+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Нужна помощь с настройкой VPN на роутере MikroTik RB951Ui-2HnD (с поддержкой разделения туннеля).

Нужна помощь с настройкой VPN на роутере MikroTik RB951Ui-2HnD (с поддержкой разделения туннеля)., RouterOS

Parsanejad

Guest

29.04.2021 12:31:00

Привет! Надеюсь, это правильное место, чтобы задать вопрос. Я совсем не опытен в устройствах MikroTik (да и вообще в сетевых штуках). У меня есть роутер MikroTik RB951Ui-2HnD, который я сейчас использую как точку доступа к интернету. Также у меня есть аккаунт VPN от ExpressVPN, и я планирую настроить его прямо на роутере, чтобы любое устройство, подключённое к роутеру/точке доступа, могло использовать VPN без необходимости устанавливать мобильные приложения или настраивать клиентскую часть. Ещё хотел бы включить split-tunneling, чтобы некоторые сайты и приложения шли через VPN, а остальные — нет. Но, повторюсь, я полный новичок в этом деле. Даже тот, кто настраивал роутер как точку доступа, это не я. Поэтому очень надеюсь, что кто-нибудь подскажет, как это сделать, и буду очень признателен за помощь. Заранее спасибо! P.S. Я уже публиковал этот вопрос на Reddit, но так и не смог настроить. P.P.S. Также смотрел эти материалы, но решения там не нашёл: https://techshielder.com/how-to-set-up-and-use-expressvpn-on-mikrotik https://www.cactusvpn.com/tutorials/set-up-sstp-pptp-l2tp-vpn-mikrotik-routers/

Parsanejad

Guest

17.05.2021 15:43:00

Спасибо, что помогаете мне. Если OpenVPN самый медленный, я выберу либо L2TP, либо IKEv2, потому что, как вы и сказали, конфиденциальность для меня не так важна. Я пользуюсь VPN только чтобы получить доступ к контенту с геоограничениями, поэтому главная забота (помимо скорости) — это стабильность обхода цензуры. Я пробовал другие VPN-сервисы, например NordVPN и Surfshark, но, к сожалению, они у меня не работали (скорость была плохая или вообще не подключались). По совместимости ExpressVPN с MikroTik я общался с их поддержкой, но мне сказали, что MikroTik не входит в число поддерживаемых роутеров, поэтому они не могут помочь с настройкой. Как вы и советовали, я сбросил настройки роутера, использовал руководство из второй ссылки и пытался изменить конфигурации, чтобы они соответствовали настройкам ExpressVPN, но всё равно не получилось (например, заблокированные сайты остаются заблокированными).

DeJoe Guest	#3 0 17.05.2021 19:14:00 Интерфейс L2TP «работает»? Можешь выложить свою конфигурацию? Обязательно скрой конфиденциальные данные.

Parsanejad

Guest

17.05.2021 20:47:00

Я не был уверен, какие именно части своей конфигурации нужно загрузить, поэтому загрузил те настройки, которые изменял, следуя руководству по второй ссылке. Interfaces>Interface PPP>Interface IP>Firewall>NAT IP>Firewall>Mangle IP>Routes>Routes IP>DNS

DeJoe

Guest

18.05.2021 20:51:00

Мне фотографии кажутся нормальными. Интерфейс L2TP работает (R-flag), значит, туннель функционирует. Единственная проблема, которую я вижу — маршрут, который направляет отмеченные пакеты в туннель, отключён. Попробуй включить этот маршрут (первый в списке). После этого всё должно заработать.

Parsanejad

Guest

23.05.2021 12:23:00

Это результат выполнения ping и tracert при отключённом маршруте:

C:\WINDOWS\system32>ping google.com

Ответ от google.com [216.58.209.142], 32 байта данных:
Ответ от 216.58.209.142: байт=32 время=61мс TTL=52
Ответ от 216.58.209.142: байт=32 время=53мс TTL=52
Ответ от 216.58.209.142: байт=32 время=63мс TTL=52
Ответ от 216.58.209.142: байт=32 время=60мс TTL=52

Статистика Ping для 216.58.209.142:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время передачи в миллисекундах:
Минимальное = 53мс, Максимальное = 63мс, Среднее = 59мс

C:\WINDOWS\system32>tracert google.com

Трассировка маршрута к google.com [216.58.209.142] с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс router.lan [192.168.88.1]
2 1 мс 1 мс 1 мс 192.168.0.xxx
3 246 мс 230 мс 266 мс 172.20.2.xxx
4 39 мс 37 мс 38 мс 172.20.2.xxx
5 36 мс 16 мс 39 мс 172.20.40.xxx
6 43 мс 17 мс 41 мс 172.17.2.xxx
7 33 мс 31 мс 38 мс 10.202.6.xxx
8 41 мс 30 мс 40 мс 10.201.47.xxx
9 31 мс 35 мс 38 мс 10.21.0.xxx
10 35 мс 39 мс 34 мс 10.21.21.xxx
11 55 мс 60 мс 55 мс 213.202.4.xxx
12 78 мс 99 мс 90 мс 213.202.5.xxx
13 61 мс 73 мс 72 мс 216.239.48.xxx
14 68 мс 65 мс 60 мс 108.170.227.xxx
15 71 мс 68 мс 69 мс mct01s13-in-f14.1e100.net [216.58.209.142]

Трассировка завершена.

