sharik987 Posted August 28, 2018 · Report post Здравствуйте. Имеется вопрос, Схема сети как на картинке, только внутри GRE используется IPsec(внутри GRE включена галочка и вбит пароль). Маршрутизация через OSPF. На микротиках последние версии прошивок. На бриджах ARP-proxy. Почему при подключении, к примеру, через тот же винбокс из под любого ПК в сети 10.1.101.0/24 к микроту 10.1.202.1 , то в винбоксе показывается что подключение произошло из под 172.16.1.1 ? Почему не показывается конкретный IP пк из под которого я подключился 10.1.101.3 ... Даже если это будет не винбок, а к примеру фаиловый сервер, то на все подключения к нему из другой сети, филиала №2, отображается всегда внутренний IP Туннеля. И как это исправить, где рыть разгадку? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted August 28, 2018 · Report post Похоже на то, что у вас включен NAT на интерфейсах туннеля. Покажите конфиг. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sharik987 Posted August 28, 2018 (edited) · Report post 57 minutes ago, crank said: Похоже на то, что у вас включен NAT на интерфейсах туннеля. Покажите конфиг. Spoiler /interface bridge add arp=proxy-arp fast-forward=no name=LOCAL add disabled=yes fast-forward=no name=WAN /interface gre add allow-fast-path=no comment=GREIZI1 ipsec-secret=XXXXXXXXXXXXXXXX !keepalive local-address=83.XXX.ХХХ.XXX name=gre-izi-ЧЧЧ remote-address=185.ЧЧЧ.255.ЧЧЧ add allow-fast-path=no comment=GREIZI2 disabled=yes !keepalive local-address=83.XXX.ХХХ.XXX name=gre-izi-ЧЧЧ2 remote-address=185.ЧЧЧ.255.ЧЧЧ add allow-fast-path=no ipsec-secret=XXXXXXXXXXXXXXXX !keepalive local-address=83.XXX.ХХХ.XXX name=gre-ГГГz-ЧЧЧ remote-address=91.211.ЧЧ.ЧЧЧ /interface vlan add interface=LOCAL name=vlan10-СССvlan-id=10 add interface=LOCAL name=vlan20-ГГГ vlan-id=20 add interface=LOCAL name=vlan24-МММ vlan-id=24 add interface=LOCAL name=vlan30-TEL vlan-id=30 add interface=LOCAL name=vlan40-CAMERA vlan-id=40 add interface=LOCAL name=vlan88-GUEST vlan-id=88 add interface=LOCAL name=vlan99-VPN vlan-id=99 add interface=LOCAL name=vlan100-USER vlan-id=100 /interface list add name=WAN1 add name=WAN2 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec proposal set [ find default=yes ] auth-algorithms=md5 /ip pool add name=dhcp_pool_40 ranges=192.168.40.100-192.168.40.200 add name=dhcp_pool_24 ranges=192.168.24.100-192.168.24.200 add name=dhcp_pool_88 ranges=192.168.88.100-192.168.88.200 add name=dhcp_pool_20 ranges=192.168.20.100-192.168.20.200 add name=dhcp_pool_10 ranges=192.168.10.100-192.168.10.200 add name=dhcp_pool_100 ranges=192.168.100.100-192.168.100.200 add name=dhcp_pool_200 ranges=192.168.200.100-192.168.200.254 add name=ovpn_pool ranges=192.168.99.60-192.168.99.79 add name=dhcp_pool_30 ranges=192.168.30.100-192.168.30.130 /ip dhcp-server add address-pool=dhcp_pool_200 disabled=no interface=LOCAL lease-time=30m name=LOCAL_200 add address-pool=dhcp_pool_24 disabled=no interface=vlan24-МММ lease-time=20m name=dhcp_24 add address-pool=dhcp_pool_10 disabled=no interface=vlan10-СССlease-time=20m name=dhcp_10 add address-pool=dhcp_pool_20 disabled=no interface=vlan20-ГГГ lease-time=20m name=dhcp_20 add address-pool=dhcp_pool_40 disabled=no interface=vlan40-CAMERA lease-time=20m name=dhcp_40 add address-pool=dhcp_pool_88 disabled=no interface=vlan88-GUEST lease-time=20m name=dhcp_88 add address-pool=dhcp_pool_100 disabled=no interface=vlan100-USER lease-time=20m name=dhcp_100 add address-pool=dhcp_pool_30 disabled=no interface=vlan30-TEL name=dhcp_30 /routing ospf area add area-id=192.168.213.0 name=home /routing ospf instance set [ find default=yes ] router-id=192.168.200.1 /tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw /interface bridge port add bridge=LOCAL interface=ether3 add bridge=LOCAL interface=ether4 add bridge=LOCAL interface=ether5 add bridge=WAN hw=no interface=sfp-sfpplus2 add bridge=WAN interface=ether1 add bridge=LOCAL interface=ether8 add bridge=WAN hw=no interface=sfp-sfpplus1 add bridge=LOCAL interface=ether6 add bridge=LOCAL interface=ether7 /interface list member add interface=sfp-sfpplus1 list=WAN1 add interface=sfp-sfpplus2 list=WAN1 add interface=ether1 list=WAN1 /ip address add address=192.168.40.1/24 comment=Vlan40 interface=vlan40-CAMERA network=192.168.40.0 add address=83.XXX.ХХХ.XXX/24 comment=NEO_old interface=ether1 network=83.XXX.