sharik987 Опубликовано 28 августа, 2018 Здравствуйте. Имеется вопрос, Схема сети как на картинке, только внутри GRE используется IPsec(внутри GRE включена галочка и вбит пароль). Маршрутизация через OSPF. На микротиках последние версии прошивок. На бриджах ARP-proxy. Почему при подключении, к примеру, через тот же винбокс из под любого ПК в сети 10.1.101.0/24 к микроту 10.1.202.1 , то в винбоксе показывается что подключение произошло из под 172.16.1.1 ? Почему не показывается конкретный IP пк из под которого я подключился 10.1.101.3 ... Даже если это будет не винбок, а к примеру фаиловый сервер, то на все подключения к нему из другой сети, филиала №2, отображается всегда внутренний IP Туннеля. И как это исправить, где рыть разгадку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 28 августа, 2018 Похоже на то, что у вас включен NAT на интерфейсах туннеля. Покажите конфиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sharik987 Опубликовано 28 августа, 2018 (изменено) 57 minutes ago, crank said: Похоже на то, что у вас включен NAT на интерфейсах туннеля. Покажите конфиг. Spoiler /interface bridge add arp=proxy-arp fast-forward=no name=LOCAL add disabled=yes fast-forward=no name=WAN /interface gre add allow-fast-path=no comment=GREIZI1 ipsec-secret=XXXXXXXXXXXXXXXX !keepalive local-address=83.XXX.ХХХ.XXX name=gre-izi-ЧЧЧ remote-address=185.ЧЧЧ.255.ЧЧЧ add allow-fast-path=no comment=GREIZI2 disabled=yes !keepalive local-address=83.XXX.ХХХ.XXX name=gre-izi-ЧЧЧ2 remote-address=185.ЧЧЧ.255.ЧЧЧ add allow-fast-path=no ipsec-secret=XXXXXXXXXXXXXXXX !keepalive local-address=83.XXX.ХХХ.XXX name=gre-ГГГz-ЧЧЧ remote-address=91.211.ЧЧ.ЧЧЧ /interface vlan add interface=LOCAL name=vlan10-СССvlan-id=10 add interface=LOCAL name=vlan20-ГГГ vlan-id=20 add interface=LOCAL name=vlan24-МММ vlan-id=24 add interface=LOCAL name=vlan30-TEL vlan-id=30 add interface=LOCAL name=vlan40-CAMERA vlan-id=40 add interface=LOCAL name=vlan88-GUEST vlan-id=88 add interface=LOCAL name=vlan99-VPN vlan-id=99 add interface=LOCAL name=vlan100-USER vlan-id=100 /interface list add name=WAN1 add name=WAN2 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec proposal set [ find default=yes ] auth-algorithms=md5 /ip pool add name=dhcp_pool_40 ranges=192.168.40.100-192.168.40.200 add name=dhcp_pool_24 ranges=192.168.24.100-192.168.24.200 add name=dhcp_pool_88 ranges=192.168.88.100-192.168.88.200 add name=dhcp_pool_20 ranges=192.168.20.100-192.168.20.200 add name=dhcp_pool_10 ranges=192.168.10.100-192.168.10.200 add name=dhcp_pool_100 ranges=192.168.100.100-192.168.100.200 add name=dhcp_pool_200 ranges=192.168.200.100-192.168.200.254 add name=ovpn_pool ranges=192.168.99.60-192.168.99.79 add name=dhcp_pool_30 ranges=192.168.30.100-192.168.30.130 /ip dhcp-server add address-pool=dhcp_pool_200 disabled=no interface=LOCAL lease-time=30m name=LOCAL_200 add address-pool=dhcp_pool_24 disabled=no interface=vlan24-МММ lease-time=20m name=dhcp_24 add address-pool=dhcp_pool_10 disabled=no interface=vlan10-СССlease-time=20m name=dhcp_10 add address-pool=dhcp_pool_20 disabled=no interface=vlan20-ГГГ lease-time=20m name=dhcp_20 add address-pool=dhcp_pool_40 disabled=no interface=vlan40-CAMERA lease-time=20m name=dhcp_40 add address-pool=dhcp_pool_88 disabled=no interface=vlan88-GUEST lease-time=20m name=dhcp_88 add address-pool=dhcp_pool_100 disabled=no interface=vlan100-USER lease-time=20m name=dhcp_100 add address-pool=dhcp_pool_30 disabled=no interface=vlan30-TEL name=dhcp_30 /routing ospf area add area-id=192.168.213.0 name=home /routing ospf instance set [ find default=yes ] router-id=192.168.200.1 /tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw /interface bridge port add bridge=LOCAL interface=ether3 add bridge=LOCAL interface=ether4 add bridge=LOCAL interface=ether5 add bridge=WAN hw=no interface=sfp-sfpplus2 add bridge=WAN interface=ether1 add bridge=LOCAL interface=ether8 add bridge=WAN hw=no interface=sfp-sfpplus1 add bridge=LOCAL interface=ether6 add bridge=LOCAL interface=ether7 /interface list member add interface=sfp-sfpplus1 list=WAN1 add interface=sfp-sfpplus2 list=WAN1 add interface=ether1 list=WAN1 /ip address add address=192.168.40.1/24 comment=Vlan40 interface=vlan40-CAMERA network=192.168.40.0 add address=83.XXX.ХХХ.XXX/24 comment=NEO_old interface=ether1 network=83.XXX.