[svyatoy666]

Добрый день дорогие ГУРУ. Вопрос заключается в следующем. Есть головной офис с микротиком на нем поднят VPN сервер клиент подключается все хорошо работает с сетевыми шарами и все такое. Могу ли я из головного офиса зайти на машину этого клиента? Если да то как?

[Saab95]

Можно, для этого нужно ввести его IP адрес, который выдался в туннеле и все. На компьютере должны быть разрешения на доступ в антивирусе и брандмауере.

[svyatoy666]

я вводил адрес который выдается клиенту. Но не дает подключиться на клиенте тоже пробовал отключать фаервол и антивирус. Пинги проходят до клиента только с микротика, из офиса из сети пинги не идут. Может какие то маршруты нужно дописать?

Изменено 2 июня, 2016 пользователем svyatoy666

[Saab95]

Так возможно ответы уходят в сторону интернета у клиента, попробуйте пропинговать его с микротика, на который он туннель поднимает. Если пинги проходят, то на компьютере нужно добавить статические маршруты с адресами удаленной сети, что бы на запросы с них он отвечал в туннель.

[svyatoy666]

С микротика проходят пинги на туннель. Не могли бы сказать какие именно маршруты нужно прописать на клиенте. Т.е. добавить в маршруты все подсеть офисной сети? Попробую так сделать. По факту отпишусь.Спасибо большое.

[Mirolub]

!!! ОЧЕНЬ СРОЧНО НУЖНО!!! - ВЧЕРА!!!

 

День добрый!

 

Буду признателен и благодарен (пивом, деньгами) в общем я в отчаянье :( С Микротиком никогда не сталкивался, только Linux и Cisco но там синтаксис иной :( Напишу кратко.

Есть провайдер, который выдаёт инет через DHCP на WAN1 порт. И есть LTE модем, как резервный канал.

Задача вроде проста, если отвалился WAN1 то маршруты пускаем, через LTE.

Но !!! Поднято два OVPN клиента, 2 коннекта, задача простой казалась, нужно чтобы не байта вы вышло к провайдеру не через WAN1 не через LTE !!! А только весь трафик шел через OVPN клиента, причём, клиенты если нет соединения, переключаются (5 VPN серверов в списке). Помогли мне подготовить и запустить LTE модем и Частично Микротик. Вот и всё. LTE - запустил, DHCP на WAN1 клиента подняли, DHCP сервер на локал-бридж, сделали, Wi-Fi подняли. Клиента OVPN подняли, сертификаты загружены. Коннект OVPN есть. Даже вроде получилось l2tp сервер поднять, чтобы можно было заходить на роутер. А остальное как, даже не знаю. :((( Помогите плиз, деньги переведу СРАЗУ на тел, QIWI и т.д. ОЧЕНЬ СРОЧНО НУЖНО!!!

[Advvokat]

ВЧЕРА

Так вчера уже прошло. Увы...

 

Есть провайдер, который выдаёт инет через DHCP на WAN1 порт. И есть LTE модем, как резервный канал.

Задача вроде проста, если отвалился WAN1 то маршруты пускаем, через LTE.

Один в один, как у меня дома.

 

А по существу, Вы бы создали отдельную тему. Быть может, народ быстрее откликнется.

[Advvokat]

А остальное как, даже не знаю.

А остальное, что? В чем проблема?

Я не имел дела с OVPN. Далее будут лишь предположения. Данные не ходят через OVPN? Попробовать в роутах (IP - Routes) прописать на 0.0.0.0/0 (или другое) дистанцию 0 и 1. К примеру.

Изменено 9 июня, 2016 пользователем Advvokat

[Mirolub]

А остальное как, даже не знаю.

А остальное, что? В чем проблема?

Я не имел дела с OVPN. Далее будут лишь предположения. Данные не ходят через OVPN? Попробовать в роутах (IP - Routes) прописать на 0.0.0.0/0 (или другое) дистанцию 0 и 1. К примеру.

