Kamik

Добрый вечер, имеем l2tp site-to-site с BCP бриджем. Нужно подключить на один из микротиков удаленного клиента Win10. Создал SSTP сервер по инструкции из вики. Включаю arp-proxy на локальном бридже. Через некоторое время на другом микротике, который подключен по l2tp, начинают теряться пакеты. выражается в обрывах rdp соединений с сервером который в локальной сети первого микротика.

ЦО /ip firewall nat p Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix="" филиал1 /ip firewall nat p Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade out-interface=pppoe-internet log=no log-prefix="" 1 I ;;; pppoe-sip not ready chain=srcnat action=masquerade out-interface=pppoe-sip log=no log-prefix="" pppoe-sip я пока отключил

прописал статику только в ЦО через интерфейс l2tp в филиал1 без анонсирования. регистрация восстановилась. если вкл. анонсирование - все валится

Я не что-запутался. итак в ЦО - стоит астериск, который должен регистрировать транки прова отправляя пакеты через филиал1. прописываю статичиский маршрут в филиале1 и вкл. анонс статики. в ЦО появляется маршрут. пингуется. но регистрация транка отваливается. сниффер говорит странные вещи: 1 0.000000 wan IP head office 217.0.23.100 SIP 502 Request: OPTIONS sip:+XXXXXXXXX@tel.t-online.de:5060 | Default 5060 2 0.000073 wan IP filial_1 217.0.23.100 SIP 504 Request: OPTIONS sip:+XXXXXXX@tel.t-online.de:5060 | Default 5060 3 0.033638 217.0.23.100 wan IP filial_1 SIP 439 Status: 403 Forbidden | Class Selector 6 5060 4 0.033698 217.0.23.100 wan IP head office SIP 437 Status: 403 Forbidden | Class Selector 6 5060 непонятно почему два пакета отправляются и еще и с внешним ип ЦО. там же по идее должен стоять локальный астериска? при этом астериск не видит ответа No response received from 'sip:tel.t-online.de:5060' срочно нужна помощь. SOS

ospf первый раз запускаю. правильно я делаю? Центральный офис [kamik@FREITAL] /ip address> p Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 172.16.0.1/24 172.16.0.0 bridge1 1 D Х.Х.Х.Х/24 Х.Х.Х.0 ether1-gateway 2 D 10.1.10.6/32 10.1.100.6 l2tp-in-VITAL 3 D 10.1.10.3/32 10.1.100.3 l2tp-in-PR-ER 4 D 10.1.10.4/32 10.1.100.4 l2tp-in-BL-DD 5 D 10.1.10.2/32 10.1.100.2 l2tp-in-PR-CH 6 D 10.1.10.1/32 10.1.100.1 l2tp-in-PR-DD 7 D 10.1.10.7/32 10.1.100.7 l2tp-in-slava 8 D 10.1.10.5/32 10.1.100.5 l2tp-in-BL-CH [kamik@FREITAL] /routing ospf area> p Flags: X - disabled, I - invalid, * - default # NAME AREA-ID TYPE DEFAULT-COST 0 * backbone 0.0.0.0 default 1 area0 172.16.0.0 default [kamik@FREITAL] /routing ospf network> p Flags: X - disabled, I - invalid # NETWORK AREA 0 172.16.0.0/24 area0 1 10.1.100.0/24 backbone филиал 1 [kamik@PARAMEDIX DD] > /ip address p Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 172.16.20.1/24 172.16.20.0 bridge1 1 D Х.Х.Х.Х/32 217.0.119.28 pppoe-sip 2 D Х.Х.Х.Х/32 217.0.119.64 pppoe-internet 3 D 10.1.100.1/32 10.1.10.1 l2tp-out-freital [kamik@PARAMEDIX DD] > /routing ospf area p Flags: X - disabled, I - invalid, * - default # NAME AREA-ID TYPE DEFAULT-COST 0 * backbone 0.0.0.0 default 1 area2 172.16.20.0 default [kamik@PARAMEDIX DD] > /routing ospf network p Flags: X - disabled, I - invalid # NETWORK AREA 0 10.1.10.1/32 backbone 1 172.16.20.0/24 area2 теперь я прописываю статику /ip route в центральном оффисе в сеть провайдера 217.0.0.0/16 - чтобы запросы на регистрацию транков шли через филиал1 - интерфейс l2tp-in-PR-DD. далее прописать в /ip route ту же самую сеть 217.0.0.0/16 в филиалах 1 и 2 тоже? анонс статических маршрутов включать только в филиалах 1 и 2?

