[sysadminus]

Уважаемые форумчане, здравсвуйте.

 

Так ка микротик для меня пока не очень понятен, то прошу помочь разобраться в маршрутизации.

 

Итак:

1. Есть 2 микротика, между ними поднят IPSEC тоннель.

Пакеты между офисами ходят, все ок.

 

2. На роутере в центральном офисе поднят PPTP сервер, настроены фиксированые адреса подключаемым пользователям.

 

3. Проблема в том, что с клиента PPTP до сервера PPTP и в его подсети 172.16.10.0/24 все ходит в оба направления.

Между клиентами PPTP все ок. А вот как настроить маршрктизацию между удаленным офисом и PPTP клиентами пока не вкурю никак...

 

Документация перерыл, мозги уже не варят.

 

Заранее благодарю за помощь.

[DRiVen]

Трассировку от клиента до .100.1 и таблицу маршрутизации с удаленного роутера покажите.

[danilbal]

Скорей всего на удаленном офисе на тоннель стоит маршрут до сети 172.16.10.0/24, махните на 172.16.0.0/16 например.

[Saab95]

1. Есть 2 микротика, между ними поднят IPSEC тоннель.

 

А это зачем сделали?

 

Вам нужно сбросить конфигурации, настроить на одном устройстве L2TP сервер, на втором клиента, включить OSPF, в каждом офисе установить разные сети. Все заработает.

 

Не забудьте правила НАТ настроить по IP адресам своей офисной сети без указания выходного интерфейса, туда же добавить исключение, что для трафика по серым адресам его делать не надо.

[sysadminus]

1. Есть 2 микротика, между ними поднят IPSEC тоннель.

 

А это зачем сделали?

 

Вам нужно сбросить конфигурации, настроить на одном устройстве L2TP сервер, на втором клиента, включить OSPF, в каждом офисе установить разные сети. Все заработает.

 

Не забудьте правила НАТ настроить по IP адресам своей офисной сети без указания выходного интерфейса, туда же добавить исключение, что для трафика по серым адресам его делать не надо.

 

Мне кажется что IPSEC является достаточно зашищенным видом соединения корпоративных подсетей, но попробую и ваш вариант.

 

А можно ли вас попросить в деталях оъяснить OSPF и Покажите плз пример правил NAT.

 

Спасибо.

[Saab95]

Мне кажется что IPSEC является достаточно зашищенным видом соединения корпоративных подсетей, но попробую и ваш вариант.

 

Этот вариант устаревший, при этом никакого IPSEC туннеля не существует, это просто механизм шифрования, который работает поверх другого туннеля. Если используете микротики, не нужно на них делать схемы с циски или других дорогих железок, все настраивается совсем по другому.

 

А можно ли вас попросить в деталях оъяснить OSPF и Покажите плз пример правил NAT.

 

Вот так, сеть 192.168.0.0/24 используется у вас в качестве локальной, если запросы идут на всю серую сети вида 192.168.0.0/16, то нат не делается, на другие сети он сработает.

 

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24 dst-address=!192.168.0.0/16

 

На втором маршрутизаторе просто меняете 192.168.0.0/24 на другую сеть, или вообще не заморачиваетесь и указываете сразу 192.168.0.0/16, тогда везде будет одно и то же правило.

 

OSPF включается вот так:

 

/routing ospf network
add area=backbone network=192.168.0.0/16

 

После этого он сам найдет все интерфейсы из этой сети и установит обмен маршрутами. Поэтому адреса туннелей нужно сделать вида 192.168.100.1 у сервера и 192.168.100.2 у клиента, так же можно подключить сколько угодно клиентов, повесив в каждом свою уникальную сеть. Галочку у туннеля Use Default Gateway ставить не надо.

[sysadminus]

Спасибо за развернутый ответ.

Сейчас попробую.

[sysadminus]

Что я сделал и что получилось...

 

В основном офисе локальная подсеть 172.16.10.0/24

В удаленном офисе подсеть 192.168.100.0/24, и это изменить нельзя.

 

Для ВПН я использовал подсеть 172.16.254.0/24

Для основного маршрутизатора установил в свойствах подключения IP 172.16.254.1, для удаленного маршрутизатора (клиент L2TP) указал 172.16.254.3

Линк сразу поднялся.

 

На основном маршрутизаторе выполнил команды

/routing ospf network

add area=backbone network=172.16.0.0/16

add area=backbone network=192.168.0.0/16

 

 

На удаленном маршрутизаторе выполнил команды

/routing ospf network

add area=backbone network=172.16.0.0/16

add area=backbone network=192.168.0.0/16

 

 

Выполнил на обоих маршрутизаторах следующие команды:

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

 

Пинги пошли в оба направления. Все ок.

 

Saab95, Спасибо вам за ваш профессионализм и отзывчивость!!!

Изменено 26 апреля, 2015 пользователем sysadminus

[sysadminus]

Всплыла одна проблема...

 

С windows сервера со статическим Ip 172.16.10.4 не идут пинги в удаленную подсеть 192.168.100.0/24.

Пробовал добавлять статический маршрут, указывал маршрута через ip 172.16.10.1, 172.16.254.1, 172.16.254.3, но ничего не помогло.

 

В чем ошибка, куда смотреть?

[Night_Snake]

Saab95, Спасибо вам за ваш профессионализм и отзывчивость!!!

Ну вот, еще один адепт Сааба :( Хотя с другой стороны, если человек не понимает того, что он делает, может так и надо?

[Saab95]

Всплыла одна проблема...

 

С windows сервера со статическим Ip 172.16.10.4 не идут пинги в удаленную подсеть 192.168.100.0/24.

Пробовал добавлять статический маршрут, указывал маршрута через ip 172.16.10.1, 172.16.254.1, 172.16.254.3, но ничего не помогло.

 

Возьмите ноутбук или другой компьютер, установите на нем этот адрес и посмотрите как работает. Если все ок, проблема в компьютере. Возможно файрвол блокирует чужую сеть.

 

У микротика есть торч, открываете свойства интерфейса pptp на первом микротике, откуда идут пинги, жмете старт, ставите все галочки, если трафика идет много, выбираете в пункте что смотреть только icmp траффик. Запускаете пинг с проблемного компьютера и смотрите, идут ли данные на дальнюю сторону и есть ли ответы. Это видно по столбикам rx и tx. Если в одну сторону не идет, то открываете этот туннель на дальнем микротике и смотрите, приходят ли туда данные и идут ли ответы. Так же можно смотреть и по интерфейсам.

 

Ну вот, еще один адепт Сааба :( Хотя с другой стороны, если человек не понимает того, что он делает, может так и надо?

 

Это микротик, не нужно вдаваться в знания сетевых технологий и читать книги по OSPF, когда нужно сделать простую задачу.

[sysadminus]

Оказалось, что вся хосты из подсети основного офиса(172.16.10.0/24) не имеют доступа в удаленную подсеть 192.168.100.0/24.

При этом с микротика (172.16.10.1) из основного офиса в эту подсеть (192.168.100.0/24) доступ есть.

 

 

Скрины с маршрутами во вложении.

 

Дело в маршрутах? ЧТо смотреть?

Изменено 27 апреля, 2015 пользователем sysadminus

[DRiVen]

На что смотреть?

На лишний и неправильный nat:

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

Это уберите, вам нужно только одно правило трансляции:

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway

[Saab95]

На лишний и неправильный nat:

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

Это уберите, вам нужно только одно правило трансляции:

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway

 

Надо убрать только лишнее правило у не своего микротика, по выходному интерфейсу нат не делают.

[DRiVen]

Надо убрать только лишнее правило у не своего микротика, по выходному интерфейсу нат не делают.

Это почему же? Компания Cisco с вами не согласна:

ip nat inside source route-map nat interface <name> overload

и то, что в случае ТС не указан пул адресов для ната ничего особо не меняет.

[sysadminus]

Господа, я крайне признателен вам за помощь, но в вашем споре я только запутался...

 

Давайте для начала определимся с именованием маршрутизаторов.

1. Основной офис - сервер L2TP = МАРШРУТИЗАТОР-1

2. Удаленный офис - клиент L2TP = МАРШРУТИЗАТОР-2

 

Был бы вам крайне признателен за более схематичные ответы.

 

К прмеру:

 

На маршрутизаторе-1 удалить следующие правила, и.т.д.

Добавить правила: и.т.д.

 

На маршрутизаторе-2 удалить следующие правила, и.т.д.

Добавить правила: и.т.д.

 

Спасибо вам за понимание и терпение.

------------------------------------------------------

 

На текущий момент я удалил на обоих девайсах правила:

 

/ip firewall nat

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16

add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16

 

Маршрутизация между офисами не заработала.

При этом с удаленного PPTP клиента все хосты в обеих подсетях пингуются на ура.

--------------------------------------------------------------------------------------

 

На текущий момент правила на маршрутизаторе-1

[admin@gwmow.xxx.ru] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; RDP to Moscow Server

chain=dstnat action=netmap to-addresses=172.16.10.4 to-ports=3389 protocol=tcp in-interface=ether1-gateway dst-port=5004 log=yes

log-prefix=""

 

1 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 

 

На текущий момент правила на маршрутизаторе-2

[admin@MikroTik] /ip firewall nat> print

Flags: X - disabled, I - invalid, D - dynamic

0 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""

 

 

Что мне дальше делать?

Заранее спасибо вам!!!

Изменено 27 апреля, 2015 пользователем sysadminus

[SOs]

sysadminus

Поговори с народом, может поможет кто. Ты чужими мозгами пользуешься и запутался совсем.

Изменено 28 апреля, 2015 пользователем SOs

[Night_Snake]

Это микротик, не нужно вдаваться в знания сетевых технологий и читать книги

Это пять. это просто пять