Как настроить подключение к внешнему L2TP через маршрутизатор Mikrotik внутри сети?

Question

Эмиль

vpn , mikrotik

Как настроить подключение к внешнему L2TP через маршрутизатор Mikrotik внутри сети?

Как определить причину блокировки трафика по проводной сети при подключении к удаленному офису по L2TP IPsec через микротик, особенно учитывая, что подключение через Wi-Fi работает внутри сети?

9 января 2024 г. 6:08

Ответы на вопрос 2

Похожие вопросы

Answer 1

Настройка подключения к внешнему L2TP/IPsec VPN серверу через маршрутизатор MikroTik внутри локальной сети включает следующие шаги:

1. Включить IPsec.
2. Создать новое L2TP клиентское подключение.
3. Настроить правила маршрутизации и фаервол, если это необходимо.

Вот шаги для настройки подключения:

**Шаг 1: Включение IPsec**

- Зайдите в систему через Winbox или WebFig.
- Перейдите в "IP" > "IPsec" > "Proposals".
- Добавьте новый предложением (proposal) или отредактируйте существующее для соответствия параметрам безопасности, используемым удаленным сервером.

**Шаг 2: Создание L2TP клиентского подключения**

- Перейдите в "Interfaces" и добавьте новый L2TP клиент через кнопку "+":
- Выберите "L2TP Client".
- Введите данные удаленного сервера, имя пользователя и пароль.
- Убедитесь, что опция "Use IPsec" выбрана и введите правильный PSK (Pre-Shared Key), если он используется.

**Шаг 3: Настройка маршрутизации и фаервол**

- Добавьте необходимые маршруты для трафика, идущего через VPN, если они не добавляются автоматически.
- Отредактируйте правила фаервола, чтобы разрешить трафик L2TP (UDP порты 500, 1701, и 4500 должны быть открыты) и IPsec (протоколы ESP и AH).

Если подключение по проводу не работает, но через Wi-Fi работает, это указывает на возможные причины блокировки трафика:

1. **Неправильные настройки фаервола** - если фаервол настроен отлично по разным интерфейсам (разные правила для Wi-Fi и Ethernet), это может быть причиной.

2. **Наличие VLAN** - возможно, что трафик Ethernet проходит через VLAN, где не разрешен VPN трафик.

3. **Проблемы с NAT** - настройки NAT могут различаться для проводных и беспроводных интерфейсов, проверьте, нет ли исключений или ошибок.

4. **MTU/MSS клампинг** - иногда несоответствие MTU/MSS может прерывать соединение через проводное подключение, в то время как через Wi-Fi это не происходит из-за различий в обработке фрагментации пакетов.

5. **Порты и протоколы** - убедитесь, что необходимые порты и протоколы открыты и транслируются корректно для проводного подключения.

6. **Отключите конфликтующие службы** - иногда на MikroTik может быть включен другой сервер VPN (например, SSTP, OpenVPN), который может конфликтовать с L2TP/IPsec.

Чтобы диагностировать причину блокировки трафика:

- Проверьте журналы (`Log`) маршрутизатора MikroTik на наличие сообщений, связанных с IPsec и L2TP.
- Используйте инструменты `Ping`, `Traceroute` в MikroTik для проверки доступности удаленного VPN сервера с проводного подключения.
- Анализируйте правила фаервола (`Firewall`) на предмет

Answer 2

Пробовал добавлять правило input accept udp 1701 500 4500 -ни как не влияет, что удивительно роутер подключен к этому же микротику и почему на нем все работает с ноута, втыкаешь кабель ничего не работает.