Почему нет интернета после подключения vpn?
Доброго дня. Я с Микротиками столкнулся совсем недавно, потому прошу помощи у вас.
Суть вопроса. Имею роутер от компании Mikrotik.
На его базе поднят l2tp сервер с использованием ipsec.
Создаю секрет, после чего подключаюсь к созданому мной VPN серверу.
Итог, локальную сеть вижу прекрасно, а вот интернет на машине с которой я подключаюсь, пропадает.
Вернее пинги до 8.8.8.8 идут прекрасно, а вот до доменов, уже нет.
Подскажите пожалуйста, что я делаю не так?
Ниже прилагаю скриншоты своих настроек.
Заранее, большое спасибо.
PS C:\Users\partisan42> route print =========================================================================== Список интерфейсов 9. d8 d0 90 33 e3 41 . Killer E2400 Gigabit Ethernet Controller 13. 0a 00 27 00 00 0d . VirtualBox Host-Only Ethernet Adapter 49. Company_name 5. 38 00 25 fc 7a 66 . Microsoft Wi-Fi Direct Virtual Adapter 17. 3a 00 25 fc 7a 65 . Microsoft Wi-Fi Direct Virtual Adapter #2 2. 38 00 25 fc 7a 65 . Intel(R) Wireless-AC 9560 160MHz 15. 38 00 25 fc 7a 69 . Bluetooth Device (Personal Area Network) 1. Software Loopback Interface 1 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.173 4250 0.0.0.0 0.0.0.0 On-link 192.168.89.245 26 127.0.0.0 255.0.0.0 On-link 127.0.0.1 4556 127.0.0.1 255.255.255.255 On-link 127.0.0.1 4556 127.255.255.255 255.255.255.255 On-link 127.0.0.1 4556 192.168.0.0 255.255.255.0 On-link 192.168.0.173 4506 192.168.0.173 255.255.255.255 On-link 192.168.0.173 4506 192.168.0.255 255.255.255.255 On-link 192.168.0.173 4506 192.168.56.0 255.255.255.0 On-link 192.168.56.1 4506 192.168.56.1 255.255.255.255 On-link 192.168.56.1 4506 192.168.56.255 255.255.255.255 On-link 192.168.56.1 4506 192.168.89.245 255.255.255.255 On-link 192.168.89.245 281 212.36.226.110 255.255.255.255 192.168.0.1 192.168.0.173 4251 224.0.0.0 240.0.0.0 On-link 127.0.0.1 4556 224.0.0.0 240.0.0.0 On-link 192.168.56.1 4506 224.0.0.0 240.0.0.0 On-link 192.168.0.173 4506 224.0.0.0 240.0.0.0 On-link 192.168.89.245 26 255.255.255.255 255.255.255.255 On-link 127.0.0.1 4556 255.255.255.255 255.255.255.255 On-link 192.168.56.1 4506 255.255.255.255 255.255.255.255 On-link 192.168.0.173 4506 255.255.255.255 255.255.255.255 On-link 192.168.89.245 281 =========================================================================== Постоянные маршруты: Отсутствует IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика Сетевой адрес Шлюз 1 331 ::1/128 On-link 13 281 fe80::/64 On-link 9 281 fe80::/64 On-link 13 281 fe80::2c88:44ae:3563:c7a1/128 On-link 9 281 fe80::a0d6:1d5e:5132:6ec6/128 On-link 1 331 ff00::/8 On-link 13 281 ff00::/8 On-link 9 281 ff00::/8 On-link =========================================================================== Постоянные маршруты: Отсутствует PS C:\Users\partisan42>
В идеале, хотелось бы что бы клиент ходил в интернет через свой шлюз, а в подсеть 192.168.0.0/24 через VPN.
MikroTik.by
For every complex problem, there is a solution that is simple, neat, and wrong.
L2TP инет на клиенте
L2TP инет на клиенте
Сообщение joker » 27 июл 2020, 11:48
Здравствуйте!
