PolarWolf Posted July 20, 2015 · Report post Приветствую всех, уважаемые знатоки! Никак не могу понять в каком направлении работать. Ситуация такая: Подсеть 1 (офис) - 192.168.0.0/24 Подсеть 2 (база) - 192.168.3.0/24 Между подсетями радиореллейка, на внешнем интерфейсе офиса IP 10.10.250.207, у базы 10.10.250.210. Офис: adress 10.10.250.207, network 10.10.250.210 route Dst. Adress 192.168.3.0/24 Gateway 10.10.250.210 База: adress 10.10.250.210, network 10.10.250.207 route Dst. Adress 0.0.0.0/0 Gateway 10.10.250.207 Из офиса пингуются все адреса подсети базы 192.168.3.0 и внешний IP 10.10.250.210 С базы пингуется только внешний IP офиса 10.10.250.207 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kaist Posted July 21, 2015 (edited) · Report post Покажите /ip route print /ip firewall filter export /ip firewall nat export Edited July 21, 2015 by kaist Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted July 21, 2015 · Report post Офис: /ip route # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 83.69.7.38 1 1 ADC 10.10.250.208/32 10.10.250.207 VPN 0 2 ADC 10.10.250.210/32 10.10.250.207 VPN 0 3 ADC 83.69.7.38/32 83.69.29.163 TTK 0 4 ADC 192.168.0.0/24 192.168.0.1 local 0 5 A S 192.168.3.0/24 10.10.250.210 1 6 ADC 192.168.89.251/32 192.168.89.1 pptp-br2 0 7 ADC 192.168.89.252/32 192.168.89.1 pptp-br17 0 8 ADC 192.168.89.253/32 192.168.89.1 pptp-br11 0 9 ADC 192.168.89.254/32 192.168.89.1 pptp-br4 0 10 ADC 192.168.89.255/32 192.168.89.1 pptp-br5 0 11 S 192.168.101.0/24 pptp-br1 1 12 A S 192.168.102.0/24 pptp-br2 1 13 A S 192.168.104.0/24 pptp-br4 1 14 A S 192.168.105.0/24 pptp-br5 1 15 S 192.168.106.0/24 pptp-br6 1 16 S 192.168.107.0/24 pptp-br7 1 17 A S 192.168.111.0/24 pptp-br11 1 18 S 192.168.115.0/24 pptp-br15 1 19 S 192.168.116.0/24 pptp-br16 1 20 A S 192.168.117.0/24 pptp-br17 1 21 S 192.168.118.0/24 pptp-br18 1 22 S 192.168.155.0/24 l2tp-ufugtu 1 /ip firewall filter add action=drop chain=input in-interface=TTK src-address-list=BOGON add chain=input connection-state=new protocol=tcp src-address=83.69.29.6 add chain=input connection-state=new protocol=tcp src-address=92.42.4.35 add chain=input connection-state=related add chain=input connection-state=established add chain=input protocol=icmp add chain=input connection-state=new dst-port=8291,65522 protocol=tcp add chain=input dst-port=1723 protocol=tcp add action=drop chain=input connection-state=invalid add action=drop chain=forward connection-state=invalid add action=drop chain=input in-interface=TTK /ip firewall nat add action=masquerade chain=srcnat out-interface=TTK add action=dst-nat chain=dstnat comment="The Line" dst-address=83.69.29.163 \ dst-port=80,5050,4433,554,28080,1935,843,9786,9780,9870,9779 protocol=tcp \ to-addresses=192.168.0.3 add action=dst-nat chain=dstnat comment=Thesis disabled=yes dst-address=\ 83.69.29.163 dst-port=8080,20202 protocol=tcp to-addresses=192.168.0.254 add action=masquerade chain=srcnat comment="masq. vpn traffic" disabled=yes \ src-address=192.168.89.0/24 База: /ip route # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 10.10.250.207 1 1 ADC 10.10.250.207/32 10.10.250.210 VPN 0 2 ADC 10.10.250.208/32 10.10.250.210 VPN 0 3 ADC 192.168.3.0/24 192.168.3.1 local 0 /ip firewall filter add chain=forward /ip firewall nat # Интерфейс VPN это внешние физические порты Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kaist Posted July 21, 2015 · Report post Должно работать. На внешнем интерфейсе базы только один адрес? С указанием сурса пингали? Недавно знакомый обращался с точно такой же проблемой... Оказалось что на хостах которые он пингал был запрещён icmp... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted July 21, 2015 · Report post Да, на внешнем интерфейсе базы только один адрес. С указанием сурса пингал, но все по прежнему. Также проверил на наличие блокировок по icmp - все ок. Более того не только пинг но и любые другие запросы уходят в никуда. Но внешний адрес офиса пингуется как с микротика базы так и с любого компьютера в подсети базы. Более того, попытка пинга любого сайта с микротика базы приводит к таймауту но определяется IP сайта, то есть запросы доходят до dns на контроллере домена в подсети офиса. А также если посадить внешний интерфейс офиса в бридж с локальным, то все начинает работать, но не долго - зависает антенна офиса. Пробовал различные плавила файера, ната, все без толку. Где-то маршрут на офисном. :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted July 21, 2015 · Report post Приветствую всех, уважаемые знатоки! Никак не могу понять в каком направлении работать. Ситуация такая: Подсеть 1 (офис) - 192.168.0.0/24 Подсеть 2 (база) - 192.168.3.0/24 Между подсетями радиореллейка, на внешнем интерфейсе офиса IP 10.10.250.207, у базы 10.10.250.210. Офис: adress 10.10.250.207, network 10.10.250.210 route Dst. Adress 192.168.3.0/24 Gateway 10.10.250.210 База: adress 10.10.250.210, network 10.10.250.207 route Dst. Adress 0.0.0.0/0 Gateway 10.10.250.207 Из офиса пингуются все адреса подсети базы 192.168.3.0 и внешний IP 10.10.250.210 С базы пингуется только внешний IP офиса 10.10.250.207 PolarWolf, доброго времени суток. Насколько я понял, Ваш «радио-мост» является «прозрачным»? На его «концах» подключены маршрутизаторы, между которыми существует «линковочная сеть» 10.10.250.xxx? Какая используется маска в «линковочной сети»? Самым простым вариантом диагностики, может быть проверка связи от IP интерфейса сети «база» (например 192.168.3.1) назначенном на маршрутизаторе, до IP адреса интерфейса сети «офис» (например 192.168.0.1). При таком тесте участвуют только маршрутизаторы, исключая устройства в разнесённых сетях. Важным моментом при тестировании является указания source адреса интерфейса, от которого производится тест. Если отправляете ping до IP 192.168.0.1, в качестве source адреса интерфейса используйте 192.168.3.1. Из возможных рекомендаций: На моменте тестирования, на маршрутизаторе «офис» отключить NAT! С маршрутизатора «база», от source адреса интерфейса 192.168.3.1 (на маршрутизаторе), произвести ping до IP адреса 192.168.0.1. Если ping не проходит: 1. Проверить маски сети в маршрутных табличках маршрутизаторов. 2. Физически отключить маршрутизатор «база», от сети 192.168.3.0/24, оставив его единственным устройством в сети за «радио-мостом». При этом, повторить тест! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted July 21, 2015 · Report post Большое спасибо, уважаемый SUrov_IBM, за Ваши рекомендации. Да, между роутерами линковочная сеть. маска дефолтная для десятой подсети - 255.0.0.0 Я уже проводил пинги с указанием сурса несколько часов назад и писал об этом. Но для исключения случайностей стал последовательно выполнять Ваши рекомендации - начал снова пинговать микротик базы с микротика офиса с указанием его же сурса, никаких результатов не было, но при пинге офиса с микротика базы с указаем его же сурса пинг пошел, я тутже проверил с сервера базы подключившись через удаленку - пинги шли исправно. Микротики не перезагружал да и вообще никаких настроек не менял, может быть были изменения на стороне провайдера радиореллейки (странно конечно в двенадцатом часу ночи), больше догадок у меня нет. Полдела сделано, спасибо! :) Теперь осталось дать Интернет базе. После добавления маршрута на 0.0.0.0/0 через 10.10.250.207 пинг с статус с "неопознанная сеть" на "превышен интервал ожидания". Пробовал добавлять правила в нат и файерволы - опять ничего. :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted July 22, 2015 · Report post Большое спасибо, уважаемый SUrov_IBM, за Ваши