L2TP+Routes
-
Добрый день, господа.
Нужна помощь следующего рода:
Установил на удаленный ESXi PfSense 2.3.1-RELEASE-p1 (amd64), прописал белый статический адрес на интерфейс em0, (в инет ходит прекрасно). На em1 прописал 192.168.1.1/24, настроил DHCP (виртуальные машины адреса получают, наружу ходят). Установил L2TP по мануалю. Клиент (Mikrotik) подключается. но сеть за PfSense не пингуется и не видится.
Прописал такие вот правила в:firewall l2tp
Rules (Drag to Change Order) States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions 0/238 KiB IPv4 ICMP * * * * * none 0/202.32 MiB IPv4 TCP * * * * * none
firewall WAN
Rules (Drag to Change Order) States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions 0/12 KiB IPv4 UDP * * * 500 (ISAKMP) * none 1/214.24 MiB IPv4 UDP * * * 1701 (L2TP) * none 3/5.87 MiB IPv4 TCP * * * 80 (HTTP) * none 0/0 B IPv4 GRE * * * * * none 1/28 KiB IPv4 ICMP * * * * * none 0/124 B IPv4 TCP * * 192.168.1.11 3389 (MS RDP) * none
firewall floating
States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions 0/1.02 MiB IPv4 TCP LAN net * 192.168.33.0/24 * * none
Подскажите пожалуйста куда копать.
P.S. на микротике маршрут до 192.168.33.0/24 есть. Где прописать маршрут на PfSense не пойму. Ругается на шлюз. Но как сделать шлюз для l2tp тоже не могу понять.
-
https://forum.pfsense.org/index.php?topic=72424.0 , https://www.youtube.com/watch?v=kkLOj1ILbwE , http://gavioli.net/ipsec-vpn-pfsense-2-1mikrotik-routeros/
http://forummikrotik.ru/viewtopic.php?t=4370
-
Вот только очень бы хотелось обойтись без IPSec
-
Почему ?
-
P.S. на микротике маршрут до 192.168.33.0/24 есть. Где прописать маршрут на PfSense не пойму. Ругается на шлюз. Но как сделать шлюз для l2tp тоже не могу понять.
Маршрут добавлен вручную или появляется автоматически?
NAT (Masquerade) на Микротике в 192.168.33.0/24 на интерфейсе L2TP-out создан? -
Почему ?
Потому что нет возможности использовать static ip с обоих сторон :(
NAT (Masquerade) на Микротике в 192.168.33.0/24 на интерфейсе L2TP-out создан?
А вот это зачем? При создании l2tp (микрот сервер) ни разу таким не страдал. :)
-
При создании l2tp (микрот сервер) ни разу таким не страдал.
У меня Микротик поднимает L2TP с Керио. Со стороны Керио не могут\не хотят создать маршруты в сеть за Микротиком, приходится NATить. -
Потому что нет возможности использовать static ip с обоих сторон :(
Для второго хоста зарегистрируйте имя на opendns.
Вполне рабочее решение, проблем не было.на мой взгляд IPSec для site-to-site VPN самый удобный вариант. зачем же отказываться.
-
Потому что нет возможности использовать static ip с обоих сторон :(
Для второго хоста зарегистрируйте имя на opendns.
Вполне рабочее решение, проблем не было.на мой взгляд IPSec для site-to-site VPN самый удобный вариант. зачем же отказываться.
Тут еще есть момент такой: микрот довольно таки слабый 951 без аппаратного шифрования, и канал 20 мб/сек убьет его проц.