L2TP+Routes

denvil · May 30, 2016, 12:13 PM

Добрый день, господа.
Нужна помощь следующего рода:
Установил на удаленный ESXi PfSense 2.3.1-RELEASE-p1 (amd64), прописал белый статический адрес на интерфейс em0, (в инет ходит прекрасно). На em1 прописал 192.168.1.1/24, настроил DHCP (виртуальные машины адреса получают, наружу ходят). Установил L2TP по мануалю. Клиент (Mikrotik) подключается. но сеть за PfSense не пингуется и не видится.
Прописал такие вот правила в:

firewall l2tp

Rules (Drag to Change Order)
States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
		0/238 KiB
IPv4 ICMP	*	*	*	*	*	none	 		    
		0/202.32 MiB
IPv4 TCP	*	*	*	*	*	none

firewall WAN

Rules (Drag to Change Order)
States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
		0/12 KiB
IPv4 UDP	*	*	*	500 (ISAKMP)	*	none	 		    
		1/214.24 MiB
IPv4 UDP	*	*	*	1701 (L2TP)	*	none	 		    
		3/5.87 MiB
IPv4 TCP	*	*	*	80 (HTTP)	*	none	 		    
		0/0 B
IPv4 GRE	*	*	*	*	*	none	 		    
		1/28 KiB
IPv4 ICMP	*	*	*	*	*	none	 		    
		0/124 B
IPv4 TCP	*	*	192.168.1.11	3389 (MS RDP)	*	none

firewall floating

		States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
	 	0/1.02 MiB
IPv4 TCP	LAN net	*	192.168.33.0/24	*	*	none

Подскажите пожалуйста куда копать.

P.S. на микротике маршрут до 192.168.33.0/24 есть. Где прописать маршрут на PfSense не пойму. Ругается на шлюз. Но как сделать шлюз для l2tp тоже не могу понять.

werter · May 30, 2016, 12:26 PM

https://forum.pfsense.org/index.php?topic=72424.0 , https://www.youtube.com/watch?v=kkLOj1ILbwE , http://gavioli.net/ipsec-vpn-pfsense-2-1mikrotik-routeros/

http://forummikrotik.ru/viewtopic.php?t=4370

denvil · May 30, 2016, 12:37 PM

Вот только очень бы хотелось обойтись без IPSec

werter · May 30, 2016, 12:57 PM

Почему ?

pigbrother · May 30, 2016, 4:06 PM

P.S. на микротике маршрут до 192.168.33.0/24 есть. Где прописать маршрут на PfSense не пойму. Ругается на шлюз. Но как сделать шлюз для l2tp тоже не могу понять.

Маршрут добавлен вручную или появляется автоматически?
NAT (Masquerade) на Микротике в 192.168.33.0/24 на интерфейсе L2TP-out создан?

denvil · May 31, 2016, 4:46 AM

@werter:

Почему ?

Потому что нет возможности использовать static ip с обоих сторон :(

NAT (Masquerade) на Микротике в 192.168.33.0/24 на интерфейсе L2TP-out создан?

А вот это зачем? При создании l2tp (микрот сервер) ни разу таким не страдал. :)

pigbrother · May 31, 2016, 6:31 AM

При создании l2tp (микрот сервер) ни разу таким не страдал.
У меня Микротик поднимает L2TP с Керио. Со стороны Керио не могут\не хотят создать маршруты в сеть за Микротиком, приходится NATить.

smils · May 31, 2016, 11:10 PM

@denvil:

Потому что нет возможности использовать static ip с обоих сторон :(

Для второго хоста зарегистрируйте имя на opendns.
Вполне рабочее решение, проблем не было.

на мой взгляд IPSec для site-to-site VPN самый удобный вариант. зачем же отказываться.

denvil · Jun 6, 2016, 4:45 AM

@smils:

@denvil:

Потому что нет возможности использовать static ip с обоих сторон :(

Для второго хоста зарегистрируйте имя на opendns.
Вполне рабочее решение, проблем не было.

на мой взгляд IPSec для site-to-site VPN самый удобный вариант. зачем же отказываться.

Тут еще есть момент такой: микрот довольно таки слабый 951 без аппаратного шифрования, и канал 20 мб/сек убьет его проц.