Именно. Ибо пока решается вопрос с телефонией, стоят еще обычные рутеры от провайдера, а за ними микротики.в дальнейшем будет просто модем с pppoe.

Хм. Как? Телефоный сервер провайдера у всех филиалов один. Станция в центральном оффисе. Пример - Я отправляю пакет на регистрацию транка1 Филиала1 и транка2 Филиала2 к провайдеру (на один и тот же IP). как мне их статикой отправить в разные туннели? Телефоны регистрируются на станции в центральном оффисе. И транки филиалов там же.

это невозможно, к сожалению. Пинали его несколько месяцев

Господа, нужна помощь профи. Имеем 6 филиалов подключенных к центральному по l2tp+eoip. Провайдер жесток и роутит свои SIP сервера только для ИП из своей сети. Все филиалы имеют подключение к интернету через этого провайдера через VDSL и каждый филиал свои SIP транки. Но центральный офис, где стоит астериск - нет. В одном из филиалов есть два подключения по VDSL (N1-VDSL1 и N1-VDSL2), каждое по 50/10 Мбит (далее филиал N1). В центральном оффисе прописал маршрут для SIP-сети провайдера через l2tp филиала N1. Работает, но есть вопросы. 1. Как лучше засунуть весь телефонный трафик в N1-VDSL2, а остальное оставить в N1-VDSL1 (достаточно ли тут mangle или все таки надо поднимать VLAN). В данный момент связь с астериском реализована только в этом филиале, очереди приоритетов прописал на основании DSCP. Уверен, что при подключении остальных филиалов, канал N1-VDSL1 не справится. В связи с этим, возникает вопрос номер 2: 2. Реально ли распределить трафик так, чтобы телефонный трафик каждого филиала ходил через интернет этого же филиала? Вообще правильно ли я делаю или это все костыли :). Смену провайдера не предлагать.

хорошо. попробую. как раз новый филиал скоро подключать.

