Jump to content
Калькуляторы

Микротик PPTP сервер + Микротик PPTP клиент Нужна помощь в настройке маршрутизации

Здравствуйте.

 

Имеется два микротика.

 

1. Первый микротик - поднимает PPPoE с провайдером, получает Внешний статичный IP. Является PPTP сервером, для одного единственного клиента - второго Микротика. (во всяком случае пока)

 

2. Второй микротик - через 3G модем выходит в инет и поднимает PPTP соединение с Первым микротиком по тому статичному адресу..

 

За вторым микротиком находится видеорегистратор с IP камерами. Необходимо через внешний IP первого микротика получать доступ к видеорегистратору, находящемуся за вторым.

 

Что сделано:

 

Микротики связал, но не могу настроить маршрутизацию таким образом, чтоб увидеть второй микротик из локальной подсети первого.

 

Подскажите, как правильно реализовать такую схему?

 

С первого микротика получается пинговать видеорегистратор, находящийся за вторым микротиком, но только с появившегося интерфейса ppptp-ppp1. А мне нужно чтоб он попал в мост, и пинговался с бриджа. Но несмотря на то, что в pptp указано попадать в бридж, и интерфейс попадает в бридж, с бриджа не пингуется.

 

На первом микротике все интерфейсы в бридже, настроен НАТ.

 

Конфиг чего необходимо выложить, чтоб картина стала более понятна?

 

Спасибо.

Share this post


Link to post
Share on other sites

Спасибо. Покурил. У нас действительно похожая ситуация, но Вы там написали, что сами в моменте где то накосячили с метками, и сделали по дэфолту и всё заработало.

 

Я интуицией догадываюсь, что мне нужно прописать правильно маршрут для того, чтоб из подсети 10.0.1.0 пингавалсь подсеть 10.0.3.0, так как нужный мне 10.0.3.10 пингуется с МТ1 с интерфейса PPTP, который появляется автоматически. А мне надо, чтоб пинговался от бридж.

 

а вот так выглядят мои маршруты на первом микротике.

 

[admin@MikroTik] > ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

 

0 ADS 0.0.0.0/0 217.23.74.254 1

1 ADC 10.0.1.0/24 10.0.1.1 bridge-local 0

2 S 10.0.1.0/24 10.0.2.4 1

3 ADC 10.0.2.0/24 10.0.2.1 bridge-local 0

4 ADC 10.0.2.5/32 10.0.2.4 <pptp-ppp1> 0

5 ADC 217.23.74.254/32 213.80.xxx.xx pppoe-wan 0

 

Повторю, что с интерфейса <pptp-ppp1> пинг до 10.0.3.10 доходит.

 

Помогите разобраться пожалуйста, а то танцую с бубном, а главного заклинания не знаю.

post-90940-039224700 1450008656_thumb.png

Share this post


Link to post
Share on other sites

Первый раз когда я делал настройки в роутере была маркировка трафика и на этом роутере было 2 wan порта и дополнительно вписаны статические маршруты и они мешали правильно работать этой схеме, а когда по дефолту сбросил роутер эта схема заработала. А вам что бы через второй роутер получить пинг на регистратор, нужно делать проброс портов на нем, но уже не с PPPOE или 1 Eth WAN, а с PPTP-out.

Share this post


Link to post
Share on other sites

Хотя стоп, все легче, заходим в ip routes и пишите на первом микротике gatawey 10.0.2.5 dst adress 10.0.3.0/24, на втором роутере gatawey 10.0.2.4 dst adress 10.0.1.0/24, только смысл VPN у меня такой что я его создал без маски вообще у вас значит local должен быть 10.0.2.4 remote 10.0.2.5 без маски и пулов и в адрес я не заносил не куда их, и ип в VPN считаются как виртуальные, можно любые вписать хоть 1.1.1.1, 1.1.1.2. Еще соблюдайте метрику, что бы на втором микротике вы не получали интернет через VPN канал, а только туннель от него.

Edited by dronis3

Share this post


Link to post
Share on other sites

dronis3

 

Все правила сработали, спасибо! я получил доступ к регистратору из подсети 10.0.1.0. У меня теперь другой вопрос. Как мне пробросить порт при обращении на выделенный статичный адрес? т.е. чтоб при обращении на адрес 213.80.0.234:5050 шло перенаправление на 10.0.3.10:5050. Стандартное правило проброса порта dst-nat не сработало. Он как будто не видит 10.0.3.10. Ещё продумываю вариант, чтоб можно было поднимать ещё одно PPTP соединение, чтоб видеть 10.0.3.10. Но когда подключаю pptp, то вижу только 10.0.1.1 и машины в этой подсети. Я полагаю тут опять надо прописать статичный маршрут. но чёт я никак не додумаюсь, как это сделать.

 

Прошу помощи. Заранее спасибо.

Share this post


Link to post
Share on other sites

Я полагаю тут опять надо прописать статичный маршрут

Неправильно полагаете, в данном случае маршруты не работают. А с учетом каскадной трансляции и наличия в топологии нескольких точек выхода в публичную сеть все становится еще веселей. Получатель принимает пакет с публичным адресом отправителя, и ответ уходит через собственный дефолт МТ2, а не в туннель МТ1-МТ2, откуда он получен. В итоге маскировать приходится и адрес отправителя, чтобы для получателя соединение выглядело как обращение со шлюза сети.

 

МТ1:

/ip firewall
add action=netmap chain=dstnat dst-port=5050 in-interface=pppoe-wan protocol=<tcp|udp> to-addresses=10.0.2.5 to-ports=5050
add action=src-nat chain=srcnat dst-address=10.0.2.5 dst-port=5050 protocol=<tcp|udp> to-addresses=10.0.2.4

МТ2:

/ip firewall
add action=netmap chain=dstnat dst-port=5050 in-interface=pptp-out1 protocol=<tcp|udp> to-addresses=10.0.3.10 to-ports=5050
add action=src-nat chain=srcnat dst-address=10.0.3.10 dst-port=5050 protocol=<tcp|udp> to-addresses=10.0.3.1

Была уже точно такая же тема.

Share this post


Link to post
Share on other sites

DRiVen спасибо за советы. Помогло. Только видимо у меня какой то косяк с приоритетами роутинга. Т.е. я устройство 10.0.3.10 пингую, даже выходу на него, но не прогружается страница. Dronis3 написал мне в ЛС что нужно чтоб приоритет роутинга VPN был выше чем приоритет роутинга 3g модема. как сделать - хз. прописал статичный маршрут на втором устройстве (во вложении), но по ходу чё то опять не так... никак не вкурю....

 

Помогите пожалуйста разобраться. Спасибо.

post-90940-073994700 1451249302_thumb.png

Share this post


Link to post
Share on other sites

Наоборот 3G первое должно быть, а VPN второй. В pptp_out1 клиент Add defaul Route(defaul route distance) значение менять. Но это картину не меняет. Если нет скорости, то может ее в 3G нет?

Edited by dronis3

Share this post


Link to post
Share on other sites

prodi, а зачем вы дефолт с pptp получаете? В настройках подключения уберите галку с "Add Default Route".

 

 

 

дельный совет.а как через терминал эту галку убрать?

Share this post


Link to post
Share on other sites

DRiVen спасибо за помощь. Не знаю что случилось, я вчера куря мануалы видимо где то накасячил на удаленном МТ2. Он у меня не пингуется ни по одному интерфейсу, при том что pptp он поднимает. Но оно систематически обрывается. Пробовал его с той стороны перезагружать. не помогло. последнее что делал - по совету с другого форума - решил попробовать поднять eoip между подсетями. но это не принесло нужных результатов. Может проблема у 3G-провайдера. В итоге пакеты не ходят даже между виртуальными адресами VPN. Есть в tools MAC telnet, скажите, он может мне помочь если я узнаю mac-адрес удаленного микротика? ибо ехать к нему за 60 км за город перед новым годом не очень хочется. спасибо.

Share this post


Link to post
Share on other sites

DRiVen

Если нет скорости, то может ее в 3G нет?

 

bandwith test показывал 4 мегабита между микротиками. А сейчас вот случилось то, что написал выше. возможно что то у провайдера. но pptp Резво поднимается.

Share this post


Link to post
Share on other sites

потеря потерь (((

 

в ту сторону пакеты пытаются отправляться, а обратно ответа не приходит. что то я там с маршрутами ещё видимо намудрил... как можно вернуть потерянный микротик? Уже не знаю даже в какую сторону капнуть, кроме как организовывать командировку.

