ARKIN: no jestli na obou stranach je verejna tak je to easy az primitivni.

/interface eoip
name="toPraha" mtu=1376 actual-mtu=1376 l2mtu=65535 mac-address=02:9C:02:7B:2B:FA arp=proxy-arp arp-timeout=auto loop-protect=default loop-protect-status=off 
      loop-protect-send-interval=5s loop-protect-disable-time=5m local-address=1.2.3.4 remote-address=4.3.2.1 tunnel-id=0 dscp=inherit clamp-tcp-mss=yes 
      dont-fragment=inherit allow-fast-path=yes 

/ip address
172.16.2.1/30      172.16.2.0      toPraha
/ip route
3 ADC  172.16.2.0/30      172.16.2.1      toPraha
5 A S  172.16.3.0/28      172.16.2.1      172.16.2.2
/ip ipsec peer
address=172.16.2.2/32 local-address=172.16.2.1 auth-method=pre-shared-key secret="strasne_slozite_heslo" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=ec2n185 lifetime=1d dpd-interval=2m dpd-maximum-failures=5 
/ip ipsec proposal
name="Brno-Praha" auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=10m pfs-group=ec2n185
/ip ipsec policy
src-address=172.16.2.1/32 src-port=any dst-address=172.16.2.2/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=no 
       proposal=Brno-Praha ph2-count=1

LEXXA: hele nevim.. se v tom zas tak neorientuju.. delal jsem to podle toho navodu - viz link nize..
PISTA1: tak to uz asi neporadim.. pamatuju si, ze sem se v tom par dni hrabal, nez mi to vsechno jelo..

ARKIN: tohle delas protoze klient nema verejnou ip nebo proc?
jinak mne se docela vyplatilo do gateway dat konkretni ip nez jmeno ifacu

ARKIN: nemám a nastavení nepomohlo

PISTA1: a mas u klienta: bridge> ARP: proxy-arp ?

bude to nějaký nastavení u klienta, protože když trasuju z kienta tak je to lokální brána - remote IP tunelu - IP zařízení
když to vezmu z druhý strany tak skončím na remote IP tunelu

PISTA1: Koukni jeste do toho navodu neco ohledne proxy arp.. Myslim, ze i v nastaveni bridge..

ARKIN: jo podle toho to mám taky jen sem měl jako lokal a remote IP bran sítí, tak sem to přehodil na ty IP mimo a stav je pořád stejnej, prostě mrcha neběží :(

PISTA1: https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Site-to-Site_L2TP

PISTA1: k nicemu dalsimu se to nevztahuje..
ja to taky rozsah lokalniho networku (jako 192.168. nebo 10.), bral jsem to podle navodu.. asi je tam pouzite toto aby se to moc s nicim nemlatilo..
je mozne, ze to jde nastavit i jinak..

ARKIN: ty adresy 172.16.1.x jsou čistě náhodný nebo se k něčemu vztahujou?

PISTA1:
nastavoval jsem to myslim podle navodu na mikrotik wiki..
sit na serveru mam 192.168.213.0 u klienta mam 192.168.214.0 (taky na natem)

na serveru mam PPP secret:
add local-address=172.16.1.1 name=XXX password=YYY profile=vpn remote-address=172.16.1.2 routes="192.168.214.0/24 172.16.1.2 1" service=l2tp

u klienta se pripojuju pres usera XXX (PPP interface) a mam jeste manualni routu:
IP routes:
add distance=1 dst-address=192.168.213.0/24 gateway=*VPN PPP interface*
jinam tam mysim nic zasadniho u klienta nastavovat nemusis..


jeste by te mohlo zajimat "add default route" na mikrotiku, nebo nejak use default gateway (schovany silene v nastaveni IPv4 na win) - to dela, ze vsechen traffic jde pres tu vpn.. coz muze byt zadouci treba na win (myslim, ze se bez toho nedostanu na tu 192.168.214.0), ale u toho mikrotik klienta to primarne nepotrebujes jestli nechces mit vsechen traffic pres ten server..

tak sem rozjel 750 jako klienta za natem spojení navázaný. Z klienta se dostanu do celý svojí sítě v pohodě, ale ale od sebe se dostanu jenom na klienta, dál do sítě ne :(

Nastavení sem na 750 překopíroval ze svýho, takže pravidla jsou identický.

jakou VPN?
ted varim z vody ale DSCP ti nepomuze?
das mu adresu napevno a pak podle toho udelas firewall pravidlo ze DSCP mark a dst !IP_kterou_mu_chces_povolit drop.
akorat pokud mas hererogenni sit je vzdy lepsi markovat od konce. myslim ze default pro windows je DSCP=1 a pro Linux DSCP=0 (nebo naopak)

Kdyz jsme u toho, jak by jste omezili cloveka pripojeneho na VPN aby mohl jen na urcitou IP/port do vnitrni site?
Jde mi o to ze muzu cloveku pripojenem na VPN dat na pevno IP , ale jak to filtrovat?

ARKIN: Dík, nastavil sem to podle tebe a běží to :D

Tak teď ještě nastavit pevný spojení s druhým mikrotikem, to snad za 14 dnů do vánoc zvládnu :D

PISTA1: auth sha1 a enc aes-128. jinak to andoid v nativnim klientovi nezvladne

PISTA1: taky jsem s tim finalnim nastavenim docela bojoval.. ale muj problem byl myslim spis s iphonem..

kazdpadne to mam nejak takhle a jde mi to ze vseho..

/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=vpn enabled=yes ipsec-secret=xxx keepalive-timeout=15 use-ipsec=yes

/ppp profile
add bridge=bridge-local change-tcp-mss=yes local-address=192.168.xx.xx name=vpn remote-address=vpn

/ppp secret
add name=aaa password=bbb profile=vpn service=l2tp

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc,3des

/ip ipsec peer
add address=0.0.0.0/0 dpd-maximum-failures=15 exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=xxx

Tak se mě podařilo rozchodit tunel l2tp+ipsec prozatím s bookem w10 jako klienta připojenýho přes mobil s wifi hotspotem. Nicméně když chci připojit přímo ten android tak skončím s chybou:
21:48:21 ipsec,error no suitable proposal found.
21:48:21 ipsec,error 192.168.2.145 failed to get valid proposal.
21:48:21 ipsec,error 192.168.2.145 failed to pre-process ph1 packet (side: 1, status 1).
21:48:21 ipsec,error 192.168.2.145 phase1 negotiation failed.

mám tam nastavený tohle, neví někdo co by mohlo bejt špatně? Dík

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 incoming-filter=rw-in local-address=\
192.168.2.254 name=VPN_profile remote-address=vpn_pool use-upnp=no \
wins-server=0.0.0.0
/ppp secret
add name=VPN password=xxx profile=VPN_profile service=l2tp

/ip ipsec policy group
add name=gr-VPN
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=1h name=prop-VPN \
pfs-group=modp4096
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1024 nat-traversal=no
add address=0.0.0.0/0 dh-group=modp2048 enc-algorithm=aes-256 exchange-mode=\
main-l2tp generate-policy=port-override passive=yes policy-template-group=\
gr-VPN secret=xxxx send-initial-contact=no
/ip ipsec policy
add group=gr-VPN proposal=prop-VPN template=yes

CHOROBA: nic neloguju ;-) (zatim..)
na ty RB133C3 je dost malo prostoru, rval jsem tam zatim pouze minimum veci. Ted si teprve zacnu vybirat sw kterej tam budu chtit (a tedy mozna nejaky rsyslogd)