а с l2tp таже фигня. больше 10 Мбит не поднимается. непонятно почему. вот туннель. с одной стороны 100Мбит оптика, с другой ADSL 50/10 Мбит. между рутерами все вроде более менее. а вот между машинами в локалках - катастрофа. C:\Users\Kloos\Desktop\iperf-3.1.3-win32>iperf3.exe -fM -c 172.16.0.110 -R Connecting to host 172.16.0.110, port 5201 Reverse mode, remote host 172.16.0.110 is sending [ 4] local 172.16.15.106 port 51189 connected to 172.16.0.110 port 5201 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.00 sec 1.06 MBytes 1.06 MBytes/sec [ 4] 1.00-2.00 sec 1.22 MBytes 1.22 MBytes/sec [ 4] 2.00-3.00 sec 1.20 MBytes 1.19 MBytes/sec [ 4] 3.00-4.00 sec 1.22 MBytes 1.22 MBytes/sec [ 4] 4.00-5.00 sec 1.23 MBytes 1.23 MBytes/sec [ 4] 5.00-6.00 sec 1.21 MBytes 1.21 MBytes/sec [ 4] 6.00-7.00 sec 1.22 MBytes 1.22 MBytes/sec [ 4] 7.00-8.00 sec 1.22 MBytes 1.21 MBytes/sec [ 4] 8.00-9.00 sec 1.21 MBytes 1.22 MBytes/sec [ 4] 9.00-10.00 sec 1.22 MBytes 1.22 MBytes/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [ 4] 0.00-10.00 sec 12.2 MBytes 1.22 MBytes/sec sender [ 4] 0.00-10.00 sec 12.1 MBytes 1.21 MBytes/sec receiver iperf Done. C:\Users\Kloos\Desktop\iperf-3.1.3-win32>iperf3.exe -fM -c 172.16.0.110 Connecting to host 172.16.0.110, port 5201 [ 4] local 172.16.15.106 port 51191 connected to 172.16.0.110 port 5201 [ ID] Interval Transfer Bandwidth [ 4] 0.00-1.01 sec 756 KBytes 0.73 MBytes/sec [ 4] 1.01-2.00 sec 882 KBytes 0.87 MBytes/sec [ 4] 2.00-3.00 sec 882 KBytes 0.86 MBytes/sec [ 4] 3.00-4.00 sec 882 KBytes 0.86 MBytes/sec [ 4] 4.00-5.00 sec 819 KBytes 0.80 MBytes/sec [ 4] 5.00-6.00 sec 945 KBytes 0.92 MBytes/sec [ 4] 6.00-7.00 sec 882 KBytes 0.86 MBytes/sec [ 4] 7.00-8.00 sec 882 KBytes 0.86 MBytes/sec [ 4] 8.00-9.00 sec 882 KBytes 0.86 MBytes/sec [ 4] 9.00-10.00 sec 882 KBytes 0.86 MBytes/sec - - - - - - - - - - - - - - - - - - - - - - - - - [ ID] Interval Transfer Bandwidth [ 4] 0.00-10.00 sec 8.49 MBytes 0.85 MBytes/sec sender [ 4] 0.00-10.00 sec 8.48 MBytes 0.85 MBytes/sec receiver iperf Done. /tool> bandwidth-test direction=both duration=20 tcp-connecti on-count=5 172.16.0.1 status: done testing duration: 21s tx-current: 5.9Mbps tx-10-second-average: 6.7Mbps tx-total-average: 6.8Mbps rx-current: 42.9Mbps rx-10-second-average: 42.9Mbps rx-total-average: 34.9Mbps lost-packets: 375 random-data: no direction: both tx-size: 1500 rx-size: 1500

SUrov_IBM, огромное спасибо за развернутый ответ!

Спасибо, все таки проблема была с MTU. Увеличение на eoip туннеле до 1500 решило проблему.

так надо было закрыть форум и повесить объявление, чтобы все шли к вендору вообще-то это для l2tp как я выше написал - независимо от того, есть клиент или нету, сути проблемы не меняет. тем более, что в конфиге рабочего рутера стоит udp.просто попробуйте сделать eoip over l2tp и открыть http://ip-lookup.net/.

вот простейшая кофигурация, после сброса рутера точно такая же проблема. Может профи покажут рабочую конфу с eoip over l2tp? # jan/02/1970 00:20:56 by RouterOS 6.34.3 # software id = 8PMD-3ELB # /interface bridge add name=bridge1 /interface eoip add !keepalive mac-address=02:AD:69:37:F2:63 name=eoip-tunnel1 \ remote-address=10.1.10.55 tunnel-id=0 /ip pool add name=dhcp ranges=192.168.0.2-192.168.0.200 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge1 name=dhcp1 /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether6 add bridge=bridge1 interface=ether7 add bridge=bridge1 interface=ether8 add bridge=bridge1 interface=ether9 add bridge=bridge1 interface=ether10 add bridge=bridge1 interface=ether11 add bridge=bridge1 interface=ether12 add bridge=bridge1 interface=ether13 add bridge=bridge1 interface=eoip-tunnel1 /interface l2tp-server server set enabled=yes /ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 use-peer-dns=\ no /ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24 /ip dns set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 /ppp secret add local-address=10.1.100.55 name=ppp1 remote-address=10.1.10.55 service=\ l2tp /system routerboard settings set protected-routerboot=disabled

ну, да, я тут просто клиента тестового подцепил, чтобы не ломать на рабочем рутере. должно быть add address=172.16.0.0/16 gateway=172.16.11.1 ether1 - за натом, получает ИП через DHCP Flags: X - disabled, I - invalid # INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS 0 ether1 yes yes bound 192.168.1.66/24 DHCP запросы между сетями блокируются фильтром в бридже. /interface bridge filter add action=drop chain=forward comment=\ "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=tcp \ mac-protocol=ip если клиента вообще отключить, то есть туннели не активны на головном, то проблема все равно существует. то есть клиент вообще не играет роли.

