Witam,
Potrzebuję wsparcia w zakresie połączenia dwóch mikrotików, jako serwer (biuro) i klienta (dom) VPN L2TP, mam już trudniejszą połowę
Jeśli potrzeba przygotuję rysunek sieci, dla mnie graficzny zapis jest bardziej zrozumiały.
Stan obecny:
BIURO:
1. normalna, podstawowa sieć LAN z WLAN mikrotiku hAPac2,
2. serwer VPN L2TP z publicznym adresem z DDNS,
3. serwer NAS QNAP wpięty w sieć i widoczny po SMB w LAN i VPN,
4. do serwera VPN łaczy się NAS Synology z domu,
5. do serwera łączę się z telefonu lub laptopa z każdego miejsca.
DOM:
1. NAS Synology ma wbudowanego klienta L2TP i łączy się do biura do mikrotika,
2. komputery znajdujące się w domu muszą łączyć się (każdy indywidualnie po VPNie do biura).
Problem:
Będąc w domu, niemożliwe jest połączenie się kilku klientów do VPN z tego samego publicznego IP (a NAS2 jest na stałe podpięty VPNem).
Ten problem gdzieś ktoś opisał, nie znalazłem na niego rozwiązania, efekt jest taki że ciągle rozłącza pozostałch klientów VPN.
Chciałbym wszystko uprościć i wymyśliłem że skoro nie mam statycznego, publicznego IP w DOMu (nie mogę zrobić tunelu), to wstawię tam mikrotika jako klienta VPN, wtedy wszyscy połączeni do routera będą w VPN.
Warunek:
1. Wyjście na świat z domu musi być bez VPNa (czyli nie przez sieć biuro)
2. Komputery muszą się widzieć po IP w jedną i w drugą stronę (czyli komputery w domu i biurze mają wiedzieć np. NASa po jego IP),
3. Dom nie ma publicznego, stałego IP
Wykonałem już sporą część:
Konfiguracja routera BIURO hAPac2: (działa, jeśli łączę się klientami np. telefon czy komputer)
Konfiguracja routera DOM hAP lite:
Taka konfiguracja routera DOM działa, ale po konkretnych krokach:
Po restarcie rotuera, muszę odłączyć i podłączyć ponownie wtyczki RJ... dlaczego?
Nie wiem dlaczego tak to się zachowuje, może powinienem od nowa ustawić router DOM ale nie wiem gdzie jest błąd.
Potrzebuję wsparcia w zakresie połączenia dwóch mikrotików, jako serwer (biuro) i klienta (dom) VPN L2TP, mam już trudniejszą połowę
Jeśli potrzeba przygotuję rysunek sieci, dla mnie graficzny zapis jest bardziej zrozumiały.
Stan obecny:
BIURO:
1. normalna, podstawowa sieć LAN z WLAN mikrotiku hAPac2,
2. serwer VPN L2TP z publicznym adresem z DDNS,
3. serwer NAS QNAP wpięty w sieć i widoczny po SMB w LAN i VPN,
4. do serwera VPN łaczy się NAS Synology z domu,
5. do serwera łączę się z telefonu lub laptopa z każdego miejsca.
DOM:
1. NAS Synology ma wbudowanego klienta L2TP i łączy się do biura do mikrotika,
2. komputery znajdujące się w domu muszą łączyć się (każdy indywidualnie po VPNie do biura).
Problem:
Będąc w domu, niemożliwe jest połączenie się kilku klientów do VPN z tego samego publicznego IP (a NAS2 jest na stałe podpięty VPNem).
Ten problem gdzieś ktoś opisał, nie znalazłem na niego rozwiązania, efekt jest taki że ciągle rozłącza pozostałch klientów VPN.
Chciałbym wszystko uprościć i wymyśliłem że skoro nie mam statycznego, publicznego IP w DOMu (nie mogę zrobić tunelu), to wstawię tam mikrotika jako klienta VPN, wtedy wszyscy połączeni do routera będą w VPN.