рекомендации. Да, между роутерами линковочная сеть. маска дефолтная для десятой подсети - 255.0.0.0 Я уже проводил пинги с указанием сурса несколько часов назад и писал об этом. Но для исключения случайностей стал последовательно выполнять Ваши рекомендации - начал снова пинговать микротик базы с микротика офиса с указанием его же сурса, никаких результатов не было, но при пинге офиса с микротика базы с указаем его же сурса пинг пошел, я тутже проверил с сервера базы подключившись через удаленку - пинги шли исправно. Микротики не перезагружал да и вообще никаких настроек не менял, может быть были изменения на стороне провайдера радиореллейки (странно конечно в двенадцатом часу ночи), больше догадок у меня нет. Полдела сделано, спасибо! :) Теперь осталось дать Интернет базе. После добавления маршрута на 0.0.0.0/0 через 10.10.250.207 пинг с статус с "неопознанная сеть" на "превышен интервал ожидания". Пробовал добавлять правила в нат и файерволы - опять ничего. :( PolarWolf, доброго времени суток. Конечно, мало вероятно, что провайдер радиорелейки что-то поменял, обычно без дополнительного запроса никто ничего не делает. Подскажите, сеть 10.10.250.xxx задаётся провайдером? То есть Вы берёте у него L3 КПД (канал передачи данных) между офисами? Просто маска сети 10.10.250.xxx для канала точка-точка, мягко говоря, огроменная! Может включать в себя всё что можно и нельзя. Если есть возможность, я бы не использовал для линковочной сети точка-точка маску более /30. Если всё же используется L3 КПД, не факт, что маршрут 0.0.0.0/0 с «база» до «офис» пройдёт напрямую, он может уйти в «недра» оборудования провайдера, по правилам маршрутизации, заданным на радиорелейке. Я бы посоветовал, если есть время и возможность, между маршрутизаторами настроить GRE туннельное соединение. Используя IP адреса 10.10.250.207 и 10.10.250.210 только для построения тоннеля и ничего на них, не маршрутизируя. А сам тоннель, уже использовал бы как линковочной сеть между «офис» и «база». Внутри тоннеля использовал бы фейковою сеть 192.168.100.0/30 (192.168.100.1 «офис» и 192.168.100.2 «база») и уже опираясь на неё, настраивал бы маршрутизацию между подсетями. Такой вариант как бы «изолирует» Вас от возможных проблем с маршрутизацией у провайдера. Вы сами строите канал точка-точка (маска /30) и можете «гибко» на него маршрутизироваться (в том числе и маршрут 0.0.0.0/0). К сожалению, с маршрутизаторами Mikrotik напрямую не работал, не могу Вам помочь с конфигами. Но принципы маршрутизации от этого не меняются. P.S. Если в данную тему прибежит пользователь Saab95 (есть у нас тут такой человечек) и начнёт Вас «лечить» установкой OSPF поверх всего выше оговоренного, пожалуйста не воспринимайте это в серьёз. Надеюсь, чем-то помог Вам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted July 22, 2015 · Report post SUrov_IBM большое спасибо за рекомендации! Попробовал GRE проблема та же что и на PPTP и L2TP, мы по тому от них и хотим отказаться. А проблема в том что при нагрузке пинг между роутерами вырастает до 2500-3000 (это не опечатка:)), при том что при прямой маршрутизации под любой нагрузкой пинг от 5 до 20 мс. Эти же роутеры но при работе через Интернет держат vpn стабильно, без задержек. Как Вы считаете можно попробовать маску \30 на текущих подключениях? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted July 22, 2015 · Report post SUrov_IBM большое спасибо за рекомендации! Попробовал GRE проблема та же что и на PPTP и L2TP, мы по тому от них и хотим отказаться. А проблема в том что при нагрузке пинг между роутерами вырастает до 2500-3000 (это не опечатка:)), при том что при прямой маршрутизации под любой нагрузкой пинг от 5 до 20 мс. Эти же роутеры но при работе через Интернет держат vpn стабильно, без задержек. Как Вы считаете можно попробовать маску \30 на текущих подключениях? PolarWolf, доброго времени суток. На самом деле, очень странное поведение, я имею в виду большие задержки через тоннель. Скорей всего радиорелейное оборудование провайдера имеет очень низкое MTU. Можно попробовать уменьшить размер IP MTU и TCP MSS на Ваших маршрутизаторах, со стороны интерфейсов смотрящих на радиорелейное оборудование. Выяснить размер MTU на радиорелейном канале можно утилитой ping с флагом запрета фрагментации. К сожалению, не подскажу, можно ли назначить маску /30 на радиорелейный канал. Зависит от того как настроено радиорелейное оборудование. Если канал «прозрачный» для L2, то ничего не мешает. Более точно на этот вопрос сможет ответить техническая служба провайдера. Я бы попробовал сначала уменьшить размер IP MTU и TCP MSS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted July 22, 2015 · Report post SUrov_IBM, пробовал понижать MTU - не помогло, да и тест показал что максимальный размер совпадает со значением на роутере. Возвращаясь к прямой маршрутизации: обнаружил что с роутера на базе пинг проходит на любое устройство если с устройства пинговать роутер базы. Первая мысль - в файерволе данный маршрут обрабатывается правилом established, которое пропускает все по уже установленному подключению, но добавление правила "new" не принесло результатов. :( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted July 22, 2015 · Report post PolarWolf, доброго времени суток. Только увидел Ваше новое сообщение. Странно, что изменение IP MTU не помогло. Попробуйте ещё раз ограничить IP MTU на интересах, смотрящих на радиорелейное оборудование до значения 1400, а TCP MSS на 1360 и повторить тест через туннельное соединение (GRE или L2TP). Возможно, на радиорелейном оборудовании эти значения ещё ниже. Возможно, не применились правила, ограничивающие IP MTU? При построении L2TP или GRE тоннелей через Интернет, на этом же оборудовании «туннельная связь» не имела таких «диких» задержек? Мало вероятно, маршрутизатор Mikrotik не справляется с фрагментацией пакетов. Пожалуйста, отключите FireWall обоих маршрутизаторов, на всё время тестирования! Забыл спросить, когда Вы у провайдера радиорелейного оборудования подключали канал, оговаривалась какая-то маршрутизация через него? Вы говорите что связь «база» -> «офис» появилась, пока не был добавлен маршрут 0.0.0.0/0 gate 10.10.250.207. При отсутствии маршрута 0.0.0.0/0 существовал более приоритетный маршрут 192.168.0.0/24 gate 10.10.250.207 со стороны маршрутизатора «база»? Если на маршрутизаторе «база» помимо маршрута 0.0.0.0/0 gate 10.10.250.207, добавить маршрут 192.168.0.0/24 gate 10.10.250.207 и проверить связь до «офис»? Если с маршрутом 192.168.0.0/24 gate 10.10.250.207 появляется связь, если связи нет, для полноты теста удаляем 0.0.0.0/0, оставляя только 192.168.0.0/24 gate 10.10.250.207 – проблема кроется в радиорелейном оборудовании. Скорей всего на нем есть свои механизмы, которые уводит маршрут 0.0.0.0/0 в «недра» сети провайдера. При построении GRE или L2TP тоннелей связь ведь была полноценной (с учётом маршрута 0.0.0.0/0)? Я бы посоветовал несколько вариантов: 1. Узнать какой размер IP MTU использует провайдер на радиорелейном канале связи. Пытаясь подстроиться под это значение, используя тоннели поверх линковочной сети провайдера. 2. (без использования тоннеля) Попросить провайдера построить между интерфейсами радиорелейного моста полноценный L2 канал и назначить поверх него адреса из сети /30 на маршрутизаторах «офис» и «база». Примечание: этот вариант может не поддерживаться оборудованием провайдера. Но L3 маршрутизация поверх L2 при таком варианте не должна так сильно нагружать радиорелейное оборудование, приводя к его зависанию. 