» MikroTik RouterOS (часть 3)

Ребята !!!! ну никак мне не удается настроить подключение по L2TP
дайте пожалуйста подробную инструкцию

задача , заменить OpenVPN (сервис для подключения удаленных пользователей, сетей )к локальной сети офиса

т.к
Протокол L2TP похож на PPTP, однако обладает рядом важных преимуществ. В частности L2TP туннели более устойчивы к сбоям и предлагают высокий уровень защищённости передаваемых данных в сочетании с IPSec.
Обычно L2TP используется в следующих случаях:

объединение локальных сетей поверх открытых;
создание гибких схем аутентификации;
доступ в корпоративную сеть с удалённых компьютеров.

то что мне надо но хоть убей не могу поднять данную схему подключения

Помогите плиз!!!!
---------------------------------------------------------------------------------------------
Вроде немного разобрался подключение происходит ,
Но пинги из офиса на удаленную машину идут , а с удаленной машины до компьютеров в сети офиса не проходят , понимаю что где то недописано , но уже всю голову сломал !!!

rosalin
Дак ты покажи что там у тебя сейчас с настройками происходит.

[admin@MikroTik] > interface l2tp-server server print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap2
default-profile: default
# dec/29/2010 09:33:38 by RouterOS 3.22

#
/ip firewall filter
add action=drop chain=input comment="Drop invalid connection packets" \
connection-state=invalid disabled=no
add action=accept chain=input comment="Allow established connections" \
connection-state=established disabled=no
add action=accept chain=input comment="Allow UDP" disabled=no protocol=udp
add action=accept chain=input comment="Allow ICMP Ping" disabled=no protocol=\
icmp
add action=accept chain=input comment="Web proxy" disabled=no dst-port=8080 \
in-interface=LAN protocol=tcp src-address=192.168.0.0/24
add action=accept chain=input comment="Access to router only for admin" \
disabled=no src-address=192.168.0.6
add action=accept chain=input comment=VPN disabled=no dst-port=1723 protocol=\
tcp
add action=accept chain=input comment="" disabled=no protocol=gre
add action=drop chain=input comment="" disabled=no dst-port=8080 \
in-interface=WAN protocol=tcp
add action=drop chain=input comment="All other inputs drop" disabled=no
add action=drop chain=forward comment="fake 10.0.0.0/8" disabled=yes \
in-interface=!LAN src-address=10.0.0.0/8
add action=drop chain=forward comment="fake 172.16.0.0/12" disabled=yes \
in-interface=!LAN src-address=172.16.0.0/12
add action=drop chain=forward comment="fake 192.168.0.0/16" disabled=yes \
in-interface=!LAN src-address=192.168.0.0/16
add action=drop chain=forward comment="Drop invalid connection packets" \
connection-state=invalid disabled=no
add action=accept chain=forward comment="Allow established connections" \
connection-state=established disabled=no
add action=accept chain=forward comment="Allow related connections" \
connection-state=related disabled=no
add action=accept chain=forward comment="Allow UDP" disabled=no protocol=udp
add action=accept chain=forward comment=RDP disabled=no dst-port=3389 \
protocol=tcp
add action=accept chain=forward comment=Voyadger disabled=no dst-port=3053 \
protocol=tcp
add action=accept chain=forward comment="" disabled=no dst-port=3055 \
protocol=tcp
add action=accept chain=forward comment="Allow ICMP Ping" disabled=no \
protocol=icmp
add action=accept chain=forward comment="Access to internet from admin" \
disabled=no src-address=192.168.0.6
add action=accept chain=forward comment="Access to internet from all" \
disabled=no src-address=192.168.0.0/24
add action=accept chain=forward comment="\B5Torrent" disabled=no dst-address=\
192.168.0.6 dst-port=36445 in-interface=!LAN protocol=tcp
add action=drop chain=forward comment="All other forwards drop" disabled=no



#
/ip firewall nat
add action=redirect chain=dstnat comment="Web proxy" disabled=no dst-port=80 \
protocol=tcp to-ports=8080
add action=dst-nat chain=dstnat comment=OpenVPN disabled=no dst-port=5000 \
in-interface=WAN protocol=udp to-addresses=192.168.0.6 to-ports=5000
add action=dst-nat chain=dstnat comment=Voyadger disabled=no dst-port=3053 \
in-interface=WAN protocol=tcp to-addresses=192.168.0.6 to-ports=3053
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=3055 \
in-interface=WAN protocol=tcp to-addresses=192.168.0.6 to-ports=3055
add action=dst-nat chain=dstnat comment="\B5Torrent" disabled=no dst-port=\
36445 protocol=tcp to-addresses=192.168.0.6
add action=masquerade chain=srcnat comment=masquerade disabled=no \
out-interface=WAN src-address-list=!NoInternet

Подскажите беспроводную USB карточку, хорошую и годную для проброса внутри вмваре воркстанции.

