DobroFenix Posted August 10, 2016 Posted August 10, 2016 Имеется 2 микротика удаленных друг от друга На каждом из них заходит по 2 провайдера IP адреса маркеруются и выпускаются с определенного провайдера По инструкции: http://wiki.mikrotik.com/wiki/Russian/.... Была поднята pptp сессия между 2мя микротиками. Сервер: /ppp profile add name=df only-one=yes use-compression=yes use-encryption=yes use-vj-compression=yes /ppp secret add name=dobrofenix password=123 local-address=172.16.0.2 profile=df remote-address=172.16.0.1 service=pptp /interface pptp-server add name=df-alabin user=dobrofenix Клиент: /interface pptp-client add name=df-alabin connect-to=85.113.39.168 user=dobrofenix password=123 allow=mschap2 disabled=no Были прописаны IP адреса. На сервере: [dobrofenix@MikroTik] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.0.110/24 192.168.0.0 ether6 1 X 10.1.1.255/24 10.1.1.0 ether6 2 X 10.1.1.1/24 10.1.1.0 ether6 3 192.168.1.110/24 192.168.1.0 ether6 4 D 85.113.39.168/32 10.94.255.254 pppoe-out2 5 D 85.113.58.199/32 10.94.255.190 pppoe-out1 6 D 172.16.0.2/32 172.16.0.1 df-alabin 7 172.16.0.2/32 172.16.0.0 df-alabin На клиенте: [root@gw2-alabin] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 85.112.39.102/30 85.112.39.100 sfp1 1 10.1.1.1/16 10.1.0.0 sfp5 2 192.168.0.1/24 192.168.0.0 sfp5 3 10.1.20.1/16 10.1.0.0 sfp5 4 192.168.1.110/24 192.168.1.0 sfp5 5 80.252.24.172/26 80.252.24.128 sfp2 6 80.252.25.16/29 80.252.25.16 sfp5 7 80.252.25.17/29 80.252.25.16 sfp5 8 80.252.25.18/29 80.252.25.16 sfp2 9 80.252.25.23/29 80.252.25.16 sfp2 10 10.1.19.1/24 10.1.19.0 sfp5 11 D 172.16.0.1/32 172.16.0.2 df-alabin 12 172.16.0.1/32 172.16.0.0 df-alabin Дописал по второму разу адреса, так как не понравилась их маска. Шлюзы без проблем пингуют друг друга и компьютеры внутри сетей. Если на первом шлюзе(сервере) прописать такой маршрут, то даже можно пропинговать компьютер в другой сети: 1 A S dst-address=10.1.8.107/32 gateway=172.16.0.1 gateway-status=172.16.0.1 reachable via df-alabin distance=1 scope=30 target-scope=10 routing-mark=vip Но дело не в этом...... Задача: Как сделать так, чтобы 10.1.8.107, который находится в сети pptp клиента выходил в интернет(имел белый ip адрес) через первый маршрутизатор, который является pptp сервером? То есть, работает за первым маршрутизатором сервер на адресе 192.168.0.107. Мы складываем его в виртуалку за вторым маршрутизатором на адрес 10.1.8.107 и на первом маршрутизаторе делаем перенаправление всего входящего и исходящего трафика не на 192.168.0.107, а на 10.1.8.107 через vpn. Как реализовать такую схему? Вставить ник Quote
DobroFenix Posted August 10, 2016 Author Posted August 10, 2016 (edited) Победил. Нужно было в качестве роута использовать не 10.1.8.107 routing-mark=vip, а 0.0.0.0/0 routing-mark=vip После данного роута: 5 A S dst-address=10.1.8.0/24 gateway=172.16.0.1 gateway-status=172.16.0.1 reachable via df-alabin distance=1 scope=30 target-scope=10 Заработал порт форварлдинг с белого адреса первого маршрутизатора в NAT второго маршрутизатора через VPN. Edited August 10, 2016 by DobroFenix Вставить ник Quote
DobroFenix Posted August 12, 2016 Author Posted August 12, 2016 (edited) Новая нерешенная проблема -- не работает masquerade. Первый шлюз не передает реальные ip адреса клиентов в следствие чего второй шлюз видит будто всё приходит с адреса 172.16.0.2 На обоих маршрутизаторах есть такое правило: 4 chain=srcnat action=masquerade out-interface=df-alabin log=no log-prefix="> Что не так? Почему первый маршрутизатор не передает адреса клиентов? Если маскарадить 172.16.0.0/24 на обоих шлюзах, то шлюз передает адрес не 172.16.0.2, а 10.1.1.1, что тоже не верно. Edited August 12, 2016 by DobroFenix Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.