prodi Posted December 13, 2015 · Report post Здравствуйте. Имеется два микротика. 1. Первый микротик - поднимает PPPoE с провайдером, получает Внешний статичный IP. Является PPTP сервером, для одного единственного клиента - второго Микротика. (во всяком случае пока) 2. Второй микротик - через 3G модем выходит в инет и поднимает PPTP соединение с Первым микротиком по тому статичному адресу.. За вторым микротиком находится видеорегистратор с IP камерами. Необходимо через внешний IP первого микротика получать доступ к видеорегистратору, находящемуся за вторым. Что сделано: Микротики связал, но не могу настроить маршрутизацию таким образом, чтоб увидеть второй микротик из локальной подсети первого. Подскажите, как правильно реализовать такую схему? С первого микротика получается пинговать видеорегистратор, находящийся за вторым микротиком, но только с появившегося интерфейса ppptp-ppp1. А мне нужно чтоб он попал в мост, и пинговался с бриджа. Но несмотря на то, что в pptp указано попадать в бридж, и интерфейс попадает в бридж, с бриджа не пингуется. На первом микротике все интерфейсы в бридже, настроен НАТ. Конфиг чего необходимо выложить, чтоб картина стала более понятна? Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted December 13, 2015 · Report post В моих темах гляньте, я недавно такую схему скурил, все получилось. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodi Posted December 13, 2015 · Report post Спасибо. Покурил. У нас действительно похожая ситуация, но Вы там написали, что сами в моменте где то накосячили с метками, и сделали по дэфолту и всё заработало. Я интуицией догадываюсь, что мне нужно прописать правильно маршрут для того, чтоб из подсети 10.0.1.0 пингавалсь подсеть 10.0.3.0, так как нужный мне 10.0.3.10 пингуется с МТ1 с интерфейса PPTP, который появляется автоматически. А мне надо, чтоб пинговался от бридж. а вот так выглядят мои маршруты на первом микротике. [admin@MikroTik] > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 217.23.74.254 1 1 ADC 10.0.1.0/24 10.0.1.1 bridge-local 0 2 S 10.0.1.0/24 10.0.2.4 1 3 ADC 10.0.2.0/24 10.0.2.1 bridge-local 0 4 ADC 10.0.2.5/32 10.0.2.4 <pptp-ppp1> 0 5 ADC 217.23.74.254/32 213.80.xxx.xx pppoe-wan 0 Повторю, что с интерфейса <pptp-ppp1> пинг до 10.0.3.10 доходит. Помогите разобраться пожалуйста, а то танцую с бубном, а главного заклинания не знаю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted December 13, 2015 · Report post Первый раз когда я делал настройки в роутере была маркировка трафика и на этом роутере было 2 wan порта и дополнительно вписаны статические маршруты и они мешали правильно работать этой схеме, а когда по дефолту сбросил роутер эта схема заработала. А вам что бы через второй роутер получить пинг на регистратор, нужно делать проброс портов на нем, но уже не с PPPOE или 1 Eth WAN, а с PPTP-out. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted December 13, 2015 (edited) · Report post Хотя стоп, все легче, заходим в ip routes и пишите на первом микротике gatawey 10.0.2.5 dst adress 10.0.3.0/24, на втором роутере gatawey 10.0.2.4 dst adress 10.0.1.0/24, только смысл VPN у меня такой что я его создал без маски вообще у вас значит local должен быть 10.0.2.4 remote 10.0.2.5 без маски и пулов и в адрес я не заносил не куда их, и ип в VPN считаются как виртуальные, можно любые вписать хоть 1.1.1.1, 1.1.1.2. Еще соблюдайте метрику, что бы на втором микротике вы не получали интернет через VPN канал, а только туннель от него. Edited December 13, 2015 by dronis3 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodi Posted December 13, 2015 · Report post Вот. Этого ответа я ждал. Спасибо. Буду пробовать. Отпишусь как доберусь до микротиков Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodi Posted December 21, 2015 · Report post dronis3 Все правила сработали, спасибо! я получил доступ к регистратору из подсети 10.0.1.0. У меня теперь другой вопрос. Как мне пробросить порт при обращении на выделенный статичный адрес? т.е. чтоб при обращении на адрес 213.80.0.234:5050 шло перенаправление на 10.0.3.10:5050. Стандартное правило проброса порта dst-nat не сработало. Он как будто не видит 10.0.3.10. Ещё продумываю вариант, чтоб можно было поднимать ещё одно PPTP соединение, чтоб видеть 10.0.3.10. Но когда подключаю pptp, то вижу только 10.0.1.1 и машины в этой подсети. Я полагаю тут опять надо прописать статичный маршрут. но чёт я никак не додумаюсь, как это сделать. Прошу помощи. Заранее спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 22, 2015 · Report post Я полагаю тут опять надо прописать статичный маршрут Неправильно полагаете, в данном случае маршруты не работают. А с учетом каскадной трансляции и наличия в топологии нескольких точек выхода в публичную сеть все становится еще веселей. Получатель принимает пакет с публичным адресом отправителя, и ответ уходит через собственный дефолт МТ2, а не в туннель МТ1-МТ2, откуда он получен. В итоге маскировать приходится и адрес отправителя, чтобы для получателя соединение выглядело как обращение со шлюза сети. МТ1: /ip firewall add action=netmap chain=dstnat dst-port=5050 in-interface=pppoe-wan protocol=<tcp|udp> to-addresses=10.0.2.5 to-ports=5050 add action=src-nat chain=srcnat dst-address=10.0.2.5 dst-port=5050 protocol=<tcp|udp> to-addresses=10.0.2.4 МТ2: /ip firewall add action=netmap chain=dstnat dst-port=5050 in-interface=pptp-out1 protocol=<tcp|udp> to-addresses=10.0.3.10 to-ports=5050 add action=src-nat chain=srcnat dst-address=10.0.3.10 dst-port=5050 protocol=<tcp|udp> to-addresses=10.0.3.1 Была уже точно такая же тема. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodi Posted December 27, 2015 · Report post DRiVen спасибо за советы. Помогло. Только видимо у меня какой то косяк с приоритетами роутинга. Т.е. я устройство 10.0.3.10 пингую, даже выходу на него, но не прогружается страница. Dronis3 написал мне в ЛС что нужно чтоб приоритет роутинга VPN был выше чем приоритет роутинга 3g модема. как сделать - хз. прописал статичный маршрут на втором устройстве (во вложении), но по ходу чё то опять не так... никак не вкурю.... Помогите пожалуйста разобраться. Спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted December 27, 2015 (edited) · Report post Наоборот 3G первое должно быть, а VPN второй. В pptp_out1 клиент Add defaul Route(defaul route distance) значение менять. Но это картину не меняет. Если нет скорости, то может ее в 3G нет? Edited December 27, 2015 by dronis3 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 27, 2015 · Report post prodi, а зачем вы дефолт с pptp получаете? В настройках подключения уберите галку с "Add Default Route". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodi Posted December 28, 2015 · Report post prodi, а зачем вы дефолт с pptp получаете? В настройках подключения уберите галку с "Add Default Route". дельный совет.а как через терминал эту галку убрать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted December 28, 2015 · Report post /interface pptp-client set add-default-route=no Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodi Posted December 28, 2015 · Report post DRiVen спасибо за помощь. Не знаю что случилось, я вчера куря мануалы видимо где то накасячил на удаленном МТ2. Он у меня не пингуется ни по одному интерфейсу, при том что pptp он поднимает. Но оно систематически обрывается. Пробовал его с той стороны перезагружать. не помогло. последнее что делал - по совету с другого форума - решил попробовать поднять eoip между подсетями. но это не принесло нужных результатов. Может проблема у 3G-провайдера. В итоге пакеты не ходят даже между виртуальными адресами VPN. Есть в tools MAC telnet, скажите, он может мне помочь если я узнаю mac-адрес удаленного микротика? ибо ехать к нему за 60 км за город перед новым годом не очень хочется. спасибо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodi Posted December 28, 2015 · Report post DRiVen Если нет скорости, то может ее в 3G нет? bandwith test показывал 4 мегабита между микротиками. А сейчас вот случилось то, что написал выше. возможно что то у провайдера. но pptp Резво поднимается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodi Posted December 28, 2015 · Report post потеря