Jump to content

Пинги от PPTP клиента к удаленной сети

sysadminus

By sysadminus
in Mikrotik Wireless

 Share

Recommended Posts

sysadminus

sysadminus

Posted
Posted

Уважаемые форумчане, здравсвуйте.

 

Так ка микротик для меня пока не очень понятен, то прошу помочь разобраться в маршрутизации.

 

Итак:

1. Есть 2 микротика, между ними поднят IPSEC тоннель.

Пакеты между офисами ходят, все ок.

 

2. На роутере в центральном офисе поднят PPTP сервер, настроены фиксированые адреса подключаемым пользователям.

 

3. Проблема в том, что с клиента PPTP до сервера PPTP и в его подсети 172.16.10.0/24 все ходит в оба направления.

Между клиентами PPTP все ок. А вот как настроить маршрктизацию между удаленным офисом и PPTP клиентами пока не вкурю никак...

 

Документация перерыл, мозги уже не варят.

 

Заранее благодарю за помощь.

post-127174-075270300 1429816402_thumb.jpg

Saab95

Saab95

Posted
Posted

1. Есть 2 микротика, между ними поднят IPSEC тоннель.

 

А это зачем сделали?

 

Вам нужно сбросить конфигурации, настроить на одном устройстве L2TP сервер, на втором клиента, включить OSPF, в каждом офисе установить разные сети. Все заработает.

 

Не забудьте правила НАТ настроить по IP адресам своей офисной сети без указания выходного интерфейса, туда же добавить исключение, что для трафика по серым адресам его делать не надо.

sysadminus

sysadminus

Posted
  • Author
Posted

1. Есть 2 микротика, между ними поднят IPSEC тоннель.

 

А это зачем сделали?

 

Вам нужно сбросить конфигурации, настроить на одном устройстве L2TP сервер, на втором клиента, включить OSPF, в каждом офисе установить разные сети. Все заработает.

 

Не забудьте правила НАТ настроить по IP адресам своей офисной сети без указания выходного интерфейса, туда же добавить исключение, что для трафика по серым адресам его делать не надо.

 

Мне кажется что IPSEC является достаточно зашищенным видом соединения корпоративных подсетей, но попробую и ваш вариант.

 

А можно ли вас попросить в деталях оъяснить OSPF и Покажите плз пример правил NAT.

 

Спасибо.

Saab95

Saab95

Posted
Posted

Мне кажется что IPSEC является достаточно зашищенным видом соединения корпоративных подсетей, но попробую и ваш вариант.

 

Этот вариант устаревший, при этом никакого IPSEC туннеля не существует, это просто механизм шифрования, который работает поверх другого туннеля. Если используете микротики, не нужно на них делать схемы с циски или других дорогих железок, все настраивается совсем по другому.

 

А можно ли вас попросить в деталях оъяснить OSPF и Покажите плз пример правил NAT.

 

Вот так, сеть 192.168.0.0/24 используется у вас в качестве локальной, если запросы идут на всю серую сети вида 192.168.0.0/16, то нат не делается, на другие сети он сработает.

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24 dst-address=!192.168.0.0/16

 

На втором маршрутизаторе просто меняете 192.168.0.0/24 на другую сеть, или вообще не заморачиваетесь и указываете сразу 192.168.0.0/16, тогда везде будет одно и то же правило.

 

OSPF включается вот так:

 

/routing ospf network
add area=backbone network=192.168.0.0/16

 

После этого он сам найдет все интерфейсы из этой сети и установит обмен маршрутами. Поэтому адреса туннелей нужно сделать вида 192.168.100.1 у сервера и 192.168.100.2 у клиента, так же можно подключить сколько угодно клиентов, повесив в каждом свою уникальную сеть. Галочку у туннеля Use Default Gateway ставить не надо.

sysadminus

sysadminus

Posted
  • Author
Posted (edited)

Что я сделал и что получилось...

 

В основном офисе локальная подсеть 172.16.10.0/24

В удаленном офисе подсеть 192.168.100.0/24, и это изменить нельзя.

 

Для ВПН я использовал подсеть 172.16.254.0/24

Для основного маршрутизатора установил в свойствах подключения IP 172.16.254.1, для удаленного маршрутизатора (клиент L2TP) указал 172.16.254.3

Линк сразу поднялся.

 

На основном маршрутизаторе выполнил команды

/routing ospf network

add area=backbone network=172.16.0.0/16

add area=backbone network=192.168.0.0/16

 

 

На удаленном маршрутизаторе выполнил команды

/routing ospf network

add area=backbone network=172.16.0.0/16

add area=backbone network=192.168.0.0/16

 

 

Выполнил на обоих маршрутизаторах следующие команды:

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

 

Пинги пошли в оба направления. Все ок.

 

Saab95, Спасибо вам за ваш профессионализм и отзывчивость!!!

Edited by sysadminus
sysadminus

sysadminus

Posted
  • Author
Posted

Всплыла одна проблема...

 

С windows сервера со статическим Ip 172.16.10.4 не идут пинги в удаленную подсеть 192.168.100.0/24.

Пробовал добавлять статический маршрут, указывал маршрута через ip 172.16.10.1, 172.16.254.1, 172.16.254.3, но ничего не помогло.

 

В чем ошибка, куда смотреть?

Night_Snake

Night_Snake

Posted
Posted

Saab95, Спасибо вам за ваш профессионализм и отзывчивость!!!

Ну вот, еще один адепт Сааба :( Хотя с другой стороны, если человек не понимает того, что он делает, может так и надо?

Saab95

Saab95

Posted
Posted

Всплыла одна проблема...

 

С windows сервера со статическим Ip 172.16.10.4 не идут пинги в удаленную подсеть 192.168.100.0/24.

Пробовал добавлять статический маршрут, указывал маршрута через ip 172.16.10.1, 172.16.254.1, 172.16.254.3, но ничего не помогло.

 

Возьмите ноутбук или другой компьютер, установите на нем этот адрес и посмотрите как работает. Если все ок, проблема в компьютере. Возможно файрвол блокирует чужую сеть.

 

У микротика есть торч, открываете свойства интерфейса pptp на первом микротике, откуда идут пинги, жмете старт, ставите все галочки, если трафика идет много, выбираете в пункте что смотреть только icmp траффик. Запускаете пинг с проблемного компьютера и смотрите, идут ли данные на дальнюю сторону и есть ли ответы. Это видно по столбикам rx и tx. Если в одну сторону не идет, то открываете этот туннель на дальнем микротике и смотрите, приходят ли туда данные и идут ли ответы. Так же можно смотреть и по интерфейсам.

 

Ну вот, еще один адепт Сааба :( Хотя с другой стороны, если человек не понимает того, что он делает, может так и надо?

 

Это микротик, не нужно вдаваться в знания сетевых технологий и читать книги по OSPF, когда нужно сделать простую задачу.

sysadminus

sysadminus

Posted
  • Author
Posted (edited)

Оказалось, что вся хосты из подсети основного офиса(172.16.10.0/24) не имеют доступа в удаленную подсеть 192.168.100.0/24.

При этом с микротика (172.16.10.1) из основного офиса в эту подсеть (192.168.100.0/24) доступ есть.

 

 

Скрины с маршрутами во вложении.

 

Дело в маршрутах? ЧТо смотреть?

post-127174-038824700 1430154037_thumb.jpg

post-127174-062373400 1430154045_thumb.jpg

Edited by sysadminus
DRiVen

DRiVen

Posted
Posted

На что смотреть?

На лишний и неправильный nat:

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

Это уберите, вам нужно только одно правило трансляции:

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway

Saab95

Saab95

Posted
Posted

На лишний и неправильный nat:

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

Это уберите, вам нужно только одно правило трансляции:

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway

 

Надо убрать только лишнее правило у не своего микротика, по выходному интерфейсу нат не делают.

DRiVen

DRiVen

Posted
Posted

Надо убрать только лишнее правило у не своего микротика, по выходному интерфейсу нат не делают.

Это почему же? Компания Cisco с вами не согласна: 

ip nat inside source route-map nat interface <name> overload

и то, что в случае ТС не указан пул адресов для ната ничего особо не меняет.

sysadminus

sysadminus

Posted
  • Author
Posted (edited)

Господа, я крайне признателен вам за помощь, но в вашем споре я только запутался...

 

Давайте для начала определимся с именованием маршрутизаторов.

1. Основной офис - сервер L2TP = МАРШРУТИЗАТОР-1

2. Удаленный офис - клиент L2TP = МАРШРУТИЗАТОР-2

 

Был бы вам крайне признателен за более схематичные ответы.

 

К прмеру:

 

На маршрутизаторе-1 удалить следующие правила, и.т.д.

Добавить правила: и.т.д.

 

На маршрутизаторе-2 удалить следующие правила, и.т.д.

Добавить правила: и.т.д.

 

Спасибо вам за понимание и терпение.

------------------------------------------------------

 

На текущий момент я удалил на обоих девайсах правила:

 

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

 

Маршрутизация между офисами не заработала.

При этом с удаленного PPTP клиента все хосты в обеих подсетях пингуются на ура.

--------------------------------------------------------------------------------------

 

На текущий момент правила на маршрутизаторе-1

[admin@gwmow.xxx.ru] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; RDP to Moscow Server

chain=dstnat action=netmap to-addresses=172.16.10.4 to-ports=3389 protocol=tcp in-interface=ether1-gateway dst-port=5004 log=yes

log-prefix=""

 

1 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 

 

На текущий момент правила на маршрутизаторе-2

[admin@MikroTik] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 

 

Что мне дальше делать?

Заранее спасибо вам!!!

Edited by sysadminus
SOs

SOs

Posted
Posted (edited)

sysadminus

Поговори с народом, может поможет кто. Ты чужими мозгами пользуешься и запутался совсем.

Edited by SOs

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.