Это результат ping и tracert при включённом маршруте:

C:\WINDOWS\system32>ping google.com

Ответ от google.com [142.250.180.46] с 32 байтами данных:
Превышено время ожидания запроса.
Превышено время ожидания запроса.
Превышено время ожидания запроса.
Превышено время ожидания запроса.

Статистика Ping для 142.250.180.46:
Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь),

C:\WINDOWS\system32>tracert google.com

Трассировка маршрута к google.com [142.250.180.46] с максимальным числом прыжков 30:

1 2 мс 1 мс 1 мс router.lan [192.168.88.1]
2 * * * Превышено время ожидания запроса.
3 * * * Превышено время ожидания запроса.
4 * * * Превышено время ожидания запроса.
5 * * * Превышено время ожидания запроса.
6 * * * Превышено время ожидания запроса.
7 * * * Превышено время ожидания запроса.
8 * * * Превышено время ожидания запроса.
9 * * * Превышено время ожидания запроса.
10 * * * Превышено время ожидания запроса.
11 * * * Превышено время ожидания запроса.
12 * * * Превышено время ожидания запроса.
13 * * * Превышено время ожидания запроса.
14 * * * Превышено время ожидания запроса.
15 * * * Превышено время ожидания запроса.
16 * * * Превышено время ожидания запроса.
17 * * * Превышено время ожидания запроса.
18 ^C

Parsanejad

Guest

19.05.2021 13:13:00

Когда я включаю этот маршрут, у меня пропадает доступ почти ко всему интернету, то есть я не могу открыть ни один сайт (кроме «google.com», и я понятия не имею почему). Редактирую: Забавно, что «yandex.com» тоже работает, но остальные сервисы, например «mail.yandex.com» или «newssearch.yandex.com», уже не грузятся. То же самое касается и Google: «mail.google.com», «maps.google.com» и так далее тоже не работают. Я подумал, что это касается всех поисковиков, но сайты вроде «baidu.com», «bing.com» или «duckduckgo.com» вообще не доступны, и пока только «google.com» и «yandex.com» ведут себя так странно. Редактирую 2: Вот конфигурация этого конкретного маршрута, как я делал по инструкции из второй ссылки в моём первом посте. Редактирую 3: Похоже, что нет никакой общей закономерности, потому что иногда даже «google.com» и «yandex.com» не работают.

DeJoe

Guest

19.05.2021 16:26:00

Хорошо. У меня нет опыта с маршрутизацией помеченных пакетов через VPN. Можешь рассказать подробнее? Какую версию RouterOS ты используешь? Также пришли, пожалуйста, вывод команды «/export hide-sensitive». Не забудь скрыть конфиденциальную информацию.

Parsanejad

Guest

19.05.2021 17:49:00

В левом верхнем углу интерфейса управления роутером указано «RouterOS v6.48.2 (stable)». А вот вывод команды, которую вы просили (я заменил предполагаемые чувствительные данные на звездочки (*)):

[admin@MikroTik] > /export hide-sensitive
# may/19/2021 21:57:29 by RouterOS 6.48.2
# software id = 3ZTU-G7AI
#
# model = 951Ui-2HnD
# serial number = B8570C850CD0
/interface bridge
add admin-mac=**:**:**:**:**:** auto-mac=no comment=defconf name=bridge
/interface l2tp-client
add connect-to=uk1-ubuntu-l2tp.expressprovider.com disabled=no keepalive-timeout=disabled name=l2tp-expressvpn use-ipsec=yes user=******
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=******** wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=L2TP-ExpressVPN-Mark passthrough=yes src-address=192.168.88.1-192.168.88.255
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=l2tp-expressvpn
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
/ip route
add disabled=yes distance=1 gateway=l2tp-expressvpn routing-mark=L2TP-ExpressVPN-Mark
/ppp secret
add name=vpn
/system clock
set time-zone-name=Asia/Tehran
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

DeJoe

Guest

#10

20.05.2021 15:55:00

Привет! Если у тебя проблемы с интернетом при включении правила маршрутизации, это значит, что ExpressVPN работает, но возникла какая-то другая проблема. Честно говоря, я не совсем понимаю, в чём именно дело. Но есть две вещи, которые я бы изменил:

Добавь
action=mark-routing chain=prerouting new-routing-mark=L2TP-ExpressVPN-Mark passthrough=yes src-address=192.168.88.1-192.168.88.255

Можешь поменять src-address на «src-address=192.168.88.2-192.168.88.255»? Так адрес роутера исключится. Хотя я не думаю, что это что-то изменит.

