+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Помогите с клиентом L2TP и маршрутизацией.

Помогите с клиентом L2TP и маршрутизацией., RouterOS

David1234

Guest

10.01.2016 15:25:00

Здравствуйте! У меня есть L2TP-сервер и один L2TP-клиент. Ethernet сервера — 10.0.0.254/24, а L2TP — 192.168.1.254/24. Когда клиент подключается, он получает адрес 192.168.1.5. При пинге с моего компьютера 10.0.0.5/24 на 192.168.1.5 я получаю ответ.

Теперь я хочу подключить на стороне клиента компьютер с адресом 10.0.0.6 и иметь возможность подключаться к нему только по порту удалённого рабочего стола. Для этого на клиентской стороне я настроил NAT: 192.168.1.5:3389 → 10.0.0.6:3389. Трафик вижу, но подключиться не могу. Что я упускаю?

l2tp.png

Спасибо!

David1234

Guest

24.02.2016 13:29:00

Извиняюсь за задержку… оба L2TP — это RB411 (сервер и клиент). Я пытаюсь подключиться к компьютеру 10.0.0.6 через NAT и RDP. У меня есть такое правило, если на фаерволе клиента добавить:

action=add-src-to-address-list address-list=SRC chain=dstnat dst-address=192.168.1.5 dst-port=3389 in-interface=all-ppp protocol=tcp to-addresses=10.0.0.119 to-ports=3389

add action=dst-nat chain=dstnat dst-address=192.168.1.5 dst-port=3389 in-interface=all-ppp protocol=tcp to-addresses=10.0.0.6 to-ports=3389

Когда я запускаю RDP на 192.168.1.5 с моего компьютера (10.0.0.5), я вижу трафик в фаерволе, но не получаю никакого ответа, как будто не хватает какого-то маршрута или ещё чего-то. Есть идеи? Спасибо!

Revelation

Guest

24.02.2016 13:43:00

Дэвид, у тебя есть доступ к управлению обеими сетями? Если да, то я бы рекомендовал изменить одну из сетей на 10.0.1.0/24. Сейчас обе LAN используют одинаковую схему IP-адресов, и это усложняет настройку. Если изменить одну из них, будет гораздо проще настраивать и использовать сеть. Всё, что тебе понадобится — настроить маршруты через VPN к другой LAN, и тогда ты сможешь подключаться напрямую без использования NAT. Если изменить IP нельзя… нужно сделать так, чтобы твой IP в LAN A (слева на схеме) маскировался под WAN-адрес 192.168.1.254 при доступе к 192.168.1.5. Затем нужно убедиться, что есть правило dst-nat, которое перенаправляет трафик на порт 3389 с 192.168.1.5 на 10.0.0.6. По тому, что ты писал ранее, у меня нет понятия, где это настроено.

David1234

Guest

24.02.2016 13:55:00

У меня есть управление для обоих устройств, так что ты предлагаешь сделать вот что: я не трогаю свою сторону (10.0.0.5, 192.168.1.254), а на другой стороне даю Ethernet с адресом 10.0.1.1 и компьютеру 10.0.1.6. Тогда я смогу напрямую подключиться по RDP к 10.0.1.6? Я правильно понимаю? Спасибо!

ZeroByte Guest	#5 0 24.02.2016 14:35:00 Да, всё именно так — и NAT не нужен. Просто убедитесь, что на роутере 1 (слева на схеме) есть маршрут 10.0.1.0/24 с шлюзом 192.168.1.5, а на роутере 2 — маршрут 10.0.0.0/24 с шлюзом 192.168.1.254.

Revelation

Guest

24.02.2016 14:49:00

Как уже сказал ZeroByte. Также обязательно обнови все DHCP-сети, связанные с сетью 10.0.1.0/24. Если у тебя настроены DHCP-резервации, просто поменяй третий октет на «1», чтобы всё осталось «по-прежнему». Как только маршруты будут добавлены с обеих сторон, попробуй пропинговать с 10.0.0.5 на 10.0.1.6, чтобы убедиться, что соединение есть. После этого можно просто подключаться по RDP к этому устройству, а также к любому другому IP/устройству с поддержкой RDP. Если потом добавишь какую-то другую функцию или устройство для удалённого доступа, менять что-то в маршрутизаторах или VPN не потребуется — разве что если добавишь новые сетевые диапазоны с любой из сторон.

David1234 Guest	#7 0 24.02.2016 14:57:00 Я сделал это — не работает. Может, ты имел в виду, что у router2 есть маршрут 10.0.0.0/24 с шлюзом 192.168.1.254?

Revelation Guest	#8 0 24.02.2016 15:08:00 Да, наверное, это была опечатка.

David1234 Guest	#9 0 24.02.2016 15:15:00 Окей, но всё равно не работает. С сети 10.0.0.0/24 я могу достучаться до 10.0.1.1 (роутер клиента), а до 10.0.1.6 — нет. Почему? Шлюз у 10.0.1.6 — 10.0.1.1.

Revelation Guest	#10 0 24.02.2016 15:22:00 Хорошо, ты можешь пропинговать другой шлюз 10.0.1.1 с Mikrotik (#1)? Может ли твой Mikrotik (#2) пропинговать 10.0.1.6? А устройство 10.0.1.6 может пропинговать 10.0.1.1?

David1234

Guest

#11

24.02.2016 15:44:00

Вот что могу сделать: с 10.0.0.5 могу пинговать 10.0.1.1 (микротик роутер#2), но не 10.0.1.6 (компьютер в сети, открыт для пинга). С 10.0.1.6 не могу пинговать 10.0.0.254 (микротик роутер#1) или 10.0.0.5.

Теперь изнутри роутеров:
Router#1 (10.0.0.254) – в терминале могу пинговать 10.0.1.1, но не 10.0.1.6.
Router#2 (10.0.1.1) – в терминале могу пинговать 10.0.0.254 и 10.0.0.5.

Странно, да?

Revelation

Guest

#12

24.02.2016 15:48:00

Может ли Router#2 пропинговать 10.0.1.6? Может ли 10.0.1.6 пропинговать 10.0.1.1? Также попробуйте временно отключить любой файервол на 10.0.1.6 — Windows или другой. На 10.0.1.6 введите «tracert 10.0.0.5» и скопируйте результат из окна. На 10.0.1.6 введите «ipconfig /all» и тоже вставьте сюда — если, конечно, там Windows.

David1234 Guest	#13 0 24.02.2016 15:51:00 Да, он может, и чтобы убедиться, что ничего не мешает и нет проблем с окнами, я установил IP-камеру с адресом 10.0.1.100. Я могу пингануть этот адрес с роутера №2 внутри сети.

Revelation Guest	#14 0 24.02.2016 15:53:00 Может ли Router#1 пропинговать 10.0.1.100? На 10.0.1.6 введите команду «tracert 10.0.0.5» и скопируйте то, что появится в окне. На 10.0.1.6 введите «ipconfig /all» и тоже вставьте результат — предполагается, что система на базе Windows.

David1234

Guest

#15

24.02.2016 16:26:00

Извините, но, похоже, у меня был плохой кабель. Я видел подключение (светодиод мигал), но не было передачи данных. Я поменял кабель и сбросил систему, и теперь всё работает. Один на миллион... ПРОСТИТЕ! Спасибо.

Revelation Guest	#16 0 24.02.2016 16:48:00 Не о чем извиняться; это случается даже с лучшими из нас. Рад, что ты разобрался.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры