Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Маршрутизация микротика+L2TP+ZyWall

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

bmtiger

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Комрады помогите!
Всё перерыл, может тут что дельное подскажете.
Суть
Есть ZyWall ATP200 в офисе. На нём настроен VPN с филиалом, в котором в свою очередь стоит Микротик.
Из Офиса в сеть филиала всё прекрасно ходит.
При подключении пользователя к офису с помощью SSL VPN - трафик и до офисных ресурсов и до филиальных ходит.
А вот при подключении пользователя к офису по L2TP - связь есть только с офисом. С филиалом связи нет.
Понимаю, что в маршрутизации дело и скорее всего на стороне Микротика, но уже весь лоб разбил и не знаю где что прописать, чтобы человек, подключившийся по L2TP к Zywall мог так же как и человек, подключившийся по SSL VPN  видеть сеть филиала.
Вот подсети:
11.0 - сеть офиса
10.1.5.0 - сеть филиала
10.189.33.0 - SSL VPN
10.189.133.0 - L2tp
 
Поддержку Zyxel тормошил, но тут они указывают на проблему с микротиком.
С самим микротиком ещё на "Вы"
Если какие мысли - поделитесь плиз.
Всего записей: 6 | Зарегистр. 28-03-2018 | Отправлено: 14:56 31-03-2020
urodliv



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Пользователь - это кто? Микротик или человек?

Цитата:
чтобы человек, подключившийся по L2TP к Zywall мог так же как и человек, подключившийся по SSL VPN  видеть сеть филиала.

Я запутался. Разговор идёт про "site-to-site" или 'client-to-site" схему подключения? Как связаны "заяц" и микротик? К какому устройству подключается клиент (человек)?
 

Цитата:
Вот подсети:
11.0 - сеть офиса
10.1.5.0 - сеть филиала
10.189.33.0 - SSL VPN
10.189.133.0 - L2tp  

Подсети описываются не только сетевым адресом, но и масками подсети. Или вы ведёте речь о классовой адресации?

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.
Всего записей: 6689 | Зарегистр. 29-04-2009 | Отправлено: 19:45 31-03-2020
bmtiger

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Пользователь - это кто? Микротик или человек?

Пользователь - человек, находящийся за пределами как офисной так и филиальной сети.
 

Цитата:
Я запутался

Разговор о подключении client-to-site
 

Цитата:
Как связаны "заяц" и микротик?

"заяц" стоит шлюзом в офисе, к нему site-to-site подключается микротик филиала по IPSec.
Соответственно юзеры офиса видят хосты за микротиком и наоборот.
 

Цитата:
К какому устройству подключается клиент (человек)?

Подключение происходит к Zywall.  
Принцип следующий - Юзер подключается к Zywall, получает адрес например 10.189.33.10 и может шастать по хостам в офисе и хостам в филиале.
Вот только Делать он это может только если подключается по SSL VPN.
Если подключение происходит по L2TP, то человек видит только зосты в офисе, филиальные даже не пингуются.
 
Маски везде /24
Всего записей: 6 | Зарегистр. 28-03-2018 | Отправлено: 20:11 31-03-2020
vertex4

Moderator		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
bmtiger
Есть два ограничения:
- маршрутизация
- файерволл
Смотришь на клиенте при подключении маршруты - должен быть маршрут до микротиковского офиса
Смотришь маршрут на микротике до подсети клиента
Это первый пункт, для начала. Ну и важно исключить NAT между всеми сетями. В туннелях ему не место
Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 22:50 31-03-2020
urodliv



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
L2TP используется совместно с IPSEC или тоннель не шифруется?

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.
Всего записей: 6689 | Зарегистр. 29-04-2009 | Отправлено: 01:44 01-04-2020
bmtiger

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NAT в туннеле отключен.
 
L2TP используется вместе с ipsec. По крайней мере так можно подключиться стандартными виндовыми средствами.
Вчера обнаружил странную вещь, на микротике прописал маршрут через IPsec-Policies.
Подключился из дома по L2TP и о чудо - смог увидеть сеть за филиальным Микротиком.
Но счастье моё не было долгим. При проверке тех же действий но с интернетом от yota или при расдаче мобильного инета - снова сеть за микротиком не видна.
 
И тут самое интересное - вернул ноут в домашний wi-fi, подключился по ВПН и тоже не смог достучаться до сети за микротиком, но после определённого времени всё заработало на интернете с телефона.
Такое ощущение, что ZyWall живёт своей жизнью.
Фаервол на ZyWall и на Микротике прошерстил весь - нет нигде привилегий или ограничений на какие-то определённые адреса.
Всего записей: 6 | Зарегистр. 28-03-2018 | Отправлено: 09:26 01-04-2020
urodliv



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А киньте вывод команд:
/ip ipsec policy print и /ip firewall nat print

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.
Всего записей: 6689 | Зарегистр. 29-04-2009 | Отправлено: 09:38 01-04-2020 | Исправлено: urodliv, 09:39 01-04-2020
bmtiger

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
/ip ipsec policy print  
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default  
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default  
       template=yes  
 
 1  A  src-address=10.1.5.0/24 src-port=any dst-address=192.168.111.0/24 dst-port=any  
       protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes  
       sa-src-address=(wanIP_Mikrotik) sa-dst-address=(wanIP_ZyWall) proposal=default  
       ph2-count=1  
 
 2  A  src-address=10.1.5.0/24 src-port=any dst-address=192.168.11.0/24 dst-port=any  
       protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes  
       sa-src-address=(wanIP_Mikrotik) sa-dst-address=(wanIP_ZyWall) proposal=default  
       ph2-count=1  
 
 3     ;;; SSL VPN
       src-address=10.1.5.0/24 src-port=any dst-address=10.189.33.0/24 dst-port=any  
       protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes  
       sa-src-address=(wanIP_Mikrotik) sa-dst-address=(wanIP_ZyWall) proposal=default  
       ph2-count=0  
 
 4     ;;; L2TP
       src-address=10.1.5.0/24 src-port=any dst-address=10.189.133.0/24 dst-port=any  
       protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes  
       sa-src-address=(wanIP_Mikrotik) sa-dst-address=(wanIP_ZyWall) proposal=default  
       ph2-count=0  
 
 5  XI  src-address=10.1.5.0/24 src-port=any dst-address=192.168.11.0/24 dst-port=any  
 
 
 
 
 
 /ip firewall nat print  
Flags: X - disabled, I - invalid, D - dynamic  
 0 X  chain=srcnat action=masquerade out-interface=WAN1 log=no log-prefix=""  
 
 1 X  chain=srcnat action=masquerade out-interface=WAN2 log=no log-prefix=""  
 
 2    chain=srcnat src-address=10.1.5.0/24 dst-address=192.168.111.0/24  
 
 3    chain=srcnat src-address=10.1.5.0/24 dst-address=192.168.11.0/24  
 
 4    chain=srcnat action=accept src-address=10.1.5.0/24 dst-address=10.189.33.0/24 log=no log-prefix=""  
 
 5    chain=srcnat action=accept src-address=10.1.5.0/24 dst-address=10.189.133.0/24 log=no log-prefix=""  
 
 6    chain=srcnat action=accept src-address=10.189.33.0/24 dst-address=10.1.5.0/24 log=no log-prefix=""  
 
 7    chain=srcnat action=accept src-address=10.189.133.0/24 dst-address=10.1.5.0/24 log=no log-prefix=""  
 
 8    chain=srcnat action=masquerade src-address=10.1.5.0/25 log=no log-prefix=""  
 
 9 I  ;;; lte1 not ready
      chain=srcnat action=masquerade out-interface=*C log=no log-prefix=""
Всего записей: 6 | Зарегистр. 28-03-2018 | Отправлено: 13:32 01-04-2020
alexnov66



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bmtiger
Правила
Цитата:
masquerade
должны быть последними
Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 16:37 01-04-2020
urodliv



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
bmtiger
Я так понимаю, что в основном офисе есть две подсети: 192.168.11.0/24 и 192.168.111.0/24. Пусть будет так. тогда 2 и 3 правило NAT`а я бы переписал аналогично 4 и 5, ну или можно воспользоваться address-list`ом. 6 и 7 правила бессмысленны - убрать. В остальном криминала не вижу, поэтому эти "движухи" вряд ли решат вашу проблему. А значит надо браться за какой-нибудь сетевой анализатор.

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.
Всего записей: 6689 | Зарегистр. 29-04-2009 | Отправлено: 22:31 01-04-2020
bmtiger

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
спасибо, как всё проверю - отпишусь
Всего записей: 6 | Зарегистр. 28-03-2018 | Отправлено: 09:50 02-04-2020
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Маршрутизация микротика+L2TP+ZyWall


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru