DobroFenix Posted August 10, 2016 · Report post Имеется 2 микротика удаленных друг от друга На каждом из них заходит по 2 провайдера IP адреса маркеруются и выпускаются с определенного провайдера По инструкции: http://wiki.mikrotik.com/wiki/Russian/.... Была поднята pptp сессия между 2мя микротиками. Сервер: /ppp profile add name=df only-one=yes use-compression=yes use-encryption=yes use-vj-compression=yes /ppp secret add name=dobrofenix password=123 local-address=172.16.0.2 profile=df remote-address=172.16.0.1 service=pptp /interface pptp-server add name=df-alabin user=dobrofenix Клиент: /interface pptp-client add name=df-alabin connect-to=85.113.39.168 user=dobrofenix password=123 allow=mschap2 disabled=no Были прописаны IP адреса. На сервере: [dobrofenix@MikroTik] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.0.110/24 192.168.0.0 ether6 1 X 10.1.1.255/24 10.1.1.0 ether6 2 X 10.1.1.1/24 10.1.1.0 ether6 3 192.168.1.110/24 192.168.1.0 ether6 4 D 85.113.39.168/32 10.94.255.254 pppoe-out2 5 D 85.113.58.199/32 10.94.255.190 pppoe-out1 6 D 172.16.0.2/32 172.16.0.1 df-alabin 7 172.16.0.2/32 172.16.0.0 df-alabin На клиенте: [root@gw2-alabin] > ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 85.112.39.102/30 85.112.39.100 sfp1 1 10.1.1.1/16 10.1.0.0 sfp5 2 192.168.0.1/24 192.168.0.0 sfp5 3 10.1.20.1/16 10.1.0.0 sfp5 4 192.168.1.110/24 192.168.1.0 sfp5 5 80.252.24.172/26 80.252.24.128 sfp2 6 80.252.25.16/29 80.252.25.16 sfp5 7 80.252.25.17/29 80.252.25.16 sfp5 8 80.252.25.18/29 80.252.25.16 sfp2 9 80.252.25.23/29 80.252.25.16 sfp2 10 10.1.19.1/24 10.1.19.0 sfp5 11 D 172.16.0.1/32 172.16.0.2 df-alabin 12 172.16.0.1/32 172.16.0.0 df-alabin Дописал по второму разу адреса, так как не понравилась их маска. Шлюзы без проблем пингуют друг друга и компьютеры внутри сетей. Если на первом шлюзе(сервере) прописать такой маршрут, то даже можно пропинговать компьютер в другой сети: 1 A S dst-address=10.1.8.107/32 gateway=172.16.0.1 gateway-status=172.16.0.1 reachable via df-alabin distance=1 scope=30 target-scope=10 routing-mark=vip Но дело не в этом...... Задача: Как сделать так, чтобы 10.1.8.107, который находится в сети pptp клиента выходил в интернет(имел белый ip адрес) через первый маршрутизатор, который является pptp сервером? То есть, работает за первым маршрутизатором сервер на адресе 192.168.0.107. Мы складываем его в виртуалку за вторым маршрутизатором на адрес 10.1.8.107 и на первом маршрутизаторе делаем перенаправление всего входящего и исходящего трафика не на 192.168.0.107, а на 10.1.8.107 через vpn. Как реализовать такую схему? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DobroFenix Posted August 10, 2016 (edited) · Report post Победил. Нужно было в качестве роута использовать не 10.1.8.107 routing-mark=vip, а 0.0.0.0/0 routing-mark=vip После данного роута: 5 A S dst-address=10.1.8.0/24 gateway=172.16.0.1 gateway-status=172.16.0.1 reachable via df-alabin distance=1 scope=30 target-scope=10 Заработал порт форварлдинг с белого адреса первого маршрутизатора в NAT второго маршрутизатора через VPN. Edited August 10, 2016 by DobroFenix Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DobroFenix Posted August 12, 2016 (edited) · Report post Новая нерешенная проблема -- не работает masquerade. Первый шлюз не передает реальные ip адреса клиентов в следствие чего второй шлюз видит будто всё приходит с адреса 172.16.0.2 На обоих маршрутизаторах есть такое правило: 4 chain=srcnat action=masquerade out-interface=df-alabin log=no log-prefix="> Что не так? Почему первый маршрутизатор не передает адреса клиентов? Если маскарадить 172.16.0.0/24 на обоих шлюзах, то шлюз передает адрес не 172.16.0.2, а 10.1.1.1, что тоже не верно. Edited August 12, 2016 by DobroFenix Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...