1)Упал VPN? - тогда отключаем маршрут во внешку с локалки и вафли не байта трафа наружу даже по DNS!

2)Поднимаем следующий VPN с параметрами из списка(всего около 10 серверов)Ну или коннект держим с двумя а затем просто меняем маршрут видя, что изменилась метрика.

Я понимаю, что сделать нужно но не понимаю, как на этой железке а времени нет от слова ВООБЩЕ. :(

Я так понимаю нужны правильные маршруты прописать (сорри я в тиках 3й день) и доработать вот этот скрипт ВЗЯТ С ХАБРА:

[spoller]

:delay 10s

:local Iface "ovpn-out1"

:local StatusIface

:local CurrentGateway

:local pingInet

:local pingLink

:local pingGateway

:local IPToPingInet "213.180.193.3"

:local IPToPing "8.8.4.4"

:local PingCount 5

:local Margin 1l

:local Distance 1

:local DistanceDefault 10

:local RunTime 0

:local TimeToWait 20

 

 

 

#Ïåðâûé öèêë

while (true) do={

# ïèíãóåì îáùèé èíòåðíåò

:set pingInet [/ping $IPToPingInet count=$PingCount interface=$Iface]

:log debug "$pingInet $Iface $IPToPingInet"

:if ($pingInet < ($PingCount-$Margin)) do={

:log error "No internet connection on $Iface."

/ip dhcp-client set [/ip dhcp-client find interface=$Iface] add-default-route=no

 

# Âòîðîé öèêë

:while ($pingInet < ($PingCount-$Margin)) do={

# ïèíãóåì èíòåðíåò ÷åðåç òåñò

:set pingLink [/ping $IPToPing count=$PingCount interface=$Iface]

:log debug "$pingLink $Iface $IPToPing"

:if ($pingLink < ($PingCount-$Margin)) do={

# Ïåðâàÿ ïåðåçàãðóçêà

/interface ethernet disable $Iface; /interface ethernet enable $Iface

:while ($pingLink < ($PingCount-$Margin)) do={

:log debug "$pingLink $Iface $IPToPing"

:set RunTime ($RunTime + 1)

:log debug $RunTime

# Time to wait

:if ( $RunTime = $TimeToWait ) do={

# Reboot interface

:log info "reboot and release $Iface"

/interface ethernet disable $Iface; /interface ethernet enable $Iface

:set RunTime 0

}

# Æäåì çàãðóçêè èíòåðôåéñà

:if ([/interface ethernet get $Iface disabled] = false) do={

:log debug "Interface $Iface enabled"

# Ïðîâåðÿåì ëèíê

/interface ethernet monitor $Iface once do={

:set StatusIface $status

}

:if ($StatusIface = "link-ok") do={

:log debug "$Iface link-ok."

# Ïðîâåðÿåì dhcp

:if ([/ip dhcp-client find interface=$Iface] != "") do={

:log debug "test1"

# Ïðîâåðÿåì èëè íåò îøèáêè DHCP

:if ( [/ip dhcp-client get [/ip dhcp-client find interface=$Iface] invalid ] != true) do={

:log debug "test2"

# Æäåì ïîëó÷åíèÿ DHCP lease

:set CurrentGateway [/ip dhcp-client get [/ip dhcp-client find interface=$Iface] gateway ]

:log debug "Waiting DHCP lease"

:if ($CurrentGateway != nil) do={

:set CurrentGateway [:put ("$CurrentGateway" . "%$Iface")]

:log debug "CurrentGateway $CurrentGateway"

# Looking for route test

:log debug "Cheking test route for $Iface..."

:local a [ /ip route find comment="$Iface" ]

:if (($a) = "") do={

:log info ("Adding test route for $Iface...")

