Jump to content
Калькуляторы

Пинги от PPTP клиента к удаленной сети

Уважаемые форумчане, здравсвуйте.

 

Так ка микротик для меня пока не очень понятен, то прошу помочь разобраться в маршрутизации.

 

Итак:

1. Есть 2 микротика, между ними поднят IPSEC тоннель.

Пакеты между офисами ходят, все ок.

 

2. На роутере в центральном офисе поднят PPTP сервер, настроены фиксированые адреса подключаемым пользователям.

 

3. Проблема в том, что с клиента PPTP до сервера PPTP и в его подсети 172.16.10.0/24 все ходит в оба направления.

Между клиентами PPTP все ок. А вот как настроить маршрктизацию между удаленным офисом и PPTP клиентами пока не вкурю никак...

 

Документация перерыл, мозги уже не варят.

 

Заранее благодарю за помощь.

post-127174-075270300 1429816402_thumb.jpg

Share this post


Link to post
Share on other sites

Трассировку от клиента до .100.1 и таблицу маршрутизации с удаленного роутера покажите.

Share this post


Link to post
Share on other sites

Скорей всего на удаленном офисе на тоннель стоит маршрут до сети 172.16.10.0/24, махните на 172.16.0.0/16 например.

Share this post


Link to post
Share on other sites

1. Есть 2 микротика, между ними поднят IPSEC тоннель.

 

А это зачем сделали?

 

Вам нужно сбросить конфигурации, настроить на одном устройстве L2TP сервер, на втором клиента, включить OSPF, в каждом офисе установить разные сети. Все заработает.

 

Не забудьте правила НАТ настроить по IP адресам своей офисной сети без указания выходного интерфейса, туда же добавить исключение, что для трафика по серым адресам его делать не надо.

Share this post


Link to post
Share on other sites

1. Есть 2 микротика, между ними поднят IPSEC тоннель.

 

А это зачем сделали?

 

Вам нужно сбросить конфигурации, настроить на одном устройстве L2TP сервер, на втором клиента, включить OSPF, в каждом офисе установить разные сети. Все заработает.

 

Не забудьте правила НАТ настроить по IP адресам своей офисной сети без указания выходного интерфейса, туда же добавить исключение, что для трафика по серым адресам его делать не надо.

 

Мне кажется что IPSEC является достаточно зашищенным видом соединения корпоративных подсетей, но попробую и ваш вариант.

 

А можно ли вас попросить в деталях оъяснить OSPF и Покажите плз пример правил NAT.

 

Спасибо.

Share this post


Link to post
Share on other sites

Мне кажется что IPSEC является достаточно зашищенным видом соединения корпоративных подсетей, но попробую и ваш вариант.

 

Этот вариант устаревший, при этом никакого IPSEC туннеля не существует, это просто механизм шифрования, который работает поверх другого туннеля. Если используете микротики, не нужно на них делать схемы с циски или других дорогих железок, все настраивается совсем по другому.

 

А можно ли вас попросить в деталях оъяснить OSPF и Покажите плз пример правил NAT.

 

Вот так, сеть 192.168.0.0/24 используется у вас в качестве локальной, если запросы идут на всю серую сети вида 192.168.0.0/16, то нат не делается, на другие сети он сработает.

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24 dst-address=!192.168.0.0/16

 

На втором маршрутизаторе просто меняете 192.168.0.0/24 на другую сеть, или вообще не заморачиваетесь и указываете сразу 192.168.0.0/16, тогда везде будет одно и то же правило.

 

OSPF включается вот так:

 

/routing ospf network
add area=backbone network=192.168.0.0/16

 

После этого он сам найдет все интерфейсы из этой сети и установит обмен маршрутами. Поэтому адреса туннелей нужно сделать вида 192.168.100.1 у сервера и 192.168.100.2 у клиента, так же можно подключить сколько угодно клиентов, повесив в каждом свою уникальную сеть. Галочку у туннеля Use Default Gateway ставить не надо.

Share this post


Link to post
Share on other sites

Что я сделал и что получилось...

 

В основном офисе локальная подсеть 172.16.10.0/24

В удаленном офисе подсеть 192.168.100.0/24, и это изменить нельзя.

 

Для ВПН я использовал подсеть 172.16.254.0/24

Для основного маршрутизатора установил в свойствах подключения IP 172.16.254.1, для удаленного маршрутизатора (клиент L2TP) указал 172.16.254.3

Линк сразу поднялся.

 

На основном маршрутизаторе выполнил команды

/routing ospf network

add area=backbone network=172.16.0.0/16

add area=backbone network=192.168.0.0/16

 

 

На удаленном маршрутизаторе выполнил команды

/routing ospf network

add area=backbone network=172.16.0.0/16

add area=backbone network=192.168.0.0/16

 

 

Выполнил на обоих маршрутизаторах следующие команды:

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

 

Пинги пошли в оба направления. Все ок.

 

Saab95, Спасибо вам за ваш профессионализм и отзывчивость!!!

Edited by sysadminus

Share this post


Link to post
Share on other sites

Всплыла одна проблема...

