[prodi]

Здравствуйте.

 

Имеется два микротика.

 

1. Первый микротик - поднимает PPPoE с провайдером, получает Внешний статичный IP. Является PPTP сервером, для одного единственного клиента - второго Микротика. (во всяком случае пока)

 

2. Второй микротик - через 3G модем выходит в инет и поднимает PPTP соединение с Первым микротиком по тому статичному адресу..

 

За вторым микротиком находится видеорегистратор с IP камерами. Необходимо через внешний IP первого микротика получать доступ к видеорегистратору, находящемуся за вторым.

 

Что сделано:

 

Микротики связал, но не могу настроить маршрутизацию таким образом, чтоб увидеть второй микротик из локальной подсети первого.

 

Подскажите, как правильно реализовать такую схему?

 

С первого микротика получается пинговать видеорегистратор, находящийся за вторым микротиком, но только с появившегося интерфейса ppptp-ppp1. А мне нужно чтоб он попал в мост, и пинговался с бриджа. Но несмотря на то, что в pptp указано попадать в бридж, и интерфейс попадает в бридж, с бриджа не пингуется.

 

На первом микротике все интерфейсы в бридже, настроен НАТ.

 

Конфиг чего необходимо выложить, чтоб картина стала более понятна?

 

Спасибо.

[dronis3]

В моих темах гляньте, я недавно такую схему скурил, все получилось.

[prodi]

Спасибо. Покурил. У нас действительно похожая ситуация, но Вы там написали, что сами в моменте где то накосячили с метками, и сделали по дэфолту и всё заработало.

 

Я интуицией догадываюсь, что мне нужно прописать правильно маршрут для того, чтоб из подсети 10.0.1.0 пингавалсь подсеть 10.0.3.0, так как нужный мне 10.0.3.10 пингуется с МТ1 с интерфейса PPTP, который появляется автоматически. А мне надо, чтоб пинговался от бридж.

 

а вот так выглядят мои маршруты на первом микротике.

 

[admin@MikroTik] > ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

 

0 ADS 0.0.0.0/0 217.23.74.254 1

1 ADC 10.0.1.0/24 10.0.1.1 bridge-local 0

2 S 10.0.1.0/24 10.0.2.4 1

3 ADC 10.0.2.0/24 10.0.2.1 bridge-local 0

4 ADC 10.0.2.5/32 10.0.2.4 <pptp-ppp1> 0

5 ADC 217.23.74.254/32 213.80.xxx.xx pppoe-wan 0

 

Повторю, что с интерфейса <pptp-ppp1> пинг до 10.0.3.10 доходит.

 

Помогите разобраться пожалуйста, а то танцую с бубном, а главного заклинания не знаю.

[dronis3]

Первый раз когда я делал настройки в роутере была маркировка трафика и на этом роутере было 2 wan порта и дополнительно вписаны статические маршруты и они мешали правильно работать этой схеме, а когда по дефолту сбросил роутер эта схема заработала. А вам что бы через второй роутер получить пинг на регистратор, нужно делать проброс портов на нем, но уже не с PPPOE или 1 Eth WAN, а с PPTP-out.

[dronis3]

Хотя стоп, все легче, заходим в ip routes и пишите на первом микротике gatawey 10.0.2.5 dst adress 10.0.3.0/24, на втором роутере gatawey 10.0.2.4 dst adress 10.0.1.0/24, только смысл VPN у меня такой что я его создал без маски вообще у вас значит local должен быть 10.0.2.4 remote 10.0.2.5 без маски и пулов и в адрес я не заносил не куда их, и ип в VPN считаются как виртуальные, можно любые вписать хоть 1.1.1.1, 1.1.1.2. Еще соблюдайте метрику, что бы на втором микротике вы не получали интернет через VPN канал, а только туннель от него.