Добавлено:
Вот здесь http://wiki.mikrotik.com/wiki/Supported_Hardware
упомянут единственный чипсет AR9271

Что, реально остальное ничто не работает?

Добавлено:
http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=800#2




Добавлено:

Настаиваю на том, что ответ на мой вопрос важен. Причём не только для меня: он заслуживает размещения в шапке.

LevT
Ты какого ответа то ждёшь? Хочешь что бы все у кого есть беспроводные usb карточки проверили её на совместимость, через вмваре в микротик?
Бери ноут или ПК и ставь физически subj. Список поддерживаемых беспроводных карточек резко увеличивается.


rosalin
Я запутался. Жди чупаку =)

faust72rus
За совместимость через вмваре в моих экспериментах отвечаю я сам.

Меня интересует именно хорошесть и годность с точки зрения микротика.
Существует ли HCL официальный или неофициальный?

LevT
Т.е. тебя твоя же ссылка на их wiki не устраивает? там же всё написано.


Цитата:

Вот здесь http://wiki.mikrotik.com/wiki/Supported_Hardware

Цитата:

D-Link DWL-G510    PCI    x86    only 2.9.x tested    Perfect. Tested Rev A1

Я здесь трижды просил указать годную USB Wi-Fi КАРТОЧКУ, а не чипсет.
И не PCI карточку.

Ты спросил про карточку? Я спросил ты хочешь, что бы все у кого она есть её протестировали? Ты сказал нет, нужен железосовместимый список. Я тебе его показал. Это вероятно самый полный железосовместимый официальный список. Но тебя это не устраивает. Потому что видимо ты всё же хочешь что бы тебе показали другую USB карточку.

Возьми обычный старый комп и поставь на него subj туда воткни дэлинковский вайфай и тестируй! Если этот вариант не устраивает (для тестов) купи их железо, оно тебе выйдет в районе 6 т.р. (с карточкой!).

У тебя цель то какая? По тестировать или карточку выбрать? Если первое, чем не нравится установка\покупка. Если второе, нахера USB? Не самый надёжный вариант, не так ли?

Видимо раз трижды никто не ответил (Даже Чупака! Это Имхо показательно) значит либо не так спрашиваешь, либо не то спрашиваешь, либо никто не знает что тебе ответить.

Не надо мне говорить, что мне делать, чтобы трахаться с триалом. Мне нужен ответ на мой вопрос.
Как минимум - какие именно USB вайфай карточки сделаны на этом чипсете. Желательно уже опробованные, возможно не в вмваре, а на реальном железе.


Добавлено:

Уверен, что ответ на этот вопрос нужен далеко не мне одному - и заслуживает размещения в шапке этой темы.

LevT
Вот то что тебе нужно:
Atheros AR9271 (Tp-link wn722n) USB adapter

Твой вопрос никак не относится к теме ветки. Задавай его в ветке по железу. И прекрати флудить.

faust72rus
Ребята без вас не разберусь !!!!

rosalin

Цитата:

Вроде немного разобрался подключение происходит ,  
Но пинги из офиса на удаленную машину идут , а с удаленной машины до компьютеров в сети офиса не проходят , понимаю что где то недописано , но уже всю голову сломал !!!

Ну если соединение устанавливается то просвети нас маршрутами на микротике и клиенте. И настройками vpn соединения на клиенте.

Newbie
rosalin
Или же всё таки дело в файрволе =)

faust72rus
мне кажеться дело в фаерволе !!!!

маршруты сложно показать настройки делал по faq
Connecting a Remote Client via L2TP Tunnel

с разным адресным пространством ....