3. (без использования тоннеля) Совместно с технической службой провайдером, скорректировать маршрутизацию, а именно прохождение всех пакетиков от адреса 10.10.250.210 на адрес 10.10.250.207 (построить маршрут 0.0.0.0/0). Примечание: этот вариант может не поддерживаться оборудованием провайдера или административными условиями данного канала. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted July 24, 2015 · Report post SUrov_IBM, здравствуйте! MTU уменьшить на физическом интерфейсе или на gre? Критично ли именно gre? На второй базе у нас настроено соединение через eoip. При подключении по l2tp на именно этом оборудовании через Интернет под любой нагрузкой пинг не менялся вообще. В то время как на радиореллейной связи пинг вырастал до 3-4 тысяч как на l2tp, так и не pptp и eoip и gre. Канал подключался другим специалистом, но я сомневаюсь, что они что-то обговаривали. :) На следующей неделе попытаюсь выяснить у провайдера эти детали. Вчера сбросил офисный роутер до дефолта и настроил маршрутизацию - проблема абсолютно такая же. Не зависимо от маршрута 0.0.0.0/0 запрос с базы на офис не проходил, но как только появлялся "встречный" запрос все начинало работать. Иными словами я пингую 4 компа офиса из подсети базы - ответа нет, как только я начинаю пинговать тот компьютер в подсети базы - ответ получаю с каждого компьютера которым пингую комп в подсети базы. Сложно написал. :) Более того появляется не только пинг но и полное соединение в между компьютерами по всем портам. Не зависимо от файервола и нат. маршрут 0.0.0./0 удалял оставляя только 192.168.0.0/24 - ничего не меняется. На данный менет я отчаяялся настроить прямую маршрутизацию и на базе настроил eoip, как и на второй базе. Все работает в одной подсети, но проблема, которая заставила начать эксперимент с прямой маршрутизацией с попыткой уйти от тунелирования, осталась. Заметил особенность - если нагружать канал копированием большого файла - пинг меняется с 100 до 110-115, в переделах разумного, но если запустить изображение с ip камеры то пинг вырастает до 1,5-2 тысяч, а если еще и приправить все это клиент-серверной удаленкой на хотябы одну машину в подсети базы то пинг вырастал до тех самый 3 тысяч. Может проблема в ip камере... Нужно экспериментировать на другом оборудовании. В любом случае, спасибо Вам, SUrov_IBM, за Вашу неоценимую помощь! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted July 25, 2015 · Report post PolarWolf, доброго времени суток. Давайте попробуем рассмотреть несколько вариантов. Вернемся к простой маршрутизации, без использования тоннелей. Маленькое отступление: В моей практике встречалось, нечто похожее на Вашу ситуацию, когда обращение по ICMP (ping) «пробивает» соединение до узла. У меня, такая ситуация происходила в учебной сети техникума, в которую неконтролируемо включали всё что можно и нельзя. Сеть техникума представляла большой L2 широковещательный домен, никак не сегментируемый. Виновником такого поведения было «криво» настроенное оборудование, по дефолту ориентированное на работу в сети 192.168.0.0/24. Отсюда у меня появляется мысль, что если при прямой маршрутизации, с использованием линковочной сети радиорелейки (10.10.150.xxx) встречается сеть 192.168.0.0/24? Например, прописанная alias’ом на каком то из интерфейсов радиорелейки для её администрирования. Просто сеть 192.168.0.0 с такой маской часто используют на разном оборудовании как стандарт де-факто. И проходя по линковочной сети радиорелейки, IP пакеты, предназначенные сети «офис» (192.168.0.0/24) залипают на этом интерфейсе? Следовательно, для теста можно попробовать: 1. Отключить интерфейс маршрутизатора «офис» смотрящий в сторону офисной сети 192.168.0.0/24. 2. Временно задать на этом интерфейсе иную тестовую адресацию. Можно попробовать вообще не из фейковой (приватной) сети, например 193.33.39.0/24. 