classic.ISPforum.cz

Ahoj,

rozchodil jsem vzdáleného klienta připojeného pomocí l2tp+IPSEC. Vidím aktivní připojení, dostal IP adresu ze stejného dhcp poolu jako počítače na vnitřní síti, nicméně vzdálený klient nepingne na žádný z počítačů a naopak.
Pro interface "Ethernet" jsem nastavil místo arp-enabled proxy-arp, ale beze změny.

Ještě mě zaráží, že i když vidím u vzdáleného klienta přiřazenou adresu 192.168.10.180 tak tuto adresu nevidím v leases daného dhcp serveru.

Nemáte někdo tip, kam se podívat a sáhnout?

A pingne si kleint aspoň na IPčko toho RBčka, co dáváš na jeho konec tunelu?
Hledal bych prvně firewall a co v něm máš, tím se to dá dost poprznit.
Jinak IPčko přidělenéí na tunel neuvidíš v leases u DHCP serveru, rpotože DHCP server ji nepřidělil, tu si přidělila PPP vrstva, ale mělo by být vidět pod /ip pool used.

RB má přiřazený 192.168.10.1 a na to remote klientem pingnu.
Ve firewallu mám pro vpn povolené UDP 500,1701,4500.

Ve firewallu by měl být povolen v input také protokol 51 (ipsec-esp), který se uplatní pokud mezi klientem a serverem není v cestě NAT.
Dále ve firewallu ve forward musí být povolen forward mezi tou 192.168.10.180 a 192.168.1.0/24 obousměrně (případně obecně mezi all-ppp a lan), jinak se to chová jak popisuješ.
Potom je vhodné si zkontrolovat, že to proxy-arp funguje, či-li když dám někde z LAN ping na 192.168.10.180, tak pak když se hned podívám do ARP tabulky na tom kompu (pod wokny arp -a), tka musím vidět pro 192.168.10.180 najitou MAC adresu stejnou jakou MAC adresu má to RBčko (asi 192.168.10.1).
Doporučuji se tomu proxy arp u ROSu vyhnout a dát tka na VPN klienty třeba 192.168.11., protože proxy arp je v provedneí ROSu až moc žravé a strhává na sebe někdy i lokální komunikaci, na kteoru by šahat neměl a úspěšně to občas naboří něco v LAN.

Tak chyběl mi ten obousměrný forwarding. Už to jede. Díky moc za radu.
Jak bude víc času, tak zkusím nahradit ten proxy-arp, ale tam bych poprosil o větší popostrčení. S mikrotikem vice-méně začínám. Dík, za pochopení.