Это был намек, что прежде чем настраивать, стоило бы поинтересоваться структурой обработки трафика. Терминирующий ip-адрес должен находится на верхней l2-структуре - bridge2, а не на подчиненном ему интерфейсе ether2. /ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 172.16.0.1/16 172.16.0.0 bridge1 ну так тоже, собственно, проблема остается

в сети будет два AD, RDS и общие каталоги.Не, ну в принципе можно и через роутинг, но думал, если есть фича, почему бы не использовать. Толщины канала хватает в принципе для броадкаста. Ну а каких тогда случаях eoip необходим?

почему разные? все находятся в 172.16.0.0/16 без какого адреса? если имеется ввиду мак, то он становится таким же как и у eoip туннеля, после добавления его в бридж.

пробовал 1300 ставить, не помогло. Пинги то проходят, а вот полностью сайт не подгружает.

Между двумя микротиками тунель l2tp, поверх eoip Как только добавляю туннель в локальный бридж, то некоторые сайты не открываются или открываются частично. Некоторые вполне нормально работают. Например, amazon.com частично, http://ip-lookup.net/ - вообще не открывается, таймаут. даже если отключить туннели l2tp и eoip на клиенте, проблема на сервере остается. На клиенте проблема такая же. Стоит только отключить eoip тунель в бридже, все сразу нормализуется. Как локализовать проблему? конфиг срвера # sep/14/2016 21:25:26 by RouterOS 6.36.3 # software id = MLKT-C9C4 # /interface bridge add name=bridge1 /interface ethernet set [ find default-name=ether1 ] name=ether1-gateway /interface eoip add !keepalive mac-address=00:00:5E:80:00:0D name=Slava-eoip-tunnel \ remote-address=10.1.100.7 tunnel-id=7 /ip neighbor discovery set ether1-gateway discover=no set ether3 discover=no set ether4 discover=no set ether5 discover=no set ether6 discover=no set ether7 discover=no set ether8 discover=no set ether9 discover=no set ether10 discover=no set ether11 discover=no set ether12 discover=no /ip pool add name=dhcp ranges=172.16.0.151-172.16.0.254 /interface bridge filter add action=drop chain=forward comment=\ "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=udp \ mac-protocol=ip /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether6 add bridge=bridge1 interface=ether7 add bridge=bridge1 interface=ether8 add bridge=bridge1 interface=ether9 add bridge=bridge1 interface=ether10 add bridge=bridge1 interface=ether11 add bridge=bridge1 interface=ether12 add bridge=bridge1 interface=Slava-eoip-tunnel /interface l2tp-server server set authentication=mschap2 enabled=yes /ip address add address=172.16.0.1/16 interface=ether2 network=172.16.0.0 /ip cloud set ddns-enabled=yes /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1-gateway \ use-peer-dns=no use-peer-ntp=no /ip dhcp-server config set store-leases-disk=1d /ip dhcp-server network add address=172.16.0.0/16 dns-server=172.16.0.100,172.16.0.110 gateway=\ 172.16.0.1 netmask=16 /ip dns set servers=8.8.8.8,8.8.4.4,4.2.2.2 /ip firewall address-list add address=172.16.0.0/16 list=safe /ip firewall filter add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\ udp add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=\ tcp add action=drop chain=input comment="drop invalid connections" \ connection-state=invalid add action=accept chain=input comment="allow related connections" \ connection-state=related add action=accept chain=input comment="allow established connections" \ connection-state=established add action=accept chain=input comment="Allow ICMP Ping" protocol=icmp add action=accept chain=input comment="Allow WinBox safe hosts" \ connection-state=new dst-port=8291 protocol=tcp src-address-list=safe add action=accept chain=input comment="Allow L2TP Tunnels" dst-port=1701 \ protocol=udp src-address-list="my gateways" add action=accept chain=input in-interface=!ether1-gateway add action=drop chain=input comment="drop everything else" /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway add action=dst-nat chain=dstnat disabled=yes dst-port=5900 protocol=tcp \ to-addresses=172.16.0.250 to-ports=5900 /ip service set telnet disabled=yes set ftp disabled=yes set ssh address=172.16.0.0/16 set api disabled=yes set api-ssl disabled=yes /ppp secret add local-address=10.1.10.7 name=slava password=xxxxxxx remote-address=\ 10.1.100.7 service=l2tp клиент /interface bridge add name=bridge2 /interface l2tp-client add connect-to=XXXXXXX disabled=no mrru=1600 name=l2tp-out1 password=\ XXXXXXXXX user=slava /interface eoip add !keepalive mac-address=00:00:5E:80:00:0E name=eoip-tunnel1 \ remote-address=10.1.10.7 tunnel-id=7 /ip pool add name=dhcp ranges=172.16.11.3-172.16.11.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge2 name=dhcp1 /interface bridge filter add action=drop chain=forward comment=\ "Drop all DHCP requests over EoIP bridge" dst-port=67 ip-protocol=tcp \ mac-protocol=ip /interface bridge port add bridge=bridge2 interface=ether2 add bridge=bridge2 interface=ether3 add bridge=bridge2 interface=ether4 add bridge=bridge2 interface=ether5 add bridge=bridge2 interface=wlan1 add bridge=bridge2 interface=wlan2 add bridge=bridge2 disabled=yes interface=ether1 add bridge=bridge2 interface=eoip-tunnel1 /ip address add address=172.16.11.1/16 interface=ether2 network=172.16.0.0 /ip cloud set ddns-enabled=yes /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server network add address=172.16.11.0/32 gateway=172.16.11.1 netmask=16 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

