- Mikrotik нет интернета через ipsec
- Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
- Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
- Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
- Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
- Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
- MikroTik.by
- L2TP инет на клиенте
- L2TP инет на клиенте
- Re: L2TP инет на клиенте
- Re: L2TP инет на клиенте
- Re: L2TP инет на клиенте
- Re: L2TP инет на клиенте
- Re: L2TP инет на клиенте
- Re: L2TP инет на клиенте
- MikroTik — как направить трафик через IPSec-туннель
- Присоединяюсь к вопросу.
Mikrotik нет интернета через ipsec
I followed wiki instructions and made IPSEC IKEv2 VPN server. I can connect. I have internet and I can access router IP but I cannot access other LAN devices.
I tried putting IPSEC clients in same subnet and I tried different too. No luck. I guess I am missing some firewall rule.
Can somebody help with this issue please.
Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
Without seeing how you have your VPN service configured and your existing FW rules and their order, we can only provide generalities.
You will want to ensure that you have a FW permitting the traffic from your VPN IPs to «talk» to your LAN IPs.
Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
0 chain=input action=accept protocol=icmp 1 chain=input action=accept connection-state=established 2 chain=input action=accept connection-state=related 3 chain=input action=accept in-interface=ether1 log=no log-prefix="" ipsec-policy=in,ipsec 4 chain=input action=accept protocol=udp in-interface=ether1 dst-port=500,4500 log=no log-prefix="" 5 chain=input action=accept protocol=ipsec-esp in-interface=ether1 log=no log-prefix="" 6 chain=input action=drop src-address-list=shodan in-interface=ether1 log=no log-prefix="" 7 chain=input action=drop src-address-list=facebook in-interface=ether1 log=no log-prefix="" 8 chain=input action=drop src-address-list=blacklist in-interface=ether1 log=yes log-prefix="" 9 chain=input action=drop in-interface=ether1
these are my fw rules. my vpn IPs are same as local network 192.168.0.x or i tried also 192.168.1.x. same result. I only can connect to 192.168.0.1
Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
Did you come right with this?
I can connect to the VPN and ping only the router but none of my services on the LAN.
Posts: 239 Joined: Fri Feb 10, 2012 10:24 pm Location: Poland
Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
Re: IPSEC IKEv2 setup cannot access LAN. Only can access router.
I had similar problem with my setup and was able to solve it. There is no need to add firewall rules. Important is to set proper ip pool for IKEv2 clients. It should be different from your subnet. So in your case, if your subnet is 192.168.0.0/24, then use a 192.168.1.0/24 for the IKEv2 ip pool. It is also important to set the ipsec policy with proper dst-address network. This should be the same network as your IKEv2 ip pool:
/ip ipsec policy add dst-address=192.168.1.0/24 group=ike2-policies proposal=ike2 src-address=0.0.0.0/0 template=yes
MikroTik.by
For every complex problem, there is a solution that is simple, neat, and wrong.
L2TP инет на клиенте
L2TP инет на клиенте
Сообщение joker » 27 июл 2020, 11:48
Здравствуйте!
Настроили VPN IPSec/L2TP сервер на Mikrotik. Клиент подключается успешно, компьютеры в сети видит, но интернета нету.
/ip firewall address-list
add address=192.168.1.0/24 list=anti-nat
add address=10.1.0.0/16 list=anti-nat
add address=193.176.181.193 list=»vpn ipsec list»
add address=178.124.177.215 list=»vpn ipsec list»
/ip firewall filter
add action=accept chain=input src-address-list=»vpn ipsec list»
add action=accept chain=input comment=L2TP dst-port=500,1701,4500 in-interface=ether1 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=»Established connection Allowed» connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward dst-address=192.168.4.0/24 src-address=192.168.1.20
add action=accept chain=forward dst-address=192.168.30.0/24 src-address=192.168.1.23
add action=accept chain=forward comment=»allow L2TP for subnet4.0 only» dst-address=192.168.15.0/24 src-address=192.168.4.0/24
add action=drop chain=forward dst-address=192.168.30.0/24 src-address=192.168.4.0/24
add action=drop chain=input comment=»Close 53 port DNS» dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=input connection-state=invalid in-interface-list=WAN
add action=drop chain=input disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN
add action=accept chain=srcnat dst-address-list=!anti-nat out-interface-list=WAN
Chupaka Сообщения: 3689 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:
Re: L2TP инет на клиенте
Сообщение Chupaka » 27 июл 2020, 14:46
Приветствую. А что значит «интернета нету» более техническим языком? Покажите трассировку с клиента на ya.ru и на 8.8.8.8, например.
