L2TP+Routes



  • Добрый день, господа.
    Нужна помощь следующего рода:
    Установил на удаленный ESXi PfSense 2.3.1-RELEASE-p1 (amd64), прописал белый статический адрес на интерфейс em0, (в инет ходит прекрасно). На em1 прописал 192.168.1.1/24, настроил DHCP (виртуальные машины адреса получают, наружу ходят). Установил L2TP по мануалю. Клиент (Mikrotik) подключается. но сеть за PfSense не пингуется и не видится.
    Прописал такие вот правила в:

    firewall l2tp

    Rules (Drag to Change Order)
    States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
    		0/238 KiB
    IPv4 ICMP	*	*	*	*	*	none	 		    
    		0/202.32 MiB
    IPv4 TCP	*	*	*	*	*	none	 		    
    

    firewall WAN

    Rules (Drag to Change Order)
    States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
    		0/12 KiB
    IPv4 UDP	*	*	*	500 (ISAKMP)	*	none	 		    
    		1/214.24 MiB
    IPv4 UDP	*	*	*	1701 (L2TP)	*	none	 		    
    		3/5.87 MiB
    IPv4 TCP	*	*	*	80 (HTTP)	*	none	 		    
    		0/0 B
    IPv4 GRE	*	*	*	*	*	none	 		    
    		1/28 KiB
    IPv4 ICMP	*	*	*	*	*	none	 		    
    		0/124 B
    IPv4 TCP	*	*	192.168.1.11	3389 (MS RDP)	*	none	
    

    firewall floating

    		States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
    	 	0/1.02 MiB
    IPv4 TCP	LAN net	*	192.168.33.0/24	*	*	none	 		     
    

    Подскажите пожалуйста куда копать.

    P.S. на микротике маршрут до 192.168.33.0/24 есть. Где прописать маршрут на PfSense не пойму. Ругается на шлюз. Но как сделать шлюз для l2tp тоже не могу понять.





  • Вот только очень бы хотелось обойтись без IPSec



  • Почему ?



  • P.S. на микротике маршрут до 192.168.33.0/24 есть. Где прописать маршрут на PfSense не пойму. Ругается на шлюз. Но как сделать шлюз для l2tp тоже не могу понять.

    Маршрут  добавлен вручную или появляется автоматически?
    NAT (Masquerade) на Микротике в 192.168.33.0/24 на интерфейсе L2TP-out создан?



  • @werter:

    Почему ?

    Потому что нет возможности использовать static ip с обоих сторон :(

    NAT (Masquerade) на Микротике в 192.168.33.0/24 на интерфейсе L2TP-out создан?

    А вот это зачем? При создании l2tp (микрот сервер) ни разу таким не страдал. :)



  • При создании l2tp (микрот сервер) ни разу таким не страдал.
    У меня Микротик поднимает L2TP с Керио. Со стороны Керио не могут\не хотят создать маршруты в сеть за Микротиком, приходится NATить.



  • @denvil:

    Потому что нет возможности использовать static ip с обоих сторон :(

    Для второго хоста зарегистрируйте имя на opendns.
    Вполне рабочее решение, проблем не было.

    на мой взгляд IPSec для site-to-site  VPN самый удобный вариант. зачем же отказываться.



  • @smils:

    @denvil:

    Потому что нет возможности использовать static ip с обоих сторон :(

    Для второго хоста зарегистрируйте имя на opendns.
    Вполне рабочее решение, проблем не было.

    на мой взгляд IPSec для site-to-site  VPN самый удобный вариант. зачем же отказываться.

    Тут еще есть момент такой: микрот довольно таки слабый 951 без аппаратного шифрования, и канал 20 мб/сек убьет его проц.


Log in to reply