Problemi con L2tp

[rootbeer]

Buongiorno a tutti ragazzi...
Come anticipato, ho messo in piedi una semplice L2tp senza Ipsec tra un mio cliente ed il mio ufficio....il tunnel sta su senza problemi, ma riesco a vedere le lan da entrambe le parti.....i due router non sono i principali, sono entrambi dietro due router Telecom....
La cosa strana è che per un giorno circa tutto ha funzionato, improvvisamente ha smesso e non c'e verso di riuscire...
Dalla winbox (sia lato client che server) con il ping raggiungo sia router che lan....

Ho impostato correttamente le rotte statiche da entrambe le parti ma la domanda è: devo inserire un Nat src masquerade in uscita dalla L2tp out???

Ho letto che dovrei inserire nel firewall di entrambi i router a monte di tutto un Nat src accept con sorgente e destinazione le rispettive lan...


Queste le rotte, e i due gateway L2TP
Rotta client/server: /ip route
add distance=1 dst-address=192.168.150.0/24 gateway=10.10.100.10


Rotta server/client: add distance=1 dst-address=10.10.150.0/24 gateway=10.10.100.20

Senza masquerade in uscita sulla L2tp, ma solo con rotte statiche,ha funzionato per un pò poi piu niente...

Mi sapete per favore dire cosa mi perdo???

[radiation]

Devi scelgiere se lavorare con il NAT oppure senza. Se lavori via NAT devi mettere i masquerade delle subnet, se invece lavori con le rotte non devi creare alcun masquerade.

[rootbeer]

I due router mikrotik non sono i principali, sono entrambi dietro due router Telecom...ho provato sia a fare il masquerade della lan sia quella del tunnel e non funziona,nonostante abbia impostato le rotte statiche...se uso solo le rotte senza masquerade sulla lan e sulla l2tp non funziona lo stesso...

[radiation]

Dietro i router Telecom ok, ma chi fa routing sulla LAN? Mikrotik o Telecom ?

[rootbeer]

I mikrotik fanno il routing...sul Telecom lato server ho aperto le porte per la l2tp verso la wan del mimrotik server...infatti dal milrotik client pingo sia la wan che la lan e viceversa...ma da entrambi i lati le lan non si vedono...ho letto che qualcuno ha risolto senza mascherare il tunnel ma impostando un src accept sulle lan...una sorta di nat nullo insomma e ha funzionato...ma non capisco....Una volta impostate le rotte dovrebbero essere i mk stessi a girare i pacchetti sulle lan in automatico..o sbaglio

[radiation]

No non sbagli. Probabilmente forse hai sbagliato i GW?
Io stesso ho svariate decine di tunnel sia nattati che routati

[rootbeer]

No..non sbaglio GW anche perchè le rotte sono reachable ed attive....

Ma in sostanza il masquerade in uscita sull'interfaccia L2tp serve o non serve quando il Mk è dietro il router del gestore???..Credo di si perchè non è il router principale giusto??....e comunque anche con il masquerade sullinterfaccia L2tp non funziona...

[rootbeer]

Ho provato anche a fare un tracert in con interfaccia uscita la eth1 cioè la wan dal mio mk server verso una macchina lato client.....sembra che vengano effettuati 5/6 hops dopo di che va in timeout, ma l'ultimo ip non è il pubblico statico Telecom del mio cliente......sembra che si perdi per la strada.....non capisco proprio...

Se effettuo il tracert con interfaccia uscita la l2tp, il tunnel rimane in piedi perfettamente.....

[radiation]

No..non sbaglio GW anche perchè le rotte sono reachable ed attive....

Non discuto, ma se anzichè usare il local usi il remote......(o viceversa, dipende da che lato sei).

Ma in sostanza il masquerade in uscita sull'interfaccia L2tp serve o non serve quando il Mk è dietro il router del gestore???..Credo di si perchè non è il router principale giusto??....e comunque anche con il masquerade sullinterfaccia L2tp non funziona...

Se il Mikrotik è il router della LAN allora puoi scegliere se lavorare dietro NAT (quindi con masquerade) oppure zenza NAT direttamente con le route.
Per farla breve il modem del provider cosa fa?
Che porte hai aperto sul modem? (non puoi mettere Mikortik in DMZ o fargli fare direttamente la PPPoE?)

[rootbeer]

Non discuto, ma se anzichè usare il local usi il remote......(o viceversa, dipende da che lato sei).

Ma se inverto, la rotta diventa unreachable...i GW son giusti.....io lato client utilizzo un src masquerade solo in uscita sulla wan.....

Perciò sulla L2tp out non è presente nessun masquerade......

Per farla breve il modem del provider cosa fa?
Che porte hai aperto sul modem?

Sul modem Telecom ho inoltrato le porte verso il MK server, quelle per la pptp, la l2tp, la sstp e il gre.....
Il tunnel infatti è salito da subito.....non riesco a far vedere le lan....e non capisco cosa manca......