Настроили VPN IPSec/L2TP сервер на Mikrotik. Клиент подключается успешно, компьютеры в сети видит, но интернета нету.
/ip firewall address-list
add address=192.168.1.0/24 list=anti-nat
add address=10.1.0.0/16 list=anti-nat
add address=193.176.181.193 list=»vpn ipsec list»
add address=178.124.177.215 list=»vpn ipsec list»
/ip firewall filter
add action=accept chain=input src-address-list=»vpn ipsec list»
add action=accept chain=input comment=L2TP dst-port=500,1701,4500 in-interface=ether1 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=»Established connection Allowed» connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward dst-address=192.168.4.0/24 src-address=192.168.1.20
add action=accept chain=forward dst-address=192.168.30.0/24 src-address=192.168.1.23
add action=accept chain=forward comment=»allow L2TP for subnet4.0 only» dst-address=192.168.15.0/24 src-address=192.168.4.0/24
add action=drop chain=forward dst-address=192.168.30.0/24 src-address=192.168.4.0/24
add action=drop chain=input comment=»Close 53 port DNS» dst-port=53 in-interface-list=WAN protocol=udp
add action=drop chain=input connection-state=invalid in-interface-list=WAN
add action=drop chain=input disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=WAN
add action=accept chain=srcnat dst-address-list=!anti-nat out-interface-list=WAN
Chupaka Сообщения: 3689 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:
Re: L2TP инет на клиенте
Сообщение Chupaka » 27 июл 2020, 14:46
Приветствую. А что значит «интернета нету» более техническим языком? Покажите трассировку с клиента на ya.ru и на 8.8.8.8, например.
Re: L2TP инет на клиенте
Сообщение joker » 27 июл 2020, 16:04
Chupaka Сообщения: 3689 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:
Re: L2TP инет на клиенте
Сообщение Chupaka » 27 июл 2020, 16:25
Значит, Интернет доступен, проблема с DNS. Смотрите, какой адрес получает клиент в качестве DNS-сервера и почему он не может к нему достучаться.
Re: L2TP инет на клиенте
Сообщение joker » 27 июл 2020, 17:01
Chupaka писал(а): ↑ 27 июл 2020, 16:25 Значит, Интернет доступен, проблема с DNS. Смотрите, какой адрес получает клиент в качестве DNS-сервера и почему он не может к нему достучаться.
Chupaka Сообщения: 3689 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:
Re: L2TP инет на клиенте
Сообщение Chupaka » 27 июл 2020, 17:40
А есть возможность проверить, что с DNS-сервера трассировка на адрес VPN-клиента нормально идёт, как минимум до L2TP-сервера?
Re: L2TP инет на клиенте
Сообщение joker » 28 июл 2020, 15:18
Спасибо за подсказку Разобрался. Наш dns-сервер находится за другим маршрутизатором Mikrotik.
Настроил туннель между подсетью микротика в котором dns-сервер и подсетью микротика который выступает в качестве L2TP-сервера.
L2TP -IPSec Mikrotik. Нет доступа к Интернету. Почему?
Настроил сеть. Без VPN интернет есть. Необходимо настроить L2TP Client и как видно в статусе соединение с сервером идет. Пробовал в Add Default Route ставить чекбокс Enable (0,1) — пропадает доступ в интернет совсем.
VPN в данном случае делаю к локальному адресу 196.168.10.199. Пробовал и на весь пул DHCP.
Наведите на мысль где нестыковка?
а если снять галку «default route», то интернет есть?
вообще же установка галки «default route» означает, что весь трафик в интернет микротик станет пытаться слать через vpn-соединение, и если vpn-сервер, к которому вы сделали подключение, не настроен на пересылку трафика от вас в интернет, то соединения с интернетом и не будет. вместо default route вам надо добавить в таблицу маршрутизации маршрут, который направлял бы трафик для определённой подсети (той, которая за vpn-сервером) на ip vpn-шлюза (vpn-сервера).