Witam,
posiadam router Mikrotik MT RB951G-2HnD (RouterOS 6.43.8).
Na routerze jest skonfigurowany serwer VPN - L2TP.
Generalnie wszystko działa dobrze, nie mam problemu z połączeniem się i z dostępem do urządzeń w sieci… z jednym wyjątkiem. Nie mogę dostać się do samego routera - zarówno przez WinBox jak i www.
Dostęp jest tylko z poziomu komputera, które działa w sieci lokalnej.

Poniżej zrzut ekranu z ustawieniem firewalla.
Ustawienia są domyślne. Dodałem jedynie wpisy “VPN L2TP” oraz “Block remote DNS requests from WAN”

1.png1078×611 30.3 KB

I NAT

2.png1078×205 8.78 KB

Będę wdzięczny za pomoc i wskazówki co zmienić, żebym mógł zalogować się do routera podczas połączenia VPN.

W IP services dodajesz adresy IP w polu avilable from? Jeśli tak, to musisz też podać podsiec VPN.

Nie dodawałem adresów IP w polu “avilable from” (a dodanie podsieci nic nie zmienia). Przy połączeniu VPN dostaje adres z tej samej podsieci, w której działają komputery w biurze.
Router ma adres IP: 192.168.9.1
Komputery w biurze dostają adres z puli 192.168.9.101 - 120
A przy połączeniu VPN dostaje adres z puli 192.168.9.121 - 125

Bardzo podobną konfigurację mam na MikroTiku RB2011UiAS-2HnD i działa bez problemu - mogę połączyć się i z hostami w sieci i z samym routerem.

Reguły masz zbyt ogólne, a to śmierdzi problemami. Odseparuj się do Interentu - dodaj in-interfejs. Nie wskazujesz interfejsu WAN i firewall działa Ci nawet w LAN.

Reguły do IPSec też masz kiepskie. Proponuję ustawić takie reguły (zakładam, że ether1 to WAN):

ip firewall filter
add chain-input action=drop in-interface=ether1 dst-port=53 protocol=udp
add chain=input action=accept protocol=icmp in-interface=ether1 limit=5,5 packet
add chain-input action=accept in-interface=ether1 dst-port=8291 protocol=tcp connection-state=new src-address-list=AllowRemoteAdmin
add chain-input action=accept in-interface=ether1 dst-port=22 protocol=tcp connection-state=new src-address-list=AllowRemoteAdmin
add chain-input action=accept in-interface=ether1 protocol=ipsec-esp
add chain-input action=accept in-interface=ether1 dst-port=500,1701,4500 protocol=udp
add chain-input action=accept in-interface=ether1 connection-state=established,related
add chain=input action=drop in-interface=ether1 connection-state=invalid
add chain=input action=drop in-interface=ether1
[TU WSTAWIASZ REGUŁY JEŚLI MASZ JAKIEŚ PRZEKIEROWANIA]
add chain=forward action=accept in-interface=ether1 connection-state=established,related
add chain=forward action=drop in-interface=ether1 connection-state=invalid
add chain=forward action=drop in-interface=ether1

To nie ma znaczenia, to jest osobna podsieć. Popraw reguły firewalla, bo na 99% blokują Ci dostęp. Utwórz sobie listę adresów AllowRemoteAdmin, na którą wrzucasz IPki, które będą miały zezwolenie na nawiązanie połączenia z MT przez Winbox lub SSH. Wersję webową wyłącz.