ХХХ.0 add address=192.168.24.1/24 comment=Vlan24 interface=vlan24-МММ network=192.168.24.0 add address=192.168.10.1/24 comment=Vlan10 interface=vlan10-СССnetwork=192.168.10.0 add address=192.168.20.1/24 comment=Vlan20 interface=vlan20-ГГГ network=192.168.20.0 add address=192.168.88.1/24 comment=Vlan88 interface=vlan88-GUEST network=192.168.88.0 add address=192.168.100.1/24 comment=Vlan100 interface=vlan100-USER network=192.168.100.0 add address=192.168.200.1/24 comment=admin interface=LOCAL network=192.168.200.0 add address=172.22.2.33/30 comment=shar interface=shar network=172.22.2.32 add address=172.22.252.9/30 comment=gre-ГГГz-ЧЧЧ interface=gre-ГГГz-ЧЧЧ network=172.22.252.8 add address=172.22.2.29/30 comment=gre-МММ-ЧЧЧ1 interface=gre-izi-ЧЧЧ network=172.22.2.28 add address=83.XXX.ХХХ.72/24 comment=NEO_СССinterface=ether1 network=83.XXX.ХХХ.0 add address=83.XXX.ХХХ.73/24 comment=NEO_МММ interface=ether1 network=83.XXX.ХХХ.0 add address=83.XXX.ХХХ.74/24 comment=NEO_ГГГ interface=ether1 network=83.XXX.ХХХ.0 add address=192.168.30.1/24 comment=Vlan30 interface=vlan30-TEL network=192.168.30.0 add address=89.ХХХ.ХХХ.217/26 disabled=yes interface=ether2 network=89.ХХХ.ХХХ.192 add address=192.168.99.1/24 interface=vlan99-VPN network=192.168.99.0 add address=172.22.4.29/30 comment=gre-МММ-ЧЧЧ2 disabled=yes interface=gre-izi-ЧЧЧ2 network=172.22.4.28 /ip dhcp-client # DHCP client can not run on slave interface! add dhcp-options=hostname,clientid disabled=no interface=ether8 /ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.20,192.168.24.20,192.168.20.20 gateway=192.168.10.1 add address=192.168.20.0/24 dns-server=192.168.20.20,192.168.24.20,192.168.10.20 gateway=192.168.20.1 add address=192.168.24.0/24 dns-server=192.168.24.20,192.168.24.1 gateway=192.168.24.1 add address=192.168.30.0/24 dns-server=192.168.10.20,192.168.24.20 gateway=192.168.30.1 add address=192.168.40.0/24 dns-server=192.168.40.1,8.8.8.8 gateway=192.168.40.1 add address=192.168.88.0/24 dns-server=192.168.88.1,8.8.8.8 gateway=192.168.88.1 add address=192.168.100.0/24 dns-server=192.168.100.1,192.168.10.20,192.168.20.20,192.168.24.20 gateway=192.168.100.1 add address=192.168.200.0/24 dns-server=192.168.10.20,192.168.24.20,192.168.20.20,192.168.100.1 gateway=192.168.200.1 /ip dns set allow-remote-requests=yes servers=217.150.ххх.ххх,217.150.1ЧЧЧ.ххх /ip firewall address-list add address=192.168.100.0/24 list=teamviewer_ON add address=192.168.200.180 list=teamviewer_ON /ip firewall nat add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.10.0/24 to-addresses=83.XXX.ХХХ.72 add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.24.0/24 to-addresses=83.XXX.ХХХ.73 add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.20.0/24 to-addresses=83.XXX.ХХХ.74 add action=masquerade chain=srcnat out-interface=shar add action=masquerade chain=srcnat out-interface=gre-ГГГz-ЧЧЧ add action=masquerade chain=srcnat out-interface=gre-izi-ЧЧЧ add action=masquerade chain=srcnat out-interface=ovpn-ProxMox add action=masquerade chain=srcnat disabled=yes dst-address=192.168.99.0/24 out-interface=ether1 add action=masquerade chain=srcnat out-interface=ether1 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=1720 protocol=tcp to-addresses=192.168.10.60 to-ports=1720 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.XXX dst-port=1720 protocol=tcp to-addresses=192.168.10.60 to-ports=1720 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=50000-50499 protocol=udp to-addresses=192.168.10.60 to-ports=50000-50499 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=50000-50499 protocol=tcp to-addresses=192.168.10.60 to-ports=50000-50499 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.XXX dst-port=50000-50499 protocol=udp to-addresses=192.168.10.60 to-ports=50000-50499 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.XXX dst-port=34567 protocol=tcp to-addresses=192.168.40.200 to-ports=34567 add action=dst-nat chain=dstnat disabled=yes dst-address=83.XXX.ХХХ.XXX dst-port=80 protocol=tcp to-addresses=192.168.40.238 to-ports=80 add action=dst-nat chain=dstnat disabled=yes dst-address=83.XXX.ХХХ.72 dst-port=25 protocol=tcp src-address=138.ЧЧЧ.ЧЧЧ.94 to-addresses=192.168.10.26 to-ports=25 add action=dst-nat chain=dstnat disabled=yes dst-address=83.XXX.ХХХ.72 dst-port=25 protocol=tcp src-address=185.ЧЧЧ.ЧЧЧ.5 to-addresses=192.168.10.26 to-ports=25 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=25 protocol=tcp to-addresses=192.168.10.26 to-ports=25 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=443 protocol=tcp to-addresses=192.168.10.26 to-ports=443 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=143 protocol=tcp to-addresses=192.168.10.26 to-ports=143 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=587 protocol=tcp to-addresses=192.168.10.26 to-ports=587 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=465 protocol=tcp to-addresses=192.168.10.26 to-ports=465 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=9ЧЧЧ protocol=tcp to-addresses=192.168.10.26 to-ports=9ЧЧЧ add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=25 protocol=tcp to-addresses=192.168.24.26 to-ports=25 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=443 protocol=tcp to-addresses=192.168.24.26 to-ports=443 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=143 protocol=tcp to-addresses=192.168.24.26 to-ports=143 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=587 protocol=tcp to-addresses=192.168.24.26 to-ports=587 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=465 protocol=tcp to-addresses=192.168.24.26 to-ports=465 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.73 dst-port=9ЧЧЧ protocol=tcp to-addresses=192.168.24.26 to-ports=9ЧЧЧ add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=25 protocol=tcp to-addresses=192.168.20.26 to-ports=25 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=443 protocol=tcp to-addresses=192.168.20.26 to-ports=443 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=143 protocol=tcp to-addresses=192.168.20.26 to-ports=143 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=587 protocol=tcp to-addresses=192.168.20.26 to-ports=587 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=465 protocol=tcp to-addresses=192.168.20.26 to-ports=465 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=9ЧЧЧ protocol=tcp to-addresses=192.168.20.26 to-ports=9ЧЧЧ add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=10000-20000 protocol=tcp to-addresses=192.168.20.35 to-ports=10000-20000 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=10000-20000 protocol=tcp to-addresses=192.168.10.35 to-ports=10000-20000 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.74 dst-port=10000-20000 protocol=udp to-addresses=192.168.20.35 to-ports=10000-20000 add action=dst-nat chain=dstnat dst-address=83.XXX.ХХХ.72 dst-port=10000-20000 protocol=udp to-addresses=192.168.10.35 to-ports=10000-20000 add action=dst-nat chain=dstnat disabled=yes dst-address=83.XXX.ХХХ.74 dst-port=5060 protocol=tcp to-addresses=192.168.20.35 to-ports=5060 /ip firewall service-port set sip disabled=yes /ip route add check-gateway=ping disabled=yes distance=1 gateway=83.XXX.ХХХ.1 pref-src=83.XXX.ХХХ.72 routing-mark=mail_sph add distance=1 gateway=83.XXX.ХХХ.1 add disabled=yes distance=1 gateway=89.ХХХ.ХХХ.1ЧЧЧ add distance=220 dst-address=10.1.1.0/24 gateway=gre-izi-ЧЧЧ2 scope=20 add disabled=yes distance=1 dst-address=192.168.19.0/24 gateway=172.22.252.10 /routing igmp-proxy set quick-leave=yes /routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 interface=ether1 upstream=yes add interface=LOCAL /routing ospf network add area=backbone network=172.22.2.32/30 add area=backbone network=172.22.252.8/30 add area=backbone network=192.168.100.0/24 add area=backbone network=192.168.24.0/24 add area=backbone network=192.168.20.0/24 add area=backbone network=172.22.2.28/30 add area=backbone network=192.168.200.0/24 add area=backbone network=192.168.10.0/24 add area=backbone network=192.168.19.0/24 add area=backbone network=192.168.99.0/24 add area=backbone network=172.22.4.28/30 ок. У меня получается провайдер по одному проводу дает несколько выделенных IP, входят в eth1 , и там сделано разводка по сетям- VLAN-ам Edited August 28, 2018 by sharik987 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted August 28, 2018 · Report post 16 минут назад, sharik987 сказал: add action=masquerade chain=srcnat out-interface=gre-ГГГz-ЧЧЧ add action=masquerade chain=srcnat out-interface=gre-izi-ЧЧЧ Вот этими строчками у вас включается NAT на внутренних адресах туннеля. Из-за этого вы видите адрес роутера на противоположной стороне. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sharik987 Posted August 28, 2018 · Report post 38 minutes ago, crank said: Вот этими строчками у вас включается NAT на внутренних адресах туннеля. Из-за этого вы видите адрес роутера на противоположной стороне Отключил правила, не помогает... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sharik987 Posted August 28, 2018 · Report post Еще заметил интересный момент, на сервере телефонии почему то некоторые телефоны определяются по правильному адресу, а некоторые по тунельному... 192,168,19,0 Сеть за тунелем 172,22,252,10 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...