ХХХ.0 add address=192.168.24.1/24 comment=Vlan24 interface=vlan24-МММ network=192.168.24.0 add address=192.168.10.1/24 comment=Vlan10 interface=vlan10-СССnetwork=192.168.10.0 add address=192.168.20.1/24 comment=Vlan20 interface=vlan20-ГГГ network=192.168.20.0 add address=192.168.88.1/24 comment=Vlan88 interface=vlan88-GUEST network=192.168.88.0 add address=192.168.100.1/24 comment=Vlan100 interface=vlan100-USER network=192.168.100.0 add address=192.168.200.1/24 comment=admin interface=LOCAL network=192.168.200.0 add address=172.22.2.33/30 comment=shar interface=shar network=172.22.2.32 add address=172.22.252.9/30 comment=gre-ГГГz-ЧЧЧ interface=gre-ГГГz-ЧЧЧ network=172.22.252.8 add address=172.22.2.29/30 comment=gre-МММ-ЧЧЧ1 interface=gre-izi-ЧЧЧ network=172.22.2.28 add address=83.XXX.ХХХ.72/24 comment=NEO_СССinterface=ether1 network=83.XXX.ХХХ.0 add address=83.XXX.ХХХ.73/24 comment=NEO_МММ interface=ether1 network=83.XXX.ХХХ.0 add address=83.XXX.ХХХ.74/24 comment=NEO_ГГГ interface=ether1 network=83.XXX.ХХХ.0 add address=192.168.30.1/24 comment=Vlan30 interface=vlan30-TEL network=192.168.30.0 add address=89.ХХХ.ХХХ.217/26 disabled=yes interface=ether2 network=89.ХХХ.ХХХ.192 add address=192.168.99.1/24 interface=vlan99-VPN network=192.168.99.0 add address=172.22.4.29/30 comment=gre-МММ-ЧЧЧ2 disabled=yes interface=gre-izi-ЧЧЧ2 network=172.22.4.28 /ip dhcp-client # DHCP client can not run on slave interface! add dhcp-options=hostname,clientid disabled=no interface=ether8 /ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.20,192.168.24.20,192.168.20.20 gateway=192.168.10.1 add address=192.168.20.0/24 dns-server=192.168.20.20,192.168.24.20,192.168.10.20 gateway=192.168.20.1 add address=192.168.24.0/24 dns-server=192.168.24.20,192.168.24.1 gateway=192.168.24.1 add address=192.168.30.0/24 dns-server=192.168.10.20,192.168.24.20 gateway=192.168.30.1 add address=192.168.40.0/24 dns-server=192.168.40.1,8.8.8.8 gateway=192.168.40.1 add address=192.168.88.0/24 dns-server=192.168.88.1,8.8.8.8 gateway=192.168.88.1 add address=192.168.100.0/24 dns-server=192.168.100.1,192.168.10.20,192.168.20.20,192.168.24.20 gateway=192.168.100.1 add address=192.168.200.0/24 dns-server=192.168.10.20,192.168.24.20,192.168.20.20,192.168.100.1 gateway=192.168.200.1 /ip dns set allow-remote-requests=yes servers=217.150.ххх.ххх,217.150.1ЧЧЧ.ххх /ip firewall address-list add address=192.168.100.0/24 list=teamviewer_ON add address=192.168.200.180 list=teamviewer_ON /ip firewall nat add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.10.0/24 to-addresses=83.XXX.ХХХ.72 add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.24.0/24 to-addresses=83.XXX.ХХХ.73 add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.20.0/24 to-addresses=83.XXX.ХХХ.74 add action=masquerade chain=srcnat out-interface=shar add action=masquerade chain=srcnat out-interface=gre-ГГГz-ЧЧЧ add action=masquerade chain=srcnat out-interface=gre-izi-ЧЧЧ add action=masquerade chain=srcnat out-interface=ovpn-ProxMox add action=masquerade chain=srcnat disabled=yes dst-address=192.168.99.0/24 out-interface=ether1 add action=masquerade chain=srcnat out-interface=ether1 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=1720 protocol=tcp to-addresses=192.168.10.60 to-ports=1720 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.XXX dst-port=1720 protocol=tcp to-addresses=192.168.10.60 to-ports=1720 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=50000-50499 protocol=udp to-addresses=192.168.10.60 to-ports=50000-50499 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=50000-50499 protocol=tcp to-addresses=192.168.10.60 to-ports=50000-50499 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.XXX dst-port=50000-50499 protocol=udp to-addresses=192.168.10.60 to-ports=50000-50499 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.XXX dst-port=34567 protocol=tcp to-addresses=192.168.40.200 to-ports=34567 add action=dst-nat chain=dstnat disabled=yes dst-address=83.XXX.ХХХ.XXX dst-port=80 protocol=tcp to-addresses=192.168.40.238 to-ports=80 add action=dst-nat chain=dstnat disabled=yes dst-address=83.XXX.ХХХ.72 dst-port=25 protocol=tcp src-address=138.ЧЧЧ.ЧЧЧ.94 to-addresses=192.168.10.26 to-ports=25 add action=dst-nat chain=dstnat disabled=yes dst-address=83.XXX.ХХХ.72 dst-port=25 protocol=tcp src-address=185.ЧЧЧ.