L2TP+Routes

denvil

Добрый день, господа.
Нужна помощь следующего рода:
Установил на удаленный ESXi PfSense 2.3.1-RELEASE-p1 (amd64), прописал белый статический адрес на интерфейс em0, (в инет ходит прекрасно). На em1 прописал 192.168.1.1/24, настроил DHCP (виртуальные машины адреса получают, наружу ходят). Установил L2TP по мануалю. Клиент (Mikrotik) подключается. но сеть за PfSense не пингуется и не видится.
Прописал такие вот правила в:

firewall l2tp

Rules (Drag to Change Order)
States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
		0/238 KiB
IPv4 ICMP	*	*	*	*	*	none	 		    
		0/202.32 MiB
IPv4 TCP	*	*	*	*	*	none	 		    

firewall WAN

Rules (Drag to Change Order)
States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
		0/12 KiB
IPv4 UDP	*	*	*	500 (ISAKMP)	*	none	 		    
		1/214.24 MiB
IPv4 UDP	*	*	*	1701 (L2TP)	*	none	 		    
		3/5.87 MiB
IPv4 TCP	*	*	*	80 (HTTP)	*	none	 		    
		0/0 B
IPv4 GRE	*	*	*	*	*	none	 		    
		1/28 KiB
IPv4 ICMP	*	*	*	*	*	none	 		    
		0/124 B
IPv4 TCP	*	*	192.168.1.11	3389 (MS RDP)	*	none	

firewall floating

		States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
	 	0/1.02 MiB
IPv4 TCP	LAN net	*	192.168.33.0/24	*	*	none	 		     

Подскажите пожалуйста куда копать.

P.S. на микротике маршрут до 192.168.33.0/24 есть. Где прописать маршрут на PfSense не пойму. Ругается на шлюз. Но как сделать шлюз для l2tp тоже не могу понять.

werter

https://forum.pfsense.org/index.php?topic=72424.0 ,  https://www.youtube.com/watch?v=kkLOj1ILbwE , http://gavioli.net/ipsec-vpn-pfsense-2-1mikrotik-routeros/

http://forummikrotik.ru/viewtopic.php?t=4370

denvil

Вот только очень бы хотелось обойтись без IPSec

werter

Почему ?

pigbrother

P.S. на микротике маршрут до 192.168.33.0/24 есть. Где прописать маршрут на PfSense не пойму. Ругается на шлюз. Но как сделать шлюз для l2tp тоже не могу понять.

Маршрут  добавлен вручную или появляется автоматически?
NAT (Masquerade) на Микротике в 192.168.33.0/24 на интерфейсе L2TP-out создан?

denvil

@werter:

Почему ?

Потому что нет возможности использовать static ip с обоих сторон :(

NAT (Masquerade) на Микротике в 192.168.33.0/24 на интерфейсе L2TP-out создан?

А вот это зачем? При создании l2tp (микрот сервер) ни разу таким не страдал. :)

pigbrother

При создании l2tp (микрот сервер) ни разу таким не страдал.
У меня Микротик поднимает L2TP с Керио. Со стороны Керио не могут\не хотят создать маршруты в сеть за Микротиком, приходится NATить.

smils

@denvil:

Потому что нет возможности использовать static ip с обоих сторон :(

Для второго хоста зарегистрируйте имя на opendns.
Вполне рабочее решение, проблем не было.

на мой взгляд IPSec для site-to-site  VPN самый удобный вариант. зачем же отказываться.

denvil

@smils:

@denvil:

Потому что нет возможности использовать static ip с обоих сторон :(

Для второго хоста зарегистрируйте имя на opendns.
Вполне рабочее решение, проблем не было.

на мой взгляд IPSec для site-to-site  VPN самый удобный вариант. зачем же отказываться.

Тут еще есть момент такой: микрот довольно таки слабый 951 без аппаратного шифрования, и канал 20 мб/сек убьет его проц.