Warunek:
1. Wyjście na świat z domu musi być bez VPNa (czyli nie przez sieć biuro)
2. Komputery muszą się widzieć po IP w jedną i w drugą stronę (czyli komputery w domu i biurze mają wiedzieć np. NASa po jego IP),
3. Dom nie ma publicznego, stałego IP
Wykonałem już sporą część:
Konfiguracja routera BIURO hAPac2: (działa, jeśli łączę się klientami np. telefon czy komputer)
Spoiler:
/system clock
set time-zone-name=Europe/Warsaw
# ---------------------SERVICES---------------
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
# ----------------BASE CONFIG----------------
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp
/interface bridge
add name=bridge1 protocol-mode=none
/ip pool
add name=lan ranges=192.168.1.100-192.168.1.254
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/ip dhcp-server
add address-pool=lan disabled=no interface=bridge1 name=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
# -----------------PPPoE-NETIA--------------------
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=netia password=\
################# profile=default-encryption use-peer-dns=yes user=\
#################
/ip firewall nat
add action=masquerade chain=srcnat out-interface=netia
add chain=srcnat action=masquerade src-address=192.168.1.0/24 dst-address=!192.168.1.1 log=no log-prefix=""
add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=443 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=443 log=no log-prefix=""
# dostęp do Mikrotik
add chain=dstnat action=dst-nat to-addresses=192.168.1.1 to-ports=8291 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=8291 log=no log-prefix=""
# dostęp do ftps NAS z WANu
/ip firewall nat
add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=999 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=999 log=no log-prefix=""
add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=1025 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=1025 log=no log-prefix=""
add chain=dstnat action=dst-nat to-addresses=192.168.1.50 to-ports=1026 protocol=tcp dst-address=!192.168.1.1 dst-address-type=local dst-port=1026 log=no log-prefix=""
# ----------------DHCP static------------
/ip dhcp-server lease
add address=192.168.1.50 client-id=1:24:5e:be:1:46:54 mac-address=\
24:5E:BE:01:46:54 server=dhcp1
/interface detect-internet
set detect-interface-list=all
# -----------------VPN--------------------
/ppp secret
add local-address=10.2.0.1 name=################ password=################ profile=\
default-encryption remote-address=10.2.0.2 service=l2tp
add local-address=10.2.0.1 name=################ password=################ profile=\
default-encryption remote-address=10.2.0.3 service=l2tp
add local-address=10.2.0.1 name=################ password=################ profile=\
default-encryption remote-address=10.2.0.4 service=l2tp
add local-address=10.2.0.1 name=################ password=################ profile=\
default-encryption remote-address=10.2.0.5 service=l2tp
add local-address=10.2.0.1 name=################ password=################ profile=\
default-encryption remote-address=10.2.0.6 service=l2tp
add local-address=10.2.0.1 name=################ password=################ profile=\
default-encryption remote-address=10.2.0.7 service=l2tp
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=mikrotikvpn max-mru=1480 \
max-mtu=1480 use-ipsec=yes
# -----------------WLAN-----------------
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk disable-pmkid=yes eap-methods="" \
management-protection=allowed mode=dynamic-keys name=wlan_dom \
supplicant-identity="" wpa-pre-shared-key=################ \
wpa2-pre-shared-key=################
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=\
wlan1-profile supplicant-identity=MikroTik wpa-pre-shared-key=\
################ wpa2-pre-shared-key=################
################ wpa2-pre-shared-key=################
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=6 country=poland disabled=no \
frequency=auto installation=indoor mode=ap-bridge security-profile=\
wlan1-profile ssid=MikroTik
set [ find default-name=wlan2 ] antenna-gain=6 disabled=no mode=ap-bridge \
security-profile=wlan_dom ssid="MikroTik 5G"
# ---------------FIREWALL----------------
# dla VPNów ( na samą górę
/ip firewall filter
add action=accept chain=input dst-port=1701 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input dst-port=500 protocol=udp
# pozostałe
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward in-interface=bridge1 out-interface=ether1 src-address=192.168.1.0/24
add action=drop chain=forward disabled=yes
add action=accept chain=output
add action=accept chain=input connection-state=established,related
add action=accept chain=input icmp-options=8:0 protocol=icmp
add action=accept chain=input icmp-options=3:4 protocol=icmp
add action=drop chain=input disabled=yes
-----------------LOG-----------------------
/system logging action
set 0 memory-lines=2000
set 3 remote=192.168.1.50
Konfiguracja routera DOM hAP lite:
Spoiler:
/system clock
set time-zone-name=Europe/Warsaw
# ----------------BASE CONFIG----------------
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp
/interface bridge
add name=bridge1 protocol-mode=none
/ip pool
add name=lan ranges=192.168.200.100-192.168.200.254
/ip address
add address=192.168.200.1/24 interface=bridge1 network=192.168.200.0
/interface bridge port
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether2
/interface l2tp-client
add allow=mschap2 connect-to=###########.myqnapcloud.com disabled=no \
ipsec-secret=########### name=l2tp-out1 password=############### use-ipsec=\
yes user=xxxxxxxxxxxxx
/ip dhcp-server
add address-pool=lan disabled=no interface=bridge1 name=server1
/ip dhcp-server network
add address=192.168.200.0/24 gateway=192.168.200.1
# klient (bo włączam do innego routera)
/ip dhcp-client
add disabled=no interface=ether1
# bez ustawienia DNS, nie miałem dostępu do internetu
/ip dns
set servers=1.1.1.1
# ---------------FIREWALL----------------
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward in-interface=bridge1 out-interface=ether1 \
src-address=192.168.200.0/24
add action=drop chain=forward disabled=yes
add action=accept chain=output
add action=accept chain=input connection-state=established,related
add action=accept chain=input icmp-options=8:0 protocol=icmp
add action=accept chain=input icmp-options=3:4 protocol=icmp
add action=drop chain=input disabled=yes
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes \
src-address=192.168.200.100-192.168.200.254
/ip firewall nat
add action=masquerade chain=srcnat out-interface=l2tp-out1
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 gateway=l2tp-out1 routing-mark=vpn
Taka konfiguracja routera DOM działa, ale po konkretnych krokach:
Po restarcie rotuera, muszę odłączyć i podłączyć ponownie wtyczki RJ... dlaczego?
Nie wiem dlaczego tak to się zachowuje, może powinienem od nowa ustawić router DOM ale nie wiem gdzie jest błąd.