но затык именно с доступом из вне в сеть

Добавлено:
вот у клиента
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрик
0.0.0.0 0.0.0.0 10.49.13.126 10.49.13.100 4245
0.0.0.0 0.0.0.0 On-link 192.168.0.7 21
10.0.0.0 255.0.0.0 10.49.13.126 10.49.13.100 4246
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 4255
10.8.0.4 255.255.255.252 On-link 10.8.0.6 4511
10.8.0.6 255.255.255.255 On-link 10.8.0.6 4511
10.8.0.7 255.255.255.255 On-link 10.8.0.6 4511
10.49.13.64 255.255.255.192 On-link 10.49.13.100 4501
10.49.13.100 255.255.255.255 On-link 10.49.13.100 4501
10.49.13.127 255.255.255.255 On-link 10.49.13.100 4501
72.255.64.0 255.255.252.0 10.49.13.126 10.49.13.100 4246
72.255.67.245 255.255.255.255 10.49.13.126 10.49.13.100 4246
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
172.16.0.0 255.240.0.0 10.49.13.126 10.49.13.100 4246
192.168.0.0 255.255.0.0 10.49.13.126 10.49.13.100 4246
192.168.0.0 255.255.254.0 10.8.0.5 10.8.0.6 4255
192.168.0.7 255.255.255.255 On-link 192.168.0.7 276
195.2.232.0 255.255.254.0 10.49.13.126 10.49.13.100 4246
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 10.49.13.100 4502
224.0.0.0 240.0.0.0 On-link 10.8.0.6 4512
224.0.0.0 240.0.0.0 On-link 192.168.0.7 21
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 10.49.13.100 4501
255.255.255.255 255.255.255.255 On-link 10.8.0.6 4511
255.255.255.255 255.255.255.255 On-link 192.168.0.7 276
===========================================================================

Добавлено:
без соединения VPN

===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.49.13.126 10.49.13.100 20
10.0.0.0 255.0.0.0 10.49.13.126 10.49.13.100 21
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 30
10.8.0.4 255.255.255.252 On-link 10.8.0.6 286
10.8.0.6 255.255.255.255 On-link 10.8.0.6 286
10.8.0.7 255.255.255.255 On-link 10.8.0.6 286
10.49.13.64 255.255.255.192 On-link 10.49.13.100 276
10.49.13.100 255.255.255.255 On-link 10.49.13.100 276
10.49.13.127 255.255.255.255 On-link 10.49.13.100 276
72.255.64.0 255.255.252.0 10.49.13.126 10.49.13.100 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.240.0.0 10.49.13.126 10.49.13.100 21
192.168.0.0 255.255.0.0 10.49.13.126 10.49.13.100 21
192.168.0.0 255.255.254.0 10.8.0.5 10.8.0.6 30
195.2.232.0 255.255.254.0 10.49.13.126 10.49.13.100 21
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.49.13.100 276
224.0.0.0 240.0.0.0 On-link 10.8.0.6 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.49.13.100 276
255.255.255.255 255.255.255.255 On-link 10.8.0.6 286
===========================================================================

Добавлено:
[admin@MikroTik] /ppp secret> print
Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 user1 l2tp xxx default-encryp... 192.168.0.7


Добавлено:
без OpenVPN маршрутизации только L2TP

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.49.13.126 10.49.13.100 4245
0.0.0.0 0.0.0.0 On-link 192.168.0.7 21
10.0.0.0 255.0.0.0 10.49.13.126 10.49.13.100 4246
10.49.13.64 255.255.255.192 On-link 10.49.13.100 4501
10.49.13.100 255.255.255.255 On-link 10.49.13.100 4501
10.49.13.127 255.255.255.255 On-link 10.49.13.100 4501
72.255.64.0 255.255.252.0 10.49.13.126 10.49.13.100 4246
72.255.67.245 255.255.255.255 10.49.13.126 10.49.13.100 4246
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4531
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4531
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
172.16.0.0 255.240.0.0 10.49.13.126 10.49.13.100 4246
192.168.0.0 255.255.0.0 10.49.13.126 10.49.13.100 4246
192.168.0.7 255.255.255.255 On-link 192.168.0.7 276
195.2.232.0 255.255.254.0 10.49.13.126 10.49.13.100 4246
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4531
224.0.0.0 240.0.0.0 On-link 10.49.13.100 4502
224.0.0.0 240.0.0.0 On-link 192.168.0.7 21
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4531
255.255.255.255 255.255.255.255 On-link 10.49.13.100 4501
255.255.255.255 255.255.255.255 On-link 192.168.0.7 276
===========================================================================

Добавлено:
Да что то в маршрутах путаница ....