И в «/ppp profile» можешь поставить «change-tcp-mss» в значение yes в профиле «default-encryption»? Либо можешь скопировать профиль «default-encryption» и в копии поставить change-tcp-mss в yes.

Ещё, пожалуйста, отключи для теста
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related

Спасибо!

Parsanejad

Guest

#11

21.05.2021 13:41:00

Поскольку у меня мало опыта с терминалом, я решил попробовать сделать то, что ты сказал, через интерфейс WebFig. Сделал это отсюда, но, как и предсказывал, никаких заметных изменений не произошло. Кажется, параметр «Change TCP MSS» уже установлен в «Yes». Смотри скриншот ниже. Отключил фильтр с действием «Fasttrack connection», но снова ничего существенного не меняется. И, честно говоря, после каждого изменения я пробовал отключать и заново включать этот маршрут (тот, который стал серым), но каждый раз, как я включал маршрут, интернет снова пропадал.

DeJoe

Guest

#12

21.05.2021 17:27:00

С включённым маршрутом вы можете пинговать сервер в интернете? Например, google.com? Можете ли вы сделать трассировку маршрута (traceroute) до google.com с клиента? В Windows для этого откройте командную строку и введите «tracert google.com». Можете ли вы опубликовать результаты трассировки с включённым маршрутом и без него? Редактирование: чтобы не показывать свой IP, можно заменить последние три цифры IP-адресов на «xxx».

DeJoe

Guest

#13

23.05.2021 13:17:00

Окей. Значит, туннель, похоже, не работает. Это меня немного сбивает с толку, потому что на твоих скриншотах у интерфейса L2TP стоит флаг «running». Но, возможно, для RouterOS это нормально. Проблема может быть в фаерволе или маршрутизации. Но я не нашёл ошибок в твоей конфигурации.

Я перечитал твои настройки и заметил кое-что по интерфейсу L2TP:

/interface l2tp-client
add connect-to=uk1-ubuntu-l2tp.expressprovider.com disabled=no keepalive-timeout=disabled name=l2tp-expressvpn use-ipsec=yes user=******

Там настроено «use-ipsec=yes», и это правильно. Но вот «ipsec-secret» я не нашёл. Ты его скрывал или он вообще не настроен? Если не настроен, обязательно добавь. Этот ipsec-secret (он же pre-shared-secret или psk) можно найти на сайте ExpressVPN.

Также я вижу, что задан «user=***», но не могу найти соответствующий пароль. Если пароль отсутствует, добавь его. Используй пароль, который соответствует этому пользователю ExpressVPN.

После того как добавишь эти две вещи, попробуй снова сделать ping.

Parsanejad

Guest

#14

23.05.2021 19:01:00

Я попробовал команду «/export» без атрибута «hide-sensitive» и увидел, что параметры «ipsec-secret» и «password» уже присутствуют. Сделал скриншот с вкладки «Quick Set». Может здесь какая-то проблема? Я один раз поставил галочку «VPN Access», но ничего не произошло.

DeJoe

Guest

#15

23.05.2021 22:33:00

Кажется, не могу найти проблему. Последняя попытка: можешь отключить L2TP-сервер, если он тебе действительно не нужен? (Для подключения L2TP-клиента он не нужен.) И перезагрузить устройство? /interface l2tp-server server set enabled=yes use-ipsec=yes

Parsanejad

Guest

#16

24.05.2021 08:32:00

Я отключил это через путь IP > DHCP Server в интерфейсе WebFig (см. скриншот выше), но ничего не изменилось. Хотя я не уверен, что сделал это правильно, потому что после отключения запустил команду «/export», и эта строка всё ещё присутствовала: /interface l2tp-server server set use-ipsec=yes. Хотя часть «enabled=yes» больше не отображается, но независимо от того, включён ли DHCP Server (через описанный выше способ) или нет, параметр «enabled=yes» не появляется.

mrporia Guest	#17 0 26.01.2022 09:59:00 Привет, ребята! У меня проблема, с которой я мучаюсь уже 3 дня. Хочу настроить ovpn клиент на Mikrotik, но понял, что Mikrotik не поддерживает UDP, аутентификацию пользователя и comp-lzo! Поэтому я пытался найти решение с ikev2 (с remote id) и ipsec (с pre key), но опять не смог настроить на своём Mikrotik. Я настроил pptp и l2tp — они работают нормально, но, думаю, это очень медленно на Mikrotik, потому что когда я ставлю это на ПК или другое устройство, скорость загрузки, отдачи и пинг отличные, а на Mikrotik всё тормозит, как черепаха — приходится ждать по 2 минуты только чтобы зайти на сайт с определением местоположения по IP. Кто-нибудь может помочь настроить ikev2 и ipsec клиент на Mikrotik? Большое спасибо!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры