sysadminus Опубликовано 23 апреля, 2015 · Жалоба Уважаемые форумчане, здравсвуйте. Так ка микротик для меня пока не очень понятен, то прошу помочь разобраться в маршрутизации. Итак: 1. Есть 2 микротика, между ними поднят IPSEC тоннель. Пакеты между офисами ходят, все ок. 2. На роутере в центральном офисе поднят PPTP сервер, настроены фиксированые адреса подключаемым пользователям. 3. Проблема в том, что с клиента PPTP до сервера PPTP и в его подсети 172.16.10.0/24 все ходит в оба направления. Между клиентами PPTP все ок. А вот как настроить маршрктизацию между удаленным офисом и PPTP клиентами пока не вкурю никак... Документация перерыл, мозги уже не варят. Заранее благодарю за помощь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 23 апреля, 2015 · Жалоба Трассировку от клиента до .100.1 и таблицу маршрутизации с удаленного роутера покажите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
danilbal Опубликовано 24 апреля, 2015 · Жалоба Скорей всего на удаленном офисе на тоннель стоит маршрут до сети 172.16.10.0/24, махните на 172.16.0.0/16 например. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 апреля, 2015 · Жалоба 1. Есть 2 микротика, между ними поднят IPSEC тоннель. А это зачем сделали? Вам нужно сбросить конфигурации, настроить на одном устройстве L2TP сервер, на втором клиента, включить OSPF, в каждом офисе установить разные сети. Все заработает. Не забудьте правила НАТ настроить по IP адресам своей офисной сети без указания выходного интерфейса, туда же добавить исключение, что для трафика по серым адресам его делать не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sysadminus Опубликовано 24 апреля, 2015 · Жалоба 1. Есть 2 микротика, между ними поднят IPSEC тоннель. А это зачем сделали? Вам нужно сбросить конфигурации, настроить на одном устройстве L2TP сервер, на втором клиента, включить OSPF, в каждом офисе установить разные сети. Все заработает. Не забудьте правила НАТ настроить по IP адресам своей офисной сети без указания выходного интерфейса, туда же добавить исключение, что для трафика по серым адресам его делать не надо. Мне кажется что IPSEC является достаточно зашищенным видом соединения корпоративных подсетей, но попробую и ваш вариант. А можно ли вас попросить в деталях оъяснить OSPF и Покажите плз пример правил NAT. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 апреля, 2015 · Жалоба Мне кажется что IPSEC является достаточно зашищенным видом соединения корпоративных подсетей, но попробую и ваш вариант. Этот вариант устаревший, при этом никакого IPSEC туннеля не существует, это просто механизм шифрования, который работает поверх другого туннеля. Если используете микротики, не нужно на них делать схемы с циски или других дорогих железок, все настраивается совсем по другому. А можно ли вас попросить в деталях оъяснить OSPF и Покажите плз пример правил NAT. Вот так, сеть 192.168.0.0/24 используется у вас в качестве локальной, если запросы идут на всю серую сети вида 192.168.0.0/16, то нат не делается, на другие сети он сработает. /ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/24 dst-address=!192.168.0.0/16 На втором маршрутизаторе просто меняете 192.168.0.0/24 на другую сеть, или вообще не заморачиваетесь и указываете сразу 192.168.0.0/16, тогда везде будет одно и то же правило. OSPF включается вот так: /routing ospf network add area=backbone network=192.168.0.0/16 После этого он сам найдет все интерфейсы из этой сети и установит обмен маршрутами. Поэтому адреса туннелей нужно сделать вида 192.168.100.1 у сервера и 192.168.100.2 у клиента, так же можно подключить сколько угодно клиентов, повесив в каждом свою уникальную сеть. Галочку у туннеля Use Default Gateway ставить не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sysadminus Опубликовано 24 апреля, 2015 · Жалоба Спасибо за развернутый ответ. Сейчас попробую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sysadminus Опубликовано 26 апреля, 2015 (изменено) · Жалоба Что я сделал и что получилось... В основном офисе локальная подсеть 172.16.10.0/24 В удаленном офисе подсеть 192.168.100.0/24, и это изменить нельзя. Для ВПН я использовал подсеть 172.16.254.0/24 Для основного маршрутизатора установил в свойствах подключения IP 172.16.254.1, для удаленного маршрутизатора (клиент L2TP) указал 172.16.254.3 Линк сразу поднялся. На основном маршрутизаторе выполнил команды /routing ospf network add area=backbone network=172.16.0.0/16 add area=backbone network=192.168.0.0/16 На удаленном маршрутизаторе выполнил команды /routing ospf network add area=backbone network=172.16.0.0/16 add area=backbone network=192.168.0.0/16 Выполнил на обоих маршрутизаторах следующие команды: /ip firewall nat add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16 add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16 Пинги пошли в оба направления. Все ок. Saab95, Спасибо вам за ваш профессионализм и отзывчивость!!! Изменено 26 апреля, 2015 пользователем sysadminus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sysadminus Опубликовано 26 апреля, 2015 · Жалоба Всплыла одна проблема... С windows сервера со статическим Ip 172.16.10.4 не идут пинги в удаленную подсеть 192.168.100.0/24. Пробовал добавлять статический маршрут, указывал маршрута через ip 172.16.10.1, 172.16.254.1, 172.16.254.3, но ничего не помогло. В чем ошибка, куда смотреть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 27 апреля, 2015 · Жалоба Saab95, Спасибо вам за ваш профессионализм и отзывчивость!!! Ну вот, еще один адепт Сааба :( Хотя с другой стороны, если человек не понимает того, что он делает, может так и надо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 апреля, 2015 · Жалоба Всплыла одна проблема... С windows сервера со статическим Ip 172.16.10.4 не идут пинги в удаленную подсеть 192.168.100.0/24. Пробовал добавлять статический маршрут, указывал маршрута через ip 172.16.10.1, 172.16.254.1, 172.16.254.3, но ничего не помогло. Возьмите ноутбук или другой компьютер, установите на нем этот адрес и посмотрите как работает. Если все ок, проблема в компьютере. Возможно файрвол блокирует чужую сеть. У микротика есть торч, открываете свойства интерфейса pptp на первом микротике, откуда идут пинги, жмете старт, ставите все галочки, если трафика идет много, выбираете в пункте что смотреть только icmp траффик. Запускаете пинг с проблемного компьютера и смотрите, идут ли данные на дальнюю сторону и есть ли ответы. Это видно по столбикам rx и tx. Если в одну сторону не идет, то открываете этот туннель на дальнем микротике и смотрите, приходят ли туда данные и идут ли ответы. Так же можно смотреть и по интерфейсам. Ну вот, еще один адепт Сааба :( Хотя с другой стороны, если человек не понимает того, что он делает, может так и надо? Это микротик, не нужно вдаваться в знания сетевых технологий и читать книги по OSPF, когда нужно сделать простую задачу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sysadminus Опубликовано 27 апреля, 2015 (изменено) · Жалоба Оказалось, что вся хосты из подсети основного офиса(172.16.10.0/24) не имеют доступа в удаленную подсеть 192.168.100.0/24. При этом с микротика (172.16.10.1) из основного офиса в эту подсеть (192.168.100.0/24) доступ есть. Скрины с маршрутами во вложении. Дело в маршрутах? ЧТо смотреть? Изменено 27 апреля, 2015 пользователем sysadminus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 27 апреля, 2015 · Жалоба На что смотреть? На лишний и неправильный nat: /ip firewall nat add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16 add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16 Это уберите, вам нужно только одно правило трансляции: /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 апреля, 2015 · Жалоба На лишний и неправильный nat: /ip firewall nat add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16 add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16 Это уберите, вам нужно только одно правило трансляции: /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway Надо убрать только лишнее правило у не своего микротика, по выходному интерфейсу нат не делают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 27 апреля, 2015 · Жалоба Надо убрать только лишнее правило у не своего микротика, по выходному интерфейсу нат не делают. Это почему же? Компания Cisco с вами не согласна: ip nat inside source route-map nat interface <name> overload и то, что в случае ТС не указан пул адресов для ната ничего особо не меняет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sysadminus Опубликовано 27 апреля, 2015 (изменено) · Жалоба Господа, я крайне признателен вам за помощь, но в вашем споре я только запутался... Давайте для начала определимся с именованием маршрутизаторов. 1. Основной офис - сервер L2TP = МАРШРУТИЗАТОР-1 2. Удаленный офис - клиент L2TP = МАРШРУТИЗАТОР-2 Был бы вам крайне признателен за более схематичные ответы. К прмеру: На маршрутизаторе-1 удалить следующие правила, и.т.д. Добавить правила: и.т.д. На маршрутизаторе-2 удалить следующие правила, и.т.д. Добавить правила: и.т.д. Спасибо вам за понимание и терпение. ------------------------------------------------------ На текущий момент я удалил на обоих девайсах правила: /ip firewall nat add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!192.168.0.0/16 add action=masquerade chain=srcnat src-address=172.16.10.0/24 dst-address=!172.16.0.0/16 Маршрутизация между офисами не заработала. При этом с удаленного PPTP клиента все хосты в обеих подсетях пингуются на ура. -------------------------------------------------------------------------------------- На текущий момент правила на маршрутизаторе-1 [admin@gwmow.xxx.ru] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; RDP to Moscow Server chain=dstnat action=netmap to-addresses=172.16.10.4 to-ports=3389 protocol=tcp in-interface=ether1-gateway dst-port=5004 log=yes log-prefix="" 1 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix="" На текущий момент правила на маршрутизаторе-2 [admin@MikroTik] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix="" Что мне дальше делать? Заранее спасибо вам!!! Изменено 27 апреля, 2015 пользователем sysadminus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOs Опубликовано 28 апреля, 2015 (изменено) · Жалоба sysadminus Поговори с народом, может поможет кто. Ты чужими мозгами пользуешься и запутался совсем. Изменено 28 апреля, 2015 пользователем SOs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 28 апреля, 2015 · Жалоба Это микротик, не нужно вдаваться в знания сетевых технологий и читать книги Это пять. это просто пять Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...