VPN na Mikrotiku problem z RDP

Hej, mam Mikrotika jako brzegowy router, i serwer VPN za nim stoi Windows Server.
VPN L2TP z kluczem IPSEC, chce się łączyć przez vpn do firmy, konfiguruje połączenie na Windows 10, i działa bez zarzutu, loguje się na serwer przez zdalny pulpit, ale nie mam wtedy internetu na tym laptopie, więc odznaczam w ustawieniach vpn (na laptopie) “użyj domyślnej bramy w sieci zdalnej” i połącznie VPN zestawia mi się , mam wtedy internet na laptopie ale z kolei zdalny pulpit nie chce się połączyć

Dodam że jeśli robie takie połączenie VPN między mikrotikami klient-serwer to działa ale jak chce klienta skonfigurować na windowsie, to tak jak pisałem powyżej albo połączy się z pulpitem ale nie ma neta, albo net jest ale z pulpitem nie łączy.

Gdzie robię błąd w konfiguracji… ktoś może miał podobny problem…

Najprościej naprawisz sytuację włączając opcje Allow Remote Requests w konfigu DNS. Wtedy jednak proponowałbym dodać odpowiednią regułę w firewallu, aby nie zachęcać botnetów do ataków z internetu na port DNS twojego mikrotika.

Niestety włączenie opcji Allow Remote Requests nie przyniosło efektu, dalej taka sama sytuacja :frowning:

Adresy przy połączeniu VPN dostajesz z tej samej czy innej puli niż podstawowe adresy DHCP?

Aktualnie innej, ale próbowałem ustawić w tej samej puli co podstawowe i bez zmian.

Spróbuj w takim razie dopisać adres routera w polu DNS w ustawieniach profilu PPP lub gdy nie pomoże dodaj trasę statyczną. Dla połączeń vpn ustaw osobną pulę adresów z innej podsieci niż DHCP. W polu dodawania trasy jako cel podaj podstawowy adres podsieci na jakiej działa mikrotik, a jako gateway dla tego połączenia adres lokalny mikrotika określony w profilu PPP.

Problemem jest to, że brama domyślna przez VPN ma niższą metrykę. Wyłączając domyślną bramę zdalną, możesz nie mieć trasy do sieci zdalnej.

Trasę możesz wypchać w konfiguracji VPN albo przejść na IPSec, który do takich rzeczy najlepiej się sprawdza i daje Ci najwięcej możliwości.

Sytuacja stała się zaskakująca, VPN jaki skonfigurowałem na Mikrotiku to L2TP + klucz IPSEC,
Usunąłem z konfiguracji MT klucz IPSEC i o dziwo internet zaczął działać, oczywiście przechodząc przez sieć po stronie serwera (vpn) , na speedtest pokazuje mi adres ip po stronie serwera.
Więc pomyślałem że jak odznaczę "użyj domyślnej bramy w sieci zdalnej” to zacznie działać i mój internet i zdalny pulpit ale wtedy standardowo przestaje działać możliwość logowania się na zdalny pulpit windowsa. Dziwne to, tym bardziej że jestem przekonany że kilka lat temu konfigurowałem takie mikrotika i wszystko chodziło bezbłędnie… ktoś kiedyś mi powiedział że MT ma to do siebie że może mieć ten sam sprzęt, ta sama wersje oprogramowania, a mimo to jeden i drugi niekoniecznie będą działały ustawienia tak samo (chociaż nie wiem czy to prawdopodobne czy legenda)

Trasę możesz wypchać w konfiguracji VPN albo przejść na IPSec, który do takich rzeczy najlepiej się sprawdza i daje Ci najwięcej możliwości.

to MT ma możliwość konfiguracji IPSec niezależnego i da się zestawić połączenie klient(windows) serwer (mikrotik) sam IPSec ? myślałem ze L2TP + IPsec.

Zastanawia mnie też sens VPN’a w przypadku gdy robimy połączenie pomiędzy dwoma routerami MT wtedy chyba najlepiej zestawić eoip i nie ma problemów z niczym, poza tym przez eoip vlan też przepuści a przez vpn już nie.

To legenda. Mam przynajmniej 50 różnych Mikrotikow pod opieką i wszystkie działają tak jak się od nich oczekuje. Jedyny problem jaki może wystąpić, to bug w RouterOS. Zdarza się, dlatego na krytycznych Mikrotikach mam soft z linii long term - bez zmian funkcjonalności,tylko łatki bezpieczeństwa.

Co do L2TP jak pisałem, brama domyślna ma niższą metrykę, gdy ją wyłączasz, nie masz trasy do zdalnej sieci. Ruch zawsze idzie przez VPN, bo taką politykę przyjmuje IPSec. Dlatego goły IPSec jest lepszy. iPSec przesyła ruch tylko do zdalnej sieci.

Pomiędzy dwoma MT zestaw IPSec L2L.