Связь двух подсетей по L2TP
 

Добрый день. Имеется два маршрутизатора в интернете, за каждым есть локальная сеть. Хочется чтобы компьютеры этих подсетей видели друг друга.

Маршрутизаторы:
1 Mikrotik ccr1016-12g L2TP сервер - подсеть 192.168.0.0/22, L2TP адресс 192.168.250.1
маршрут до удаленной сети 10.20.30.0/24 -> 192.168.250.5

2 Win2008r2 + Kerio Control 7.2.1 L2TP клиент - подсеть 10.20.30.0/24, L2TP адресс 192.168.250.5
маршут до удаленной сети 192.168.0.0/22 -> 192.168.250.1
маршруты прописывал как средствами windows так и средствами kerio
В windows в свойстваз подкючения убраны все лишние протоколы кроме ipv4 и снята галка заварачивать маршрут по умолчанию в vpn.

VPN подключение настраивал как с IPSec так и без него, от безысходности уже, в любом случае маршрутизаторы видят друг друга пинги проходят по адресам 192.160.250.x

Маршрутизатор 2 видит всю подсеть 192.168.0.0/22 и может производить подключения.
Маршрутизатор 1 видит только ip 192.168.250.5 не видит даже другие интерфейсы маршрутизатора 2, при этом в анализаторе трафика пакеты из подсети 10.20.30.0/24 всеже показывает.
Фаерволы настроены на максимальную открытость, в керио vpn интерфейс заведен вмгруппу доверенных подключений а также созданы специальные разрешающие правила. На mikrotik блокируется лишний трафик приходящий только с wan интерфейса.

На аналогичных настройках в 3-ей посети используется также другой микротик и все работает как часы.
Собственно я не могу понять в чем затык l2tp в windows без nat не может полноценно работать?
Я даже включил опцию ip forwarding на маршрутизаторе 2 что не дало результата.

Еще странная особенность была замечена, на микротик приходят такие подключения по каналу l2tp типа src.addr 10.20.30.1 dst.addr %mikrotik_wan_addr%

не очень поняла схему, а особо понятия "клиент и сервер" при Site-to-Site VPN.
в общем я бы сделала так:
Mikrotik <--L2TP Site-to-Site> RRAS, а сверху керио на это. RRAS без NAT'а не помешает работать Керио (предполагаю), а у керио будет просто ещё один интерфейс, на которй нужно нарисовать политики доступа.

Если такой вариант не работает - то зайти с другой стороны, а именно найти документацию от керио, как там делается Site-to-site VPN и поднять его с микротиком.

ну и самый правильный способ - избавиться от связки 2k8r2+kerio и заменить это либо керио аппаленсом (чистый IPsec), либо TMG, либо любым аппаратным роутером (поднимать IPsec умеют все не СОХО железки, и почти все СОХО при кастомной прошивке), либо pfSense\Monowall\ClearOS\etc.

Спасибо за направление, да нужно именно L2TP Site-to-site(STS,S2S) подключение.

В идеале хотелось бы создать множество перекресных подключений и по OSFP выстраивать маршрутизацию, этакая отказоустойчивая P2P VPN сеть, но это ковыряние уже позже когда заработают хотябы простые линки.

Заменить все на железные микротики в планах но не везде это целесообразно и хотелосьбы иметь универсальное решение.

Роль Службы маршрутизации и удаленного доступа не настроена поскольку конфликтует с Kerio.
Маршрутизатор 2 не находится в домене.

Насколько я понимаю некоторые политики 2-го маршрутизатора запрещают пересылать пакеты далее из L2TP подключения в локальную сеть, в какую сторону копать?

универсальное решение - это аппаратные маршрутизаторы, по крайней мере IPSec вы поднимите всегда.
OSPF на виндовс - это АД и Израиль, а у про керио лучше и не думать.
Плюс, некоторые вендоры имеют свои решения-аналоги цискогово DMVPN (это как раз то, что вы хотите, но без OSPF).
даже если в RRAS не использовать мастер, а только вручную сделать роутинг?
в ваейршарк, если очень хочется заморачиваться именно так.
но начать нужно с организации Site-to-Site, а не client-to-site.

Да конечно я прописывал маршруты как через route add так и через kerio, пакеты не уходят дальше 192.168.250.5.

Нашел обновление, не уверен что оно в моем случае поможет но попробую поставить.
http://support.microsoft.com/kb/980674/ru

Каким образом я могу настроить подключение STS без маршрутизации и удаленного доступа и под Kerio?

Также я еще не пробовал настраивать PPTP, он мне видится менее производительным и защищенным.

я не знаю точно умеет ли ваша версия IPsec, по-моему нет, IPsec стал доступен с версии 8.0
причём тут маршруты? если вы верно настроили RRAS то ничего никуда прописывать не нужно!
согласно гугла RRAS (без NAT) + KWF дружат.
относительно производительности вам видится плохо.
относительно защищённости - вопрос для большого обсуждения, но, в целом, если конкретно вашу компанию специально никто не атакует - это тоже "плохо видится".
но безотносительно ваших "видений" разницы между PPTP и L2TP в данном случае нет.

Спасибо, поднял l2tp через RRAS , думал что kerio и rras не дружат между сабой. И всеже данная реализация видится мне неско кособокой, планирую заменять это дело на железный микротик.

С чего лучше начинать изучать динамическую маршрутизацию с RIP? Прочитал несколько статей но всеже остается боязнь что все пойдет не так как задумывалось и сетка упадет.

Вот тут я обсуждал поднятие туннелей и OSPF. В MT OSPF настраивается в несколько кликов. Много мануалов в сети.

По идее всё просто. Есть туннель. Нет маршрутов. Железки на обеих сторонах о чём-то договариваются, через этот туннель, и строят маршруты. Трафик пошёл. В принципе если не заработает - просто не будет маршрутов. Ну или вы можете накосячить с объявлением областей и сетей и маршруты построятся кривовато, но это всё видно в логах и в таблице маршрутизации.