Re: L2TP инет на клиенте
Сообщение joker » 27 июл 2020, 16:04
Chupaka Сообщения: 3689 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:
Re: L2TP инет на клиенте
Сообщение Chupaka » 27 июл 2020, 16:25
Значит, Интернет доступен, проблема с DNS. Смотрите, какой адрес получает клиент в качестве DNS-сервера и почему он не может к нему достучаться.
Re: L2TP инет на клиенте
Сообщение joker » 27 июл 2020, 17:01
Chupaka писал(а): ↑ 27 июл 2020, 16:25 Значит, Интернет доступен, проблема с DNS. Смотрите, какой адрес получает клиент в качестве DNS-сервера и почему он не может к нему достучаться.
Chupaka Сообщения: 3689 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:
Re: L2TP инет на клиенте
Сообщение Chupaka » 27 июл 2020, 17:40
А есть возможность проверить, что с DNS-сервера трассировка на адрес VPN-клиента нормально идёт, как минимум до L2TP-сервера?
Re: L2TP инет на клиенте
Сообщение joker » 28 июл 2020, 15:18
Спасибо за подсказку Разобрался. Наш dns-сервер находится за другим маршрутизатором Mikrotik.
Настроил туннель между подсетью микротика в котором dns-сервер и подсетью микротика который выступает в качестве L2TP-сервера.
MikroTik — как направить трафик через IPSec-туннель
Продолжаю препарировать MikroTik и вот какая задача у меня нарисовалась.
Дома у меня интернет и телефон от ОнЛайма. На даче интернет от Трайтэка. Дома и на даче стоят роутеры MikroTik, между ними поднят IPSec-туннель. На даче стоит сервер Asterisk и несколько IP-телефонов. У ОнЛайма имеется SIP-сервер tel2.moscow.rt.ru. Он доступен из сети ОнЛайма, но не доступен из сети Трайтэка.
Теперь к сути. Необходимо завернуть трафик, идущий с дачи на SIP-сервер tel2.moscow.rt.ru в IPSec-туннель, чтобы таки достучаться до SIP-сервера.
Как это сделать — ума не приложу. Гуру MikroTik-а, помогите!
Пробовал. Почему-то маршрут через IPSec-туннель не работал, полагаю потому, что не создается отдельный интерфейс на него.
У тебя IPSec в режиме туннеля или IPSec/L2tp(ipip, gre)? если первое, то переключай на второе. Если второе, то /ip route rule или pbr в помощь.
log4tmp
У тебя IPSec в режиме туннеля или IPSec/L2tp(ipip, gre)? если первое, то переключай на второе.
Первое. А в IPSec-туннель нельзя трафик завернуть? Неужели не существует способов?
Вроде можно через mangle/nat завернуть, но я так никогда не делал, с тунелями проще.
log4tmp
Вроде можно через mangle/nat завернуть, но я так никогда не делал, с тунелями проще.
Спасибо за наводку, покопаюсь в Wiki MikroTik-а еще.
для начала почитать как работает ipsec и зачем нужны policies.
voltmod
для начала почитать как работает ipsec и зачем нужны policies.
А можно краткий экскурс. Или пару ссылок? Спасибо.
ну тебе скорее всего поможет запрет nat на пакеты в удаленную подсеть, при условии что ты правильно прописал peer и policie
voltmod ★★ ( 20.02.17 01:12:47 MSK )
Последнее исправление: voltmod 20.02.17 01:14:06 MSK (всего исправлений: 1)
Присоединяюсь к вопросу.
Схожая с ТС ситуация, прошу помощи.
Есть два офиса, в них — микротики в качестве роутеров. Нужно добиться сетевой видимости между хостами в офисных подсетях.
IPSec настроен по инструкции: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Site_to_Site_IpSec_Tunnel. Оба роутера пингуются с обоих сторон, хосты в подсетях — нет.
Не очень понимаю, как настраивать маршрутизацию в случае, когда не появляется отдельного интерфейса. Не поясните концепцию?
Кстати, нужно ли что-то настраивать на компьютерах в подсетях (роутеры сейчас являются шлюзами по-умолчанию)?