Изменено 13 декабря, 2015 пользователем dronis3

[prodi]

Вот. Этого ответа я ждал. Спасибо. Буду пробовать. Отпишусь как доберусь до микротиков

[prodi]

dronis3

 

Все правила сработали, спасибо! я получил доступ к регистратору из подсети 10.0.1.0. У меня теперь другой вопрос. Как мне пробросить порт при обращении на выделенный статичный адрес? т.е. чтоб при обращении на адрес 213.80.0.234:5050 шло перенаправление на 10.0.3.10:5050. Стандартное правило проброса порта dst-nat не сработало. Он как будто не видит 10.0.3.10. Ещё продумываю вариант, чтоб можно было поднимать ещё одно PPTP соединение, чтоб видеть 10.0.3.10. Но когда подключаю pptp, то вижу только 10.0.1.1 и машины в этой подсети. Я полагаю тут опять надо прописать статичный маршрут. но чёт я никак не додумаюсь, как это сделать.

 

Прошу помощи. Заранее спасибо.

[DRiVen]

Я полагаю тут опять надо прописать статичный маршрут

Неправильно полагаете, в данном случае маршруты не работают. А с учетом каскадной трансляции и наличия в топологии нескольких точек выхода в публичную сеть все становится еще веселей. Получатель принимает пакет с публичным адресом отправителя, и ответ уходит через собственный дефолт МТ2, а не в туннель МТ1-МТ2, откуда он получен. В итоге маскировать приходится и адрес отправителя, чтобы для получателя соединение выглядело как обращение со шлюза сети.

 

МТ1:

/ip firewall
add action=netmap chain=dstnat dst-port=5050 in-interface=pppoe-wan protocol=<tcp|udp> to-addresses=10.0.2.5 to-ports=5050
add action=src-nat chain=srcnat dst-address=10.0.2.5 dst-port=5050 protocol=<tcp|udp> to-addresses=10.0.2.4

МТ2:

/ip firewall
add action=netmap chain=dstnat dst-port=5050 in-interface=pptp-out1 protocol=<tcp|udp> to-addresses=10.0.3.10 to-ports=5050
add action=src-nat chain=srcnat dst-address=10.0.3.10 dst-port=5050 protocol=<tcp|udp> to-addresses=10.0.3.1

Была уже точно такая же тема.

[prodi]

DRiVen спасибо за советы. Помогло. Только видимо у меня какой то косяк с приоритетами роутинга. Т.е. я устройство 10.0.3.10 пингую, даже выходу на него, но не прогружается страница. Dronis3 написал мне в ЛС что нужно чтоб приоритет роутинга VPN был выше чем приоритет роутинга 3g модема. как сделать - хз. прописал статичный маршрут на втором устройстве (во вложении), но по ходу чё то опять не так... никак не вкурю....

 

Помогите пожалуйста разобраться. Спасибо.

[dronis3]

Наоборот 3G первое должно быть, а VPN второй. В pptp_out1 клиент Add defaul Route(defaul route distance) значение менять. Но это картину не меняет. Если нет скорости, то может ее в 3G нет?

Изменено 27 декабря, 2015 пользователем dronis3

[DRiVen]

prodi, а зачем вы дефолт с pptp получаете? В настройках подключения уберите галку с "Add Default Route".

[prodi]

prodi, а зачем вы дефолт с pptp получаете? В настройках подключения уберите галку с "Add Default Route".

 

 

 

дельный совет.а как через терминал эту галку убрать?

[DRiVen]

/interface pptp-client set add-default-route=no

 

[prodi]

DRiVen спасибо за помощь. Не знаю что случилось, я вчера куря мануалы видимо где то накасячил на удаленном МТ2. Он у меня не пингуется ни по одному интерфейсу, при том что pptp он поднимает. Но оно систематически обрывается. Пробовал его с той стороны перезагружать. не помогло. последнее что делал - по совету с другого форума - решил попробовать поднять eoip между подсетями. но это не принесло нужных результатов. Может проблема у 3G-провайдера. В итоге пакеты не ходят даже между виртуальными адресами VPN. Есть в tools MAC telnet, скажите, он может мне помочь если я узнаю mac-адрес удаленного микротика? ибо ехать к нему за 60 км за город перед новым годом не очень хочется. спасибо.

[prodi]

DRiVen

Если нет скорости, то может ее в 3G нет?

 

bandwith test показывал 4 мегабита между микротиками. А сейчас вот случилось то, что написал выше. возможно что то у провайдера. но pptp Резво поднимается.