/ip route add dst-address=$IPToPing gateway=$CurrentGateway comment="$Iface" distance=$Distance

} else={

:local EstablishedGateway [/ip route get [/ip route find comment=$Iface] gateway ]

:log debug "EstablishedGateway $EstablishedGateway"

:if ( $CurrentGateway = $EstablishedGateway ) do={

:log debug "No route changes needed for $Iface."

} else={

:log info "Updating test route for $Iface..."

/ip route set [/ip route find comment="$Iface" ] dst-address=$IPToPing gateway=$CurrentGateway comment="$Iface" distance=$Distance

}

}

:set pingGateway [/ping [/ip dhcp-client get [/ip dhcp-client find interface=$Iface] gateway ] count=$PingCount interface=$Iface]

:log debug "$pingGateway $Iface $IPToPing"

:if ($pingGateway < ($PingCount-$Margin)) do={

:log error "route error on $Iface"

:log debug [/ip dhcp-client get [/ip dhcp-client find interface=$Iface] gateway ]

/ip dhcp-client release [/ip dhcp-client find interface=$Iface]

}

} else={

:log error "DHCP no lease."

:delay 1s

}

} else={

:log error "DHCP failure on $Iface."

:log info "reboot and release $Iface"

/interface ethernet disable $Iface; /interface ethernet enable $Iface

:delay 1s

}

} else={ :log info "adding DHCP client for $Iface"

/ip dhcp-client add interface=$Iface disabled=no add-default-route=yes default-route-distance=$DistanceDefault use-peer-dns=no use-peer-ntp=no

}

} else={

:log debug "No-link on $Iface."

:delay 1s

}

} else={

:log error "Interface $Iface disabled."

}

:set pingLink [/ping $IPToPing count=$PingCount interface=$Iface]

}

} else={

:log info "add default route= yes for $Iface"

/ip dhcp-client set [/ip dhcp-client find interface=$Iface] add-default-route=yes

}

:set pingInet [/ping $IPToPingInet count=$PingCount interface=$Iface]

}

} else={

:log debug "Internet on $Iface connected."

}

}

[/spoller]

 

Что-то напутал может с NAT а может с маршрутами пока не разобрался. Трафик с терминала тика через ovpn ходит. С локал-бриджа - НЕТ с wi-fi -нет. Даже DHCP сервер не работает на локалхосте и вафле :( Я в печали. ICQ 677524270 сижу четвёртые сутки :(

 

ВЧЕРА

Так вчера уже прошло. Увы...

 

Есть провайдер, который выдаёт инет через DHCP на WAN1 порт. И есть LTE модем, как резервный канал.

Задача вроде проста, если отвалился WAN1 то маршруты пускаем, через LTE.

Один в один, как у меня дома.

 

А по существу, Вы бы создали отдельную тему. Быть может, народ быстрее откликнется.

 

Не смешно ей богу хоть бери кувалду.. на эти тики и восстанавливай нервную систему :(

Изменено 9 июня, 2016 пользователем Mirolub

[Advvokat]

1)Упал VPN? - тогда отключаем маршрут во внешку с локалки и вафли не байта трафа наружу даже по DNS!

Первая запись: 0.0.0.0/0 на OVPN1 дистанция 1

Вторая запись: 0.0.0.0/0 на OVPN2 дистанция 2

Третья запись: 0.0.0.0/0 на 127.0.0.1 (не знаю, сработает ли) дистанция 3

.....

...дцатая запись: 0.0.0.0/0 на провайдера дистанция 100 (или совсем ее выключить)

 

Повторюсь, с этим дела не имел. За работоспособность ручаться не могу. Но делал бы именно так. Либо искал решение в интернете.

 

С падением OVPN клиентов, видимо, скриптом проверять. Думаю, есть готовые решения. Вроде как, в Вашем сообщении оно и есть.

 

Даже DHCP сервер не работает на локалхосте и вафле

https://netflow.by/blog/item/116-dhcp-on-mikrotik - как вариант.