Harliff ★★★★★ ( 21.02.17 22:42:35 MSK )
Последнее исправление: Harliff 21.02.17 22:43:08 MSK (всего исправлений: 1)
Не совсем. В этом нет необходимости. Я напишу, как поднять IPsec корректно чуть позже, как приеду домой, там, на самом деле, ничего сложного.
Читай про Policy based routing на Микротике. Тебе в зависимости от адреса источника нужно завернуть его на нужный тебе хоп.
Если делал всё по мануалу из ссылки, то всё должно работать. Проверь правила НАТ и их очерёдность. Те которые делают accept в другую сеть, должны быть выше маскарада.
Как и обещал. Допустим, у нас есть два офиса, офис «35» (подсеть 10.35.1.0/24) и офис «54» (подсеть 10.54.1.0/24).
В офисе «35» на роутере сделаем следующие настройки:
/ip ipsec policy add dst-address=10.54.1.0/24 sa-dst-address=\ xxx.xxx.xxx.xxx sa-src-address=yyy.yyy.yyy.yyy src-address=10.35.1.0/24 tunnel=\ yes
/ip ipsec peer add address=xxx.xxx.xxx.xxx/32 secret=zzzzzzzz
/ip firewall nat add action=accept chain=srcnat dst-address=10.54.1.0/24 src-address=10.35.1.0/24 add action=masquerade chain=srcnat out-interface=ether1 src-address=10.35.1.0/24
В офисе «54» на роутере сделаем следующие настройки:
/ip ipsec policy add dst-address=10.35.1.0/24 sa-dst-address=\ yyy.yyy.yyy.yyy sa-src-address=xxx.xxx.xxx.xxx src-address=10.54.1.0/24 tunnel=\ yes
/ip ipsec peer add address=yyy.yyy.yyy.yyy/32 secret=zzzzzzz
/ip firewall nat add action=accept chain=srcnat dst-address=10.35.1.0/24 src-address=\ 10.54.1.0/24 add action=masquerade chain=srcnat out-interface=ether1 src-address=10.54.1.0/24
Где xxx.xxx.xxx.xxx — это IP-адрес роутера в офисе «54», а «yyy.yyy.yyy.yyy» — это IP-адрес роутера в офисе «35», zzzzzzzz — это общий ключ. Прошу обратить внимание, что в секции /ip firewall nat правило с action masquerade должно идти после правила с action accept. Иначе туннель поднимется, но пакеты идти не будут. Никаких других тонкостей и сложностей нет. Удачи в настройке!
Собственно да. Я решил просто расписать еще раз поподробнее, надеюсь ТСу это поможет.
ravdinve, спасибо за развёрнутый ответ!
Сделал всё по инструкции, связи между подсетями по-прежнему нет.
Что можно сделать для отладки?
Harliff ★★★★★ ( 22.02.17 14:45:34 MSK )
Последнее исправление: Harliff 22.02.17 14:50:22 MSK (всего исправлений: 1)
Harliff
Что можно сделать для отладки?
Сделайте в консоли каждого роутера /export и скопируйте вывод сюда. Посмотрим, что у вас там в настройках.
ravdinve, спасибо за предложение помощи. На этот раз откажусь 🙂
Настроил с помощью IPSEC+GRE (спасибо вот этой инструкции).
Хотел уточнить, а у вас ходят broadcast-ы по вашему туннелю? Спасибо!
Не проверял, но мне это и не нужно.
Если актуальны broadcast’ы, то, может быть, есть смысл в L2 VPN?
Harliff
Если актуальны broadcast’ы, то, может быть, есть смысл в L2 VPN?
Я думал на тему IPIP, но решил, что в моем случае это не даст никаких плюсов.
Недавно столкнулся с той же историей, что и вы. А история вот какая: допустим, у вас /ip firewall filter настроен по-умолчанию. Т.е. примерно следующим образом:
/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1 add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
В этом случае, если вы создадите туннель по моей инструкции ничего работать не будет. Для того, чтобы заработало, необходимо перед правилом add action=drop chain=input comment=«defconf: drop all from WAN» in-interface=ether1 прописать следующие правила:
add action=accept chain=input dst-address=xxx.xxx.xxx.xxx dst-port=500 in-interface=ether1 protocol=udp add action=accept chain=input dst-address=xxx.xxx.xxx.xxx in-interface=ether1 protocol=ipsec-esp add action=accept chain=input dst-address=xxx.xxx.xxx.xxx in-interface=ether1 protocol=ipsec-ah
Интересно следующее: если не прописать эти правила, то туннель будет в статусе established, но трафик через него идти не будет.