Jump to content
Калькуляторы

vpn-server внутри сети

Нестандартная ситуация:
основной шлюз - mikrotik
поднят статичный маршрут из локалки в удаленную сеть через циску
cisco router внутри сети с локальным айпишником, с нее поднят туннель site-to-site в удаленную сеть
трафик из локалки в удаленную сеть идет без вопросов
из удаленной сети доступ есть только до циски и микротика,
пингуемый хост в локалке ответ отдает, судя по tcpdump, но ответ застревает, вероятно, где-то на микротике

Уважаемые коллеги, кто сталкивался с подобной сиутацией? 
подскажите, как ее можно разрешить?

Share this post


Link to post
Share on other sites

маршрут к сетям знают оба маршрутизатора?

Share this post


Link to post
Share on other sites

микротик - 192.168.210.1

циска - 192.168.210.11

удаленный роутер -192.168.0.1

 

из локалки (192.168.210.29) в удаленную сеть (192.168.0.12):

$ sudo traceroute 192.168.0.12
traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets
 1  gateway (192.168.210.1)  0.325 ms  0.327 ms  0.360 ms
 2  192.168.210.11 (192.168.210.11)  9.087 ms  9.756 ms  10.442 ms
 3  192.168.0.1 (192.168.0.1)  71.385 ms  47.492 ms  49.682 ms
 4  192.168.0.12 (192.168.0.12)  53.219 ms  54.791 ms  56.330 ms

 

обратно:

# traceroute 192.168.210.29
traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.317 ms * *
 2  192.168.210.11 (192.168.210.11)  67.476 ms  67.469 ms  67.454 ms
 3  * * *
 

Share this post


Link to post
Share on other sites

Стык между МТ и кошкой в отличную от локальной сети адресацию уведите и маршруты поправьте, у вас L2 с L3 в одну кучу смешались, а разжевывать, простите, лень.

Share this post


Link to post
Share on other sites
11 часов назад, DRiVen сказал:

Стык между МТ и кошкой в отличную от локальной сети адресацию уведите

предлагаете вообще все переделать?

11 часов назад, DRiVen сказал:

маршруты поправьте, у вас L2 с L3 в одну кучу смешались

там один дефолтный маршрут и один статический.

вы о чем, простите?

11 часов назад, DRiVen сказал:

а разжевывать, простите, лень.

зато писать пространные рекомендации без всякой конкретики не лень..

вы такой загадочный :-)

Share this post


Link to post
Share on other sites

El de Rone   Человек имел введу что должно выглидить вот так:

1 gateway (192.168.210.1)  0.325 ms  0.327 ms  0.360 ms
2  192.168.211.11 (192.168.211.11)  9.087 ms  9.756 ms  10.442 ms

 

А не вот так 

 1 gateway (192.168.210.1)  0.325 ms  0.327 ms  0.360 ms
 2  192.168.210.11 (192.168.210.11)  9.087 ms  9.756 ms  10.442 ms

 

А это должно выглядит вот так. 

traceroute to 192.168.210.29 (192.168.210.29), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.317 ms * *
 2  192.168.211.11 (192.168.211.11)  67.476 ms  67.469 ms  67.454 ms

 3 gateway (192.168.210.1)  0.325 ms  0.327 ms  0.360 ms

Share this post


Link to post
Share on other sites

pingz Совершенно с вами согласен. Должно выглядеть примерно так как вы и указали. за циской должен увидеться микротик.

 

Share this post


Link to post
Share on other sites
49 минут назад, El de Rone сказал:

pingz Совершенно с вами согласен. Должно выглядеть примерно так как вы и указали. за циской должен увидеться микротик.

 

Ты цыферки перечитай. 

Share this post


Link to post
Share on other sites
2 часа назад, El de Rone сказал:

предлагаете вообще все переделать?

нет, только добавить стыковую подсеть и прописать маршрутизацию через нее.

 

2 часа назад, El de Rone сказал:

вы о чем, простите?

о минимальном знании работы протоколов.

 

2 часа назад, El de Rone сказал:

писать пространные рекомендации без всякой конкретики не лень..

С какого момента "пространной" стала одна строка текста? А насчет загадочности - у меня, загадочного, почему-то подобных вашему вопросов не возникает, все тривиально.

 

P.S>Для тру-пасанов: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2.

Share this post


Link to post
Share on other sites
4 часа назад, DRiVen сказал:

нет, только добавить стыковую подсеть и прописать маршрутизацию через нее.

настроить физические интерфейсы? или достаточно secondary ip address?

 

4 часа назад, DRiVen сказал:

не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2.

# traceroute 192.168.210.1

traceroute to 192.168.210.1 (192.168.210.1), 30 hops max, 60 byte packets
 1  192.168.0.1 (192.168.0.1)  0.583 ms  0.570 ms  0.674 ms
 2  192.168.210.11 (192.168.210.11)  56.752 ms  61.451 ms  61.445 ms
 3  192.168.210.1 (192.168.210.1)  61.427 ms  39.566 ms  41.206 ms

вопрос в том, что назад ответ через микротик не проходит.

так что возможно тут дело в PBR

 

4 часа назад, DRiVen сказал:

о минимальном знании работы протоколов.