[prodi]

потеря потерь (((

 

в ту сторону пакеты пытаются отправляться, а обратно ответа не приходит. что то я там с маршрутами ещё видимо намудрил... как можно вернуть потерянный микротик? Уже не знаю даже в какую сторону капнуть, кроме как организовывать командировку.

[prodi]

Ну и после того как удалённый микротик выключили на 5 минут из розетки, VPN обратно не поднялся. Так что скорее всего чёт в 3G модеме судя по всему. Отпишусь как съезжу на точку

[zubastik3650]

dronis3

 

Все правила сработали, спасибо! я получил доступ к регистратору из подсети 10.0.1.0. У меня теперь другой вопрос. Как мне пробросить порт при обращении на выделенный статичный адрес? т.е. чтоб при обращении на адрес 213.80.0.234:5050 шло перенаправление на 10.0.3.10:5050. Стандартное правило проброса порта dst-nat не сработало. Он как будто не видит 10.0.3.10. Ещё продумываю вариант, чтоб можно было поднимать ещё одно PPTP соединение, чтоб видеть 10.0.3.10. Но когда подключаю pptp, то вижу только 10.0.1.1 и машины в этой подсети. Я полагаю тут опять надо прописать статичный маршрут. но чёт я никак не додумаюсь, как это сделать.

 

Прошу помощи. Заранее спасибо.

 

попробуйте на центральном МТ (с внешним IP):

add action=netmap chain=dstnat dst-port=5050 protocol=tcp to-addresses=10.0.3.10 to-ports=5050

[mitinvs]

Господа. У меня какая-то засада! Спасайте!

Два микротика: Первый с белым IP. На нем поднят pptp-сервер (1.1.1.1).

Локалка 192.168.5.0/24

 

Второй с серым IP. На нем клиент. Подключается (1.1.1.2).

Локалка 192.168.10.0/24

 

PPTP соединения в добавлены в bridge1 к локальным сетям на двух концах.

Прописаны маршруты на двух роутерах:

На первом

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

7 ADC 192.168.5.0/24 192.168.5.1 bridge1 0

8 A S 192.168.10.0/24 1.1.1.2 1

На втором

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADS 0.0.0.0/0 10.112.113.107 1

1 ADC 1.1.1.1/32 1.1.1.2 yar 0

2 ADC 10.112.113.107/32 10.41.98.7 3g 0

3 A S 192.168.5.0/24 1.1.1.1 1

4 ADC 192.168.10.0/24 192.168.10.1 bridge2 0

 

С первого роутера такая вот беда:

Проходит пинг до 192.168.10.1 отлично, а до 192.168.10.11 (это комп в сети доступный для пинга) нет. таймаут)

tracert 192.168.10.1:

1 192.168.5.1

2 192.168.10.1

 

tracert 192.168.10.11:

1 192.168.5.1

2 1.1.1.2

3 * * *

 

Хотя со второго все работает:

 

Трассировка маршрута к 192.168.5.1 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.10.1

2 84 ms 79 ms 79 ms 192.168.5.1

Трассировка маршрута к 192.168.5.100 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.10.1

2 61 ms 60 ms 65 ms 1.1.1.1

3 77 ms 95 ms 59 ms 192.168.5.100

 

А мне нужно как раз таки из локальной сети с первого роутера 192.168.5.0/24 в сеть второго, а натыкаюсь на 1.1.1.2

Чего то не хватает))))

Помогите

[mitinvs]

Заметил еще один нюанс на втором микротике (lan на bridge2 192.168.10.1): пинг до 192.168.10.11 в локалке на интерфейсу bridge2 проходит отлично, а если выбрать интерфейс pptp то увы, переадресует на 1.1.1.1

Хотя в профиле pptp указан бридж и в бридже он появляется при поднятии.

[dronis3]

В ip routes нужно на сервере и клиенте объяснить в какие подсети они будут смотреть и не ставьте типа 0.0.0.0/0 работать не будет надо точную информацию и битность маски, просто туннеля не хватает для полного функционала. Когда просто туннель сделан, то вы видите основные шлюзы. Кстати выше все разжовано, как можно не сделать по тому что написано?

Изменено 17 февраля, 2016 пользователем dronis3

[mitinvs]

Извиняюсь! Все получилось. Просто убрал виртуальный интерфейс из бриджа))))) Все работает! Маршруты в обе стороны видны.