я думаю add dst-address=217.0.23.100 gateway=10.1.100.4 ? так проходит через туннель, если с микротика. с сети внутренней трасерт на 217.0.23.100 не проходит. 1 <1 ms <1 ms <1 ms 172.16.0.1 2 * * * Request timed out. 172.16.0.1 - это ИП микротика в головном. а сип сервер-то у всех филиалов один :) получается могу только через один филиал гонять телефонный траффик всех 6ти? или можно как то разделить?

/interface l2tp-client> print Flags: X - disabled, R - running 0 R name="l2tp-to-main-branch" max-mtu=1450 max-mru=1450 mrru=1600 connect-to=X.X.X.X user="BL-DD" password="xxx" profile=default-encryption keepalive-timeout=30 use-ipsec=no ipsec-secret="" allow-fast-path=no add-default-route=no dial-on-demand=no allow=mschap2 /ip address> print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 172.16.15.1/16 172.16.0.0 ether2 1 D 192.168.100.53/24 192.168.100.0 ether1-wan 2 D 10.1.100.4/32 10.1.10.4 l2tp-to-main-branch SIP Server - tel.t-online.de Микротик в филиале в данный момент за натом. Если будет работать Voip тогда вместо первого рутера будет стоять просто VDSL-Modem и сам микротик будет подключаться через PPPoe

Товарищи, нужна помощь. Имеем 6 филиалов с микротиками, у каждого свой транк с телефонными номерами от провайдера. Провайдер позволяет регистрировать номера только в своей сети. (с других сетей их сип-сервер не роутится) В головном офисе (микротик) есть астерикс, на который нужно зарегистрировать все номера с филиалов. Как это сделать? VPN? Можно объяснить как, для тех кто на бронепоезде? :)