ЧЧЧ.5 to-addresses=192.168.10.26 to-ports=25 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=25 protocol=tcp to-addresses=192.168.10.26 to-ports=25 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=443 protocol=tcp to-addresses=192.168.10.26 to-ports=443 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=143 protocol=tcp to-addresses=192.168.10.26 to-ports=143 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=587 protocol=tcp to-addresses=192.168.10.26 to-ports=587 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=465 protocol=tcp to-addresses=192.168.10.26 to-ports=465 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=9ЧЧЧ protocol=tcp to-addresses=192.168.10.26 to-ports=9ЧЧЧ add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=25 protocol=tcp to-addresses=192.168.24.26 to-ports=25 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=443 protocol=tcp to-addresses=192.168.24.26 to-ports=443 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=143 protocol=tcp to-addresses=192.168.24.26 to-ports=143 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=587 protocol=tcp to-addresses=192.168.24.26 to-ports=587 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=465 protocol=tcp to-addresses=192.168.24.26 to-ports=465 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=9ЧЧЧ protocol=tcp to-addresses=192.168.24.26 to-ports=9ЧЧЧ add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=25 protocol=tcp to-addresses=192.168.20.26 to-ports=25 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=443 protocol=tcp to-addresses=192.168.20.26 to-ports=443 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=143 protocol=tcp to-addresses=192.168.20.26 to-ports=143 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=587 protocol=tcp to-addresses=192.168.20.26 to-ports=587 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=465 protocol=tcp to-addresses=192.168.20.26 to-ports=465 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=9ЧЧЧ protocol=tcp to-addresses=192.168.20.26 to-ports=9ЧЧЧ add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=10000-20000 protocol=tcp to-addresses=192.168.20.35 to-ports=10000-20000 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=10000-20000 protocol=tcp to-addresses=192.168.10.35 to-ports=10000-20000 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=10000-20000 protocol=udp to-addresses=192.168.20.35 to-ports=10000-20000 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=10000-20000 protocol=udp to-addresses=192.168.10.35 to-ports=10000-20000 add action=dst-nat chain=dstnat disabled=yes dst-address=83.XXX.ХХХ.74 dst-port=5060 protocol=tcp to-addresses=192.168.20.35 to-ports=5060 /ip firewall service-port set sip disabled=yes /ip route add check-gateway=ping disabled=yes distance=1 gateway=83.XXX.ХХХ.1 pref-src=83.XXX.ХХХ.72 routing-mark=mail_sph add distance=1 gateway=83.XXX.ХХХ.1 add disabled=yes distance=1 gateway=89.ХХХ.ХХХ.1ЧЧЧ add distance=220 dst-address=10.1.1.0/24 gateway=gre-izi-ЧЧЧ2 scope=20 add disabled=yes distance=1 dst-address=192.168.19.0/24 gateway=172.22.252.10 /routing igmp-proxy set quick-leave=yes /routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes add interface=LOCAL /routing ospf network add area=backbone network=172.22.2.32/30 add area=backbone network=172.22.252.8/30 add area=backbone network=192.168.100.0/24 add area=backbone network=192.168.24.0/24 add area=backbone network=192.168.20.0/24 add area=backbone network=172.22.2.28/30 add area=backbone network=192.168.200.0/24 add area=backbone network=192.168.10.0/24 add area=backbone network=192.168.19.0/24 add area=backbone network=192.168.99.0/24 add area=backbone network=172.22.4.28/30 ок. У меня получается провайдер по одному проводу дает несколько выделенных IP, входят в eth1 , и там сделано разводка по сетям- VLAN-ам Изменено 28 августа, 2018 пользователем sharik987 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 28 августа, 2018 16 минут назад, sharik987 сказал: add action=masquerade chain=srcnat out-interface=gre-ГГГz-ЧЧЧ add action=masquerade chain=srcnat out-interface=gre-izi-ЧЧЧ Вот этими строчками у вас включается NAT на внутренних адресах туннеля. Из-за этого вы видите адрес роутера на противоположной стороне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sharik987 Опубликовано 28 августа, 2018 38 minutes ago, crank said: Вот этими строчками у вас включается NAT на внутренних адресах туннеля. Из-за этого вы видите адрес роутера на противоположной стороне Отключил правила, не помогает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sharik987 Опубликовано 28 августа, 2018 Еще заметил интересный момент, на сервере телефонии почему то некоторые телефоны определяются по правильному адресу, а некоторые по тунельному... 192,168,19,0 Сеть за тунелем 172,22,252,10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...