 

при настройке микротика был указан один маршрут дефолтный и позже для впна один статический. остальные маршруты микротик делает сам.

что тут не так?

 

5 часов назад, pingz сказал:

выглидить

прошу прощения, сразу и не сообразил где опечатка, а где грамматическая ошибка :-)

сейчас ясно, что вы имеете ввиду, что для туннеля на циске надо сделать адрес не относящийся к диапазону локальной сети.

теперь я правильно вас понял?

Share this post


Link to post
Share on other sites

Все правильно, до МТ трассировка и должна работать, у нее прямой маршрут до 192.168.0.1 через кошку есть, в отличие от остальных хостов, которые только дефолт в 192.168.210.1 имеют. Никаких дополнительных физических соединений не нужно, повесьте на интерфейс МТ к существующему адресу еще, например, 192.168.254.1/30, на кошке замените 192.168.210.11 вторым адресом из новой подсети, 192.168.254.2/30, и поправьте маршруты, в МТ маршрут до 192.168.0.1(или .0/24 если там подсеть) через 192.168.254.2, кошке маршрут до 192.168.210.0/24 через 192.168.254.1.

Share this post


Link to post
Share on other sites

Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда

Share this post


Link to post
Share on other sites
47 минут назад, DRiVen сказал:

до МТ трассировка и должна работать, у нее прямой маршрут до 192.168.0.1 через кошку есть, в отличие от остальных хостов, которые только дефолт в 192.168.210.1 имеют.

да, но в обратную сторону, то все работает:

 

$ sudo traceroute 192.168.0.12

traceroute to 192.168.0.12 (192.168.0.12), 30 hops max, 60 byte packets
 1  gateway (192.168.210.1)  0.309 ms  0.343 ms  0.386 ms
 2  192.168.210.11 (192.168.210.11)  7.443 ms  8.131 ms  8.756 ms
 3  192.168.0.1 (192.168.0.1)  67.663 ms  34.252 ms  39.026 ms
 4  192.168.0.12 (192.168.0.12)  41.215 ms  42.764 ms  44.337 ms

 

Share this post


Link to post
Share on other sites
2 минуты назад, myth сказал:

Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда

будем считать это тестовой сетью :-)

 

56 минут назад, DRiVen сказал:

кошке маршрут до 192.168.210.0/24 через 192.168.254.1.

так это у нее один маршрут будет дефолтный?

Share this post


Link to post
Share on other sites
31 минуту назад, myth сказал:

Я 192.168.0.0, 192.168.1.0 вообще у себя на сети не использую никогда

Я отвечал, исходя из представленной ТС адресации.

31 минуту назад, El de Rone сказал:

да, но в обратную сторону, то все работает

Конечно, на пути туда проблем нет, запрос идет через МТ и так же возвращается, на MAC роутера, проблема в том, что адрес кошки висит в адресации LAN.

28 минут назад, El de Rone сказал:

так это у нее один маршрут будет дефолтный?

Почему один, направлений то два, ей про 1.0 тоже надо сказать :) А насчет использования дефолта - это как удобней, его направляют обычно в направлении нахождения наибольшего количества адресов. Если в вас она кроме как VPN держать ничем более не занимается, ей, имхо, достаточно просто два маршрута до 1.0 и 210.0 указать.

Share this post


Link to post
Share on other sites
1 минуту назад, DRiVen сказал:

Я отвечал, исходя из представленной ТС адресации.

так я ТСу и писал, что дурной тон эти подсети использовать

Share this post


Link to post
Share on other sites

Это, имхо, больше вопрос масштабируемости и предпочтений :)

Share this post


Link to post
Share on other sites

Слишком уж геморройно бегать по клиентам и перенастраивать им роутеры

Share this post


Link to post
Share on other sites
В 10/26/2017 в 19:32, El de Rone сказал:

подскажите, как ее можно разрешить?

У вас банальный ассиметричный роутинг. Нормально не работает, потому что на микротике есть правило в firewall, блокирующее invalid пакеты на forward. Уберите правило и все заработает. 

 

7 часов назад, DRiVen сказал:

P.S>Для тру-пасанов: не будет за циской микротик видеться, ибо маршут к адресу сети через адрес этой же сети не работает, они в одном l2.

откуда дровишки?

Edited by kt

Share this post


Link to post
Share on other sites
В 27.10.2017 в 21:06, kt сказал:

откуда дровишки?

интересная складывается дискуссия :-)

 

В 27.10.2017 в 21:06, kt сказал:

Уберите правило и все заработает. 

 

убрал все фильтрующие правила, эксперимента ради - без результата...

Share this post


Link to post
Share on other sites
4 часа назад, El de Rone сказал:

убрал все фильтрующие правила, эксперимента ради - без результата...

Эксперимента ради, собрал вашу схему. После выключения правила с блокировкой invalid, все прекрасно бегает в обе стороны.

Share this post


Link to post
Share on other sites
3 часа назад, kt сказал:

После выключения правила с блокировкой invalid, все прекрасно бегает в обе стороны.

видимо в первый раз что-то не применилось.

убрал - заработало. Спасибо! :-)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this