pool print
# NAME                                         RANGES                        
0 dhcp_pool1                                   192.168.2.2-192.168.2.127  
1 vpn-pool                                     192.168.2.128-192.168.2.254  

[admin@rtr-a] /ip firewall> /ip firewall filter print
Флаги: X - отключено, I - недействительно, D - динамический  
0    chain=input action=accept protocol=udp port=1701,500,4500 log=no  
     log-prefix=""  

1    chain=input action=accept protocol=ipsec-esp log=no log-prefix=""  

[admin@rtr-a] /ip firewall> /ip firewall nat print
Флаги: X - отключено, I - недействительно, D - динамический  
0    chain=srcnat action=masquerade src-address=192.168.2.0/24 log=no  
     log-prefix=""  

Клиент L2TP (игнорируйте входящие правила GRE+IPSEC фаервола, потому что этот роутер — L2TP сервер, не связанный с этой проблемой):

[admin@rtr-c] > /ip route print
Флаги: X - отключено, A - активно, D - динамический,  
C - подключено, S - статический, r - rip, b - bgp, o - ospf, m - mme,  
B - blackhole, U - недоступно, P - запрещено  
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE  
0 ADS  0.0.0.0/0                          192.168.3.1               0  
1 ADC  192.168.3.0/24     192.168.3.5     ether1                    0  
2 ADC  192.168.4.0/24     192.168.4.1     LAN                       0  
3 A S  192.168.2.0/24                     l2tp-out-a                1  
4 ADC  192.168.2.1/32     192.168.2.253   l2tp-out-a                0  

[admin@rtr-c] > /interface l2tp-client print detail
Флаги: X - отключено, R - работает  
0  R name="l2tp-out-a" max-mtu=1460 max-mru=1460 mrru=disabled  
     connect-to=A.B.C.D user="me" password="ThePassword"  
     profile=default keepalive-timeout=disabled use-ipsec=yes  
     ipsec-secret="TheSecret" allow-fast-path=no  
     add-default-route=no dial-on-demand=yes allow=pap,chap,mschap1,mschap2  

[admin@rtr-c] > /ip firewall filter print
Флаги: X - отключено, I - недействительно, D - динамический  
0    chain=input protocol=udp port=1701,500,4500  

1    chain=input protocol=ipsec-esp  

[admin@rtr-c] > /ip firewall nat print
Флаги: X - отключено, I - недействительно, D - динамический  
0    chain=srcnat action=masquerade src-address=192.168.4.0/24 log=no

2 ADC  192.168.2.0/24     192.168.2.1     ether1                    0  
3 ADC  192.168.2.253/32   192.168.2.1     <l2tp-me>                 0

Кстати, эти два интерфейса нужно объединить в мост или включить proxy-arp. У тебя ведь два выхода в одну и ту же сеть. Удивительно, что RouterOS вообще позволяет так сделать. Во всяком случае, это полный бред. На самом деле, нужен ли доступ к сети 192.168.2.0/24 сразу из двух мест по требованиям приложения? Если да, попробуй что-то вроде EoIP с VRRP для этого сегмента.