3. Подключить к этому интерфейсу ПК, с назначенной на нем тестовой адресацией, как бы эмулируя им работу сети «офис». 4. Временно перенастроить на тестовую адресацию, маршрутизацию с «база». Для полноты теста, я бы посоветовал так же назначить иную тестовую адресацию со стороны «база»! Касательно варианта туннельного построения, то значения IP MTU, как TCP MSS уменьшаются со стороны туннельных интерфейсов GRE. На обоих концах туннельного соединения. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted August 14, 2015 · Report post Здравствуйте, SUrov_IBM! Вы оказались абсолютно правы, в сети провайдера радиореллейки стоит dsl роутер с адресом 192.168.0.1 раздающий Интернет всем участникам сети. Заводить разговор о смене его IP я даже не стал, дабы не нарваться на грубость. :) Скажите, пожалуйста, в такой ситуации как-то можно решить мою проблему? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted August 14, 2015 · Report post Сейчас дал микторику офиса еще IP 192.168.1.1, базе1 IP 192.168.2.1, базе2 IP 192.168.3.1 и прописал для всех соответствующие маршруты. В итоге: Пинг с базы 1 на базу 2 проходит, с базы 1 на офис не проходит. Пинг с базы 2 на базу 1 проходит, с базы 2 на офис не проходит. Пинг с офиса на базу 1 проходит, с офиса на базу 2 проходит. Географически база 2 находится еще дальше от офиса и между ними мачта провайдера с оборудованием. По всей видимости база 1 и база 2 видят друг друга напрямую, минуя офис провайдера со злосчастным роутером 192.168.0.1. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 15, 2015 · Report post PolarWolf, доброго времени суток. Извиняюсь, что не сразу ответил. >Сейчас дал микторику офиса еще IP 192.168.1.1 На маршрутизаторе «офис», Вы назначили IP 192.168.1.1 «alies’ом» (вторым адресом), но сеть «офис’а» осталась 192.168.0.0/24 (первым адресом, сеть 192.168.0.X)? К сожалению, это ничего не меняет. Поскольку «радиорелейный провайдер», являющийся для Вас L3 транспортом, использует сеть 192.168.0.0/24 (маска его сети может быть большой). Выправить это маршрутизацией, практически не получится. Единственным способом в Вашей схеме (без «костылей»), является перевод сети «офис» на иную адресацию. Например, 192.168.155.0/24. Понимаю, что это очень не простая задача, но и схема так построена. Проверить можно, создав эмулируемую сеть «офис» (переключив свободный ПК в сеть 192.168.155.X/24). Но для теста, придётся перестроить все маршруты на маршрутизаторах. Скорее всего, получится нормальная связанность. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ollsanek Posted August 15, 2015 · Report post Единственным способом в Вашей схеме (без «костылей»), является перевод сети «офис» на иную адресацию. Например, 192.168.155.0/24. Понимаю, что это очень не простая задача, но и схема так построена. ну и про костыли: 1. настроить тунель между офисами на адресах 10.10.250.[207,210] и гонять трафик через него. (да, МТУ, но не думаю, что это реально будет мешать) 2. настроить на микротиках комбинацию DNAT/SNAT в/из "ненастоящую" сеть, для транзитного трафика через релейки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 15, 2015 · Report post Ollsanek, доброго времени суток. (1) По первому варианту: У автора темы, при построении тоннеля через «радиорелейную сеть» начинаются проблемы с «нагрузкой на канал», он об этом выше написал! При этом его маршрутизаторы во время тестирования, не «захлёбываются» на других каналах связи. Тут скорей всего виновато MTU «радиорелейной сети». (2) По второму варианту: Мне кажется, что для автора темы это будет «тяжело». Вы настроите, я настрою. А человечек хочет, сделать один раз и на всегда. Не пробрасывая дополнительных «примочек». Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted August 15, 2015 · Report post PolarWolf, доброго времени суток. Извиняюсь, что не сразу ответил. >Сейчас дал микторику офиса еще IP 192.168.1.1 На маршрутизаторе «офис», Вы назначили IP 192.168.1.1 «alies’ом» (вторым адресом), но сеть «офис’а» осталась 192.168.0.0/24 (первым адресом, сеть 192.168.0.X)? К сожалению, это ничего не меняет. Поскольку «радиорелейный провайдер», являющийся для Вас L3 транспортом, использует сеть 192.168.0.0/24 (маска его сети может быть большой). Выправить это маршрутизацией, практически не получится. Единственным способом в Вашей схеме (без «костылей»), является перевод сети «офис» на иную адресацию. Например, 192.168.155.0/24. Понимаю, что это очень не простая задача, но и схема так построена. Проверить можно, создав эмулируемую сеть «офис» (переключив свободный ПК в сеть 192.168.155.X/24). Но для теста, придётся перестроить все маршруты на маршрутизаторах. Скорее всего, получится нормальная связанность. Получилось! :))) Офису дал 192.168.151.0/24 базам 152.0/24 и 153.0/24 Стагции в подсетях видят дру гдруга и работают! :) только на базах нет Интернета, маршрутом для 0.0.0.0/24 на базах указан внешний ip офиса. Вмем большое спасибо за помощь, как проведу смену адресов на всех машинах - отпишусь как все работает, а пока буду пытаться раздать Интернет через прямой маршрут. В крайнем случае можно и NAT. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 15, 2015 (edited) · Report post PolarWolf, доброго времени суток. >только на базах нет Интернета, маршрутом для 0.0.0.0/24 Говоря про маршрут 0.0.0.0/24, наверное, Вы оговорились, имея в виду маршрут дефолтный 0.0.0.0/0 (маршрут 0.0.0.0/24 существовать не может). С пропуском трафика Интернет на объекты «база 1/2», при выше оговорённой схеме могут возникнуть «грабли». Есть вероятность, что оборудование «радиорелейного провайдера» будет «заворачивать» маршрут 0.0.0.0/0 внутрь своей сети, а не на адрес 10.10.250.207. По логике, на маршрутизаторах объектов «база», в качестве дефолтного маршрута (0.0.0.0/0) должен выступать IP 10.10.250.207 объекта «офис». На интерфейсе маршрутизатора «офис» (IP 10.10.250.207) должен быть разрешён «NAT inside» (к сожалению, могу сказать только синтаксисом Cisco). Должен быть создан access-list, перечисляющий сети объектов «база 1/2» (152.0/24 и 153.0/24) на которые нужно NAT’ить. Если подтвердится предположение с «заворотом» дефолтного маршрута внутри сети «радиорелейного провайдера», на мой взгляд, можно попробовать несколько вариантов. Но их нужно обдумать, попробуем только если связь с Интернет не заработает. Edited August 16, 2015 by SUrov_IBM Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SUrov_IBM Posted August 16, 2015 · Report post В любом случае, расскажите, как у Вас прошла настройка. Если есть какие-то трудности, может вместе что и придумаем. Удачи! :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ollsanek Posted August 17, 2015 · Report post Ollsanek, доброго времени суток. (1) По первому варианту: ... (2) По второму варианту: ... А человечек хочет, сделать один раз и на всегда. Не пробрасывая дополнительных «примочек». т.к.поменять сети оказалось не проблемой - согласен на 100% :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PolarWolf Posted October 9, 2017 · Report post Всем привет! Больше двух лет прошло, вот время летит... Проблема более не актуальна, сменили провайдера по телематике. Да и проблема описанная в данной ветке вряд ли кому будет полезна, такого "провайдера" надеюсь больше нигде нет. К нам устроился парень который как раз проработал у того самого провайдера с которым такая путаница и выходила, по его рассказам такого бардака он и представить себе не мог и усугубляет все это то, что никто в этой конторе не понимает как вообще хоть что-то работает, да и не хотят в этой вникать. :) Всем участникам огромное спасибо! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...