 

С windows сервера со статическим Ip 172.16.10.4 не идут пинги в удаленную подсеть 192.168.100.0/24.

Пробовал добавлять статический маршрут, указывал маршрута через ip 172.16.10.1, 172.16.254.1, 172.16.254.3, но ничего не помогло.

 

В чем ошибка, куда смотреть?

Share this post


Link to post
Share on other sites

Saab95, Спасибо вам за ваш профессионализм и отзывчивость!!!

Ну вот, еще один адепт Сааба :( Хотя с другой стороны, если человек не понимает того, что он делает, может так и надо?

Share this post


Link to post
Share on other sites

Всплыла одна проблема...

 

С windows сервера со статическим Ip 172.16.10.4 не идут пинги в удаленную подсеть 192.168.100.0/24.

Пробовал добавлять статический маршрут, указывал маршрута через ip 172.16.10.1, 172.16.254.1, 172.16.254.3, но ничего не помогло.

 

Возьмите ноутбук или другой компьютер, установите на нем этот адрес и посмотрите как работает. Если все ок, проблема в компьютере. Возможно файрвол блокирует чужую сеть.

 

У микротика есть торч, открываете свойства интерфейса pptp на первом микротике, откуда идут пинги, жмете старт, ставите все галочки, если трафика идет много, выбираете в пункте что смотреть только icmp траффик. Запускаете пинг с проблемного компьютера и смотрите, идут ли данные на дальнюю сторону и есть ли ответы. Это видно по столбикам rx и tx. Если в одну сторону не идет, то открываете этот туннель на дальнем микротике и смотрите, приходят ли туда данные и идут ли ответы. Так же можно смотреть и по интерфейсам.

 

Ну вот, еще один адепт Сааба :( Хотя с другой стороны, если человек не понимает того, что он делает, может так и надо?

 

Это микротик, не нужно вдаваться в знания сетевых технологий и читать книги по OSPF, когда нужно сделать простую задачу.

Share this post


Link to post
Share on other sites

Оказалось, что вся хосты из подсети основного офиса(172.16.10.0/24) не имеют доступа в удаленную подсеть 192.168.100.0/24.

При этом с микротика (172.16.10.1) из основного офиса в эту подсеть (192.168.100.0/24) доступ есть.

 

 

Скрины с маршрутами во вложении.

 

Дело в маршрутах? ЧТо смотреть?

post-127174-038824700 1430154037_thumb.jpg

post-127174-062373400 1430154045_thumb.jpg

Edited by sysadminus

Share this post


Link to post
Share on other sites

На что смотреть?

На лишний и неправильный nat:

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

Это уберите, вам нужно только одно правило трансляции:

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway

Share this post


Link to post
Share on other sites

На лишний и неправильный nat:

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

Это уберите, вам нужно только одно правило трансляции:

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway

 

Надо убрать только лишнее правило у не своего микротика, по выходному интерфейсу нат не делают.

Share this post


Link to post
Share on other sites

Надо убрать только лишнее правило у не своего микротика, по выходному интерфейсу нат не делают.

Это почему же? Компания Cisco с вами не согласна:

ip nat inside source route-map nat interface <name> overload

и то, что в случае ТС не указан пул адресов для ната ничего особо не меняет.

Share this post


Link to post
Share on other sites

Господа, я крайне признателен вам за помощь, но в вашем споре я только запутался...

 

Давайте для начала определимся с именованием маршрутизаторов.

1. Основной офис - сервер L2TP = МАРШРУТИЗАТОР-1

2. Удаленный офис - клиент L2TP = МАРШРУТИЗАТОР-2

 

Был бы вам крайне признателен за более схематичные ответы.

 

К прмеру:

 

На маршрутизаторе-1 удалить следующие правила, и.т.д.

Добавить правила: и.т.д.

 

На маршрутизаторе-2 удалить следующие правила, и.т.д.

Добавить правила: и.т.д.

 

Спасибо вам за понимание и терпение.

------------------------------------------------------

 

На текущий момент я удалил на обоих девайсах правила:

 

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

 

Маршрутизация между офисами не заработала.

При этом с удаленного PPTP клиента все хосты в обеих подсетях пингуются на ура.

--------------------------------------------------------------------------------------

 

На текущий момент правила на маршрутизаторе-1

[admin@gwmow.xxx.ru] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; RDP to Moscow Server

chain=dstnat action=netmap to-addresses=172.16.10.4 to-ports=3389 protocol=tcp in-interface=ether1-gateway dst-port=5004 log=yes

log-prefix=""

 

1 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 

 

На текущий момент правила на маршрутизаторе-2

[admin@MikroTik] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 

 

Что мне дальше делать?

Заранее спасибо вам!!!

Edited by sysadminus

Share this post


Link to post
Share on other sites

sysadminus

Поговори с народом, может поможет кто. Ты чужими мозгами пользуешься и запутался совсем.

Edited by SOs

Share this post


Link to post
Share on other sites

Это микротик, не нужно вдаваться в знания сетевых технологий и читать книги

Это пять. это просто пять

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this