сетевой адрес 192.168.0.7 , который присваиваю удаленной машине не попадает в сетевое пространство 192.168.0.0/24 ,
ну как мне кажеться, но я в этом пока плохо разбираюсь

rosalin
и маршруты мне как-то не очень нравятся... и это правило

Цитата:

add action=drop chain=forward comment="fake 192.168.0.0/16" disabled=yes \
in-interface=!LAN src-address=192.168.0.0/16

Цитата:

add action=drop chain=forward comment="fake 192.168.0.0/16" disabled=yes \
in-interface=!LAN src-address=192.168.0.0/16

да это правило выключал !!!

rosalin
Это точно не фаервол - ты же подключился )

грешу на петлю маршрутизации.
192.168.0.0 255.255.0.0 10.49.13.126 10.49.13.100 4246

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S ;;; added by setup
0.0.0.0/0 reachable 72.255.67.246 1 WAN
1 A S 10.8.0.0/24 reachable 192.168.0.6 1 LAN
2 ADC 72.255.67.244/30 72.255.67.245 0 WAN
3 ADC 192.168.0.0/24 192.168.0.4 0 LAN
4 ADC 192.168.0.7/32 192.168.0.4 0 <l2tp-user1>

rosalin
Либо в профиле пользователя либо в профиле L2TP неправильно указал адрес сервера (поле Local Address). Выбирай другие подсети, т.к. у тебя пересечение адресации и твои компьютеры изнутри не будут маршрутизировать трафик на l2tp клиентов.

Мои настройки:

[faust@MK_KRSN] > ppp profile print
Flags: * - default
0 name="l2tp" local-address=192.0.0.1 remote-address=ppp
use-compression=default use-vj-compression=default
use-encryption=required only-one=default change-tcp-mss=default

[faust@MK_KRSN] > ip pool print
# NAME RANGES
0 lan 192.168.20.100-192.168.20.200
1 ppp 192.0.0.2-192.0.0.254

[faust@MK_KRSN] > interface l2tp-server server print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap1,mschap2
default-profile: l2tp

faust72rus
Поддерживаю.

rosalin
попробуй tracert 192.168.0.1 с клиента ) Я так думаю пойдет через 10.49.13.126

Newbie
попробуй tracert 192.168.0.1
через 10.49.13.126
так и ходит .... счас подгоняю настройки ... пока нет доступа к удаленному компу

rosalin
А должен через 192.168.0.4 Придется переделывать адресацию, как советует faust72rus

Цитата:

Я так думаю пойдет через 10.49.13.126

да так и ходит .... !? как бы это исправить ...


Добавлено:
[admin@MikroTik] > ppp profile print
Flags: * - default
0 * name="default" use-compression=default use-vj-compression=default use-encryption=default
only-one=default change-tcp-mss=yes

1 name="pptp" local-address=192.0.0.1 remote-address=ppp use-compression=default
use-vj-compression=default use-encryption=required only-one=default change-tcp-mss=default

2 * name="default-encryption" use-compression=default use-vj-compression=default use-encryption=yes
only-one=default change-tcp-mss=yes


[admin@MikroTik] > ip pool print
# NAME RANGES
0 ppp 192.0.0.2-192.0.0.254

[admin@MikroTik] > interface l2tp-server server print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap1,mschap2
default-profile: pptp


Вроде все сделал ????
что не так ???

rosalin
Ну и? Трасировка куда идёт? Клиент какой адрес получает?
У тя щас удалённый клиент получает что то типа 192.0.0.253
и соответственно может пинговать любой ПК в твоей сети, а любой ПК в твоей сети может пинговать его.

Здесь как должно ???
[admin@MikroTik] /ppp secret> print
Flags: X - disabled
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 user1 l2tp user1 default-encryp... 192.0.0.2

faust72rus

Цитата:

Вот то что тебе нужно:
Atheros AR9271 (Tp-link wn722n) USB adapter  
 
Твой вопрос никак не относится к теме ветки. Задавай его в ветке по железу. И прекрати флудить.

Спасибо!
Куплю-проверю-отпишусь сюда в тему по результатам.
Надеюсь, что отпишутся сюда и другие, кто уже пробовал настраивать USB вайфай с микротиком.

rosalin
тут адреса можно не заполнять, оставить их пустыми, а вот профилm нужно указать pptp!

rosalin
на микротике нужен маршрут на 192.0.0.0.24 через 192.0.0.1

хоть убейся

опять прет через 10.49.13.126

[admin@MikroTik] /ppp active> print
Flags: R - radius
# NAME SERVICE CALLER-ID ADDRESS UPTIME ENCODING
0 user1 l2tp 10.49.13.100 192.0.0.254 6m2s MPPE128 stateless