Share this post


Link to post
Share on other sites

Ну и после того как удалённый микротик выключили на 5 минут из розетки, VPN обратно не поднялся. Так что скорее всего чёт в 3G модеме судя по всему. Отпишусь как съезжу на точку

Share this post


Link to post
Share on other sites

dronis3

 

Все правила сработали, спасибо! я получил доступ к регистратору из подсети 10.0.1.0. У меня теперь другой вопрос. Как мне пробросить порт при обращении на выделенный статичный адрес? т.е. чтоб при обращении на адрес 213.80.0.234:5050 шло перенаправление на 10.0.3.10:5050. Стандартное правило проброса порта dst-nat не сработало. Он как будто не видит 10.0.3.10. Ещё продумываю вариант, чтоб можно было поднимать ещё одно PPTP соединение, чтоб видеть 10.0.3.10. Но когда подключаю pptp, то вижу только 10.0.1.1 и машины в этой подсети. Я полагаю тут опять надо прописать статичный маршрут. но чёт я никак не додумаюсь, как это сделать.

 

Прошу помощи. Заранее спасибо.

 

попробуйте на центральном МТ (с внешним IP):

add action=netmap chain=dstnat dst-port=5050 protocol=tcp to-addresses=10.0.3.10 to-ports=5050

Share this post


Link to post
Share on other sites

Господа. У меня какая-то засада! Спасайте!

Два микротика: Первый с белым IP. На нем поднят pptp-сервер (1.1.1.1).

Локалка 192.168.5.0/24

 

Второй с серым IP. На нем клиент. Подключается (1.1.1.2).

Локалка 192.168.10.0/24

 

PPTP соединения в добавлены в bridge1 к локальным сетям на двух концах.

Прописаны маршруты на двух роутерах:

На первом

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

7 ADC 192.168.5.0/24 192.168.5.1 bridge1 0

8 A S 192.168.10.0/24 1.1.1.2 1

На втором

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADS 0.0.0.0/0 10.112.113.107 1

1 ADC 1.1.1.1/32 1.1.1.2 yar 0

2 ADC 10.112.113.107/32 10.41.98.7 3g 0

3 A S 192.168.5.0/24 1.1.1.1 1

4 ADC 192.168.10.0/24 192.168.10.1 bridge2 0

 

С первого роутера такая вот беда:

Проходит пинг до 192.168.10.1 отлично, а до 192.168.10.11 (это комп в сети доступный для пинга) нет. таймаут)

tracert 192.168.10.1:

1 192.168.5.1

2 192.168.10.1

 

tracert 192.168.10.11:

1 192.168.5.1

2 1.1.1.2

3 * * *

 

Хотя со второго все работает:

 

Трассировка маршрута к 192.168.5.1 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.10.1

2 84 ms 79 ms 79 ms 192.168.5.1

Трассировка маршрута к 192.168.5.100 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.10.1

2 61 ms 60 ms 65 ms 1.1.1.1

3 77 ms 95 ms 59 ms 192.168.5.100

 

А мне нужно как раз таки из локальной сети с первого роутера 192.168.5.0/24 в сеть второго, а натыкаюсь на 1.1.1.2

Чего то не хватает))))

Помогите

Share this post


Link to post
Share on other sites

Заметил еще один нюанс на втором микротике (lan на bridge2 192.168.10.1): пинг до 192.168.10.11 в локалке на интерфейсу bridge2 проходит отлично, а если выбрать интерфейс pptp то увы, переадресует на 1.1.1.1

Хотя в профиле pptp указан бридж и в бридже он появляется при поднятии.

post-132953-034968900 1455698325_thumb.jpg

post-132953-020441500 1455698333_thumb.jpg

Share this post


Link to post
Share on other sites

В ip routes нужно на сервере и клиенте объяснить в какие подсети они будут смотреть и не ставьте типа 0.0.0.0/0 работать не будет надо точную информацию и битность маски, просто туннеля не хватает для полного функционала. Когда просто туннель сделан, то вы видите основные шлюзы. Кстати выше все разжовано, как можно не сделать по тому что написано?

Edited by dronis3

Share this post


Link to post
Share on other sites

Извиняюсь! Все получилось. Просто убрал виртуальный интерфейс из бриджа))))) Все работает! Маршруты в обе стороны видны.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.