потерь ((( в ту сторону пакеты пытаются отправляться, а обратно ответа не приходит. что то я там с маршрутами ещё видимо намудрил... как можно вернуть потерянный микротик? Уже не знаю даже в какую сторону капнуть, кроме как организовывать командировку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodi Posted December 28, 2015 · Report post Ну и после того как удалённый микротик выключили на 5 минут из розетки, VPN обратно не поднялся. Так что скорее всего чёт в 3G модеме судя по всему. Отпишусь как съезжу на точку Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zubastik3650 Posted December 30, 2015 · Report post dronis3 Все правила сработали, спасибо! я получил доступ к регистратору из подсети 10.0.1.0. У меня теперь другой вопрос. Как мне пробросить порт при обращении на выделенный статичный адрес? т.е. чтоб при обращении на адрес 213.80.0.234:5050 шло перенаправление на 10.0.3.10:5050. Стандартное правило проброса порта dst-nat не сработало. Он как будто не видит 10.0.3.10. Ещё продумываю вариант, чтоб можно было поднимать ещё одно PPTP соединение, чтоб видеть 10.0.3.10. Но когда подключаю pptp, то вижу только 10.0.1.1 и машины в этой подсети. Я полагаю тут опять надо прописать статичный маршрут. но чёт я никак не додумаюсь, как это сделать. Прошу помощи. Заранее спасибо. попробуйте на центральном МТ (с внешним IP): add action=netmap chain=dstnat dst-port=5050 protocol=tcp to-addresses=10.0.3.10 to-ports=5050 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mitinvs Posted February 17, 2016 · Report post Господа. У меня какая-то засада! Спасайте! Два микротика: Первый с белым IP. На нем поднят pptp-сервер (1.1.1.1). Локалка 192.168.5.0/24 Второй с серым IP. На нем клиент. Подключается (1.1.1.2). Локалка 192.168.10.0/24 PPTP соединения в добавлены в bridge1 к локальным сетям на двух концах. Прописаны маршруты на двух роутерах: На первом # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 7 ADC 192.168.5.0/24 192.168.5.1 bridge1 0 8 A S 192.168.10.0/24 1.1.1.2 1 На втором # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 10.112.113.107 1 1 ADC 1.1.1.1/32 1.1.1.2 yar 0 2 ADC 10.112.113.107/32 10.41.98.7 3g 0 3 A S 192.168.5.0/24 1.1.1.1 1 4 ADC 192.168.10.0/24 192.168.10.1 bridge2 0 С первого роутера такая вот беда: Проходит пинг до 192.168.10.1 отлично, а до 192.168.10.11 (это комп в сети доступный для пинга) нет. таймаут) tracert 192.168.10.1: 1 192.168.5.1 2 192.168.10.1 tracert 192.168.10.11: 1 192.168.5.1 2 1.1.1.2 3 * * * Хотя со второго все работает: Трассировка маршрута к 192.168.5.1 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 192.168.10.1 2 84 ms 79 ms 79 ms 192.168.5.1 Трассировка маршрута к 192.168.5.100 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 192.168.10.1 2 61 ms 60 ms 65 ms 1.1.1.1 3 77 ms 95 ms 59 ms 192.168.5.100 А мне нужно как раз таки из локальной сети с первого роутера 192.168.5.0/24 в сеть второго, а натыкаюсь на 1.1.1.2 Чего то не хватает)))) Помогите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mitinvs Posted February 17, 2016 · Report post Заметил еще один нюанс на втором микротике (lan на bridge2 192.168.10.1): пинг до 192.168.10.11 в локалке на интерфейсу bridge2 проходит отлично, а если выбрать интерфейс pptp то увы, переадресует на 1.1.1.1 Хотя в профиле pptp указан бридж и в бридже он появляется при поднятии. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted February 17, 2016 (edited) · Report post В ip routes нужно на сервере и клиенте объяснить в какие подсети они будут смотреть и не ставьте типа 0.0.0.0/0 работать не будет надо точную информацию и битность маски, просто туннеля не хватает для полного функционала. Когда просто туннель сделан, то вы видите основные шлюзы. Кстати выше все разжовано, как можно не сделать по тому что написано? Edited February 17, 2016 by dronis3 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mitinvs Posted February 17, 2016 · Report post Извиняюсь! Все получилось. Просто убрал виртуальный интерфейс из бриджа))))) Все работает! Маршруты в обе стороны видны. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...