Ahoj,
rozchodil jsem vzdáleného klienta připojeného pomocí l2tp+IPSEC. Vidím aktivní připojení, dostal IP adresu ze stejného dhcp poolu jako počítače na vnitřní síti, nicméně vzdálený klient nepingne na žádný z počítačů a naopak.
Pro interface "Ethernet" jsem nastavil místo arp-enabled proxy-arp, ale beze změny.
Ještě mě zaráží, že i když vidím u vzdáleného klienta přiřazenou adresu 192.168.10.180 tak tuto adresu nevidím v leases daného dhcp serveru.
Nemáte někdo tip, kam se podívat a sáhnout?
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
l2tp+IPSEC vzdálený klient nevidí lokální síť
A pingne si kleint aspoň na IPčko toho RBčka, co dáváš na jeho konec tunelu?
Hledal bych prvně firewall a co v něm máš, tím se to dá dost poprznit.
Jinak IPčko přidělenéí na tunel neuvidíš v leases u DHCP serveru, rpotože DHCP server ji nepřidělil, tu si přidělila PPP vrstva, ale mělo by být vidět pod /ip pool used.
Hledal bych prvně firewall a co v něm máš, tím se to dá dost poprznit.
Jinak IPčko přidělenéí na tunel neuvidíš v leases u DHCP serveru, rpotože DHCP server ji nepřidělil, tu si přidělila PPP vrstva, ale mělo by být vidět pod /ip pool used.
0 x
RB má přiřazený 192.168.10.1 a na to remote klientem pingnu.
Ve firewallu mám pro vpn povolené UDP 500,1701,4500.
Ve firewallu mám pro vpn povolené UDP 500,1701,4500.
0 x
Ve firewallu by měl být povolen v input také protokol 51 (ipsec-esp), který se uplatní pokud mezi klientem a serverem není v cestě NAT.
Dále ve firewallu ve forward musí být povolen forward mezi tou 192.168.10.180 a 192.168.1.0/24 obousměrně (případně obecně mezi all-ppp a lan), jinak se to chová jak popisuješ.
Potom je vhodné si zkontrolovat, že to proxy-arp funguje, či-li když dám někde z LAN ping na 192.168.10.180, tak pak když se hned podívám do ARP tabulky na tom kompu (pod wokny arp -a), tka musím vidět pro 192.168.10.180 najitou MAC adresu stejnou jakou MAC adresu má to RBčko (asi 192.168.10.1).
Doporučuji se tomu proxy arp u ROSu vyhnout a dát tka na VPN klienty třeba 192.168.11., protože proxy arp je v provedneí ROSu až moc žravé a strhává na sebe někdy i lokální komunikaci, na kteoru by šahat neměl a úspěšně to občas naboří něco v LAN.
Dále ve firewallu ve forward musí být povolen forward mezi tou 192.168.10.180 a 192.168.1.0/24 obousměrně (případně obecně mezi all-ppp a lan), jinak se to chová jak popisuješ.
Potom je vhodné si zkontrolovat, že to proxy-arp funguje, či-li když dám někde z LAN ping na 192.168.10.180, tak pak když se hned podívám do ARP tabulky na tom kompu (pod wokny arp -a), tka musím vidět pro 192.168.10.180 najitou MAC adresu stejnou jakou MAC adresu má to RBčko (asi 192.168.10.1).
Doporučuji se tomu proxy arp u ROSu vyhnout a dát tka na VPN klienty třeba 192.168.11., protože proxy arp je v provedneí ROSu až moc žravé a strhává na sebe někdy i lokální komunikaci, na kteoru by šahat neměl a úspěšně to občas naboří něco v LAN.
0 x
Tak chyběl mi ten obousměrný forwarding. Už to jede. Díky moc za radu.
Jak bude víc času, tak zkusím nahradit ten proxy-arp, ale tam bych poprosil o větší popostrčení. S mikrotikem vice-méně začínám. Dík, za pochopení.
Jak bude víc času, tak zkusím nahradit ten proxy-arp, ale tam bych poprosil o větší popostrčení. S mikrotikem vice-méně začínám. Dík, za pochopení.
0 x