Jump to content
Калькуляторы

VPN между роутером SNR и Microtik

Имеется две локальные сети.

Первая сеть 192.168.88.0/24 роутер Microtik

Вторая сеть 192.168.1.0/24 роутер SNR

Связь между ними существует по VPN в виде L2TP+IPSEC.

Microtik сервер, SNR клиент.

Доступ из подсети 1.0 в подсеть 88.0 есть. То есть пингуются ПК и работают все порты.

Доступ в обратном направлении присутствует только до роутера. Дальше подсеть 88.0 ничего не видит.

Почему так происходит не понимаю, так как маршрутизация настроена в обе стороны.

Любые данные предоставлю.

Собственно необходим доступ из подсети 88.0 в подсеть 1.0.

 

Также дополнительный вопрос.

Есть ещё по одному микротику и SNR'у. То есть ещё две подсети.

Необходимо хождение по всем подсетям с любого ПК в любой подсети.

Share this post


Link to post
Share on other sites

2 минуты назад, NewUse сказал:

маршрутизация не прописана по всей видимости...

 

В 26.02.2019 в 14:36, Alexander12345 сказал:

Почему так происходит не понимаю, так как маршрутизация настроена в обе стороны

 

Share this post


Link to post
Share on other sites

17 минут назад, NewUse сказал:

ну конфиги наверное стоит показать... по части впн и маршрутизации...

http://www.picshare.ru/view/9920342/

http://www.picshare.ru/view/9920343/

http://www.picshare.ru/view/9920344/

http://www.picshare.ru/view/9920345/

Пожалуйста.

Share this post


Link to post
Share on other sites

Добрый день

Убедитесь что маршрут на MikroTik'е прописан верно. Должно быть:

/ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 где 30.4 туннельный адрес CPE 

 

 

Со стороны CPE по примеру во вложении

И судя по логотипам у вас ПО скорее всего двухлетней давности, настоятельно рекомендуем обновить ПО до стабильной версии http://data.nag.ru/SNR WiFi/Firmware/

Screenshot_1.png

Share this post


Link to post
Share on other sites

1 час назад, Kirill Vasilyev сказал:

Добрый день

Убедитесь что маршрут на MikroTik'е прописан верно. Должно быть:

 /ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 где 30.4 туннельный адрес CPE 

Вы имеете ввиду убрать значение строки Pref. Source?

1 час назад, Kirill Vasilyev сказал:

Со стороны CPE по примеру во вложении

 И судя по логотипам у вас ПО скорее всего двухлетней давности, настоятельно рекомендуем обновить ПО до стабильной версии http://data.nag.ru/SNR WiFi/Firmware/

У меня старее ПО, обновить давно хотел, но сильно не заморачивался на эту тему.

 

На счёт вложения вопрос следующий, это же фильтрация, а у меня она в принципе отключена. Или вы считаете если включить то будет лучше? Просто я думал наоборот отключить, чтобы вообще ничего не блокировалось.

Edited by Alexander12345

Share this post


Link to post
Share on other sites

Цитата

Вы имеете ввиду убрать значение строки Pref. Source?

достаточно маршрута который я привел в примере. 

 

Цитата

У меня старее ПО, обновить давно хотел, но сильно не заморачивался на эту тему.

 

На счёт вложения вопрос следующий, это же фильтрация, а у меня она в принципе отключена. Или вы считаете если включить то будет лучше? Просто я думал наоборот отключить, чтобы вообще ничего не блокировалось.

Однозначно стоит обновиться. С тех пор в ПО изменилось и было добавлено очень многое. Кроме того изменения касались и безопасности в т.ч и wpa. 

По вложению. MAC/IP/Port Filtering позволяет не только зафильтровать, но и разрешить проходящий через маршрутизатор трафик. 

Share this post


Link to post
Share on other sites

7 часов назад, Kirill Vasilyev сказал:

достаточно маршрута который я привел в примере

Это было не к чему, так как у меня был такой маршрут.

7 часов назад, Kirill Vasilyev сказал:

Однозначно стоит обновиться. С тех пор в ПО изменилось и было добавлено очень многое. Кроме того изменения касались и безопасности в т.ч и wpa. 

Перед этими действиями надо сбрасывать все настройки на дефолтные, иначе обнова ставится, но потом роутер не поднимается. Только сброс к заводским через кнопку, помогает. И это печаль.

7 часов назад, Kirill Vasilyev сказал:

По вложению. MAC/IP/Port Filtering позволяет не только зафильтровать, но и разрешить проходящий через маршрутизатор трафик

Вот это действительно помогло по теме. Спасибо.

 

В 26.02.2019 в 14:36, Alexander12345 сказал:

Также дополнительный вопрос.

Есть ещё по одному микротику и SNR'у. То есть ещё две подсети.

Необходимо хождение по всем подсетям с любого ПК в любой подсети

Ещё бы хотелось услышать ответ на данный вопрос. Спасибо.

Share this post


Link to post
Share on other sites

24 минуты назад, Alexander12345 сказал:

Вот это действительно помогло по теме. Спасибо.

Пожалуйста

24 минуты назад, Alexander12345 сказал:

Ещё бы хотелось услышать ответ на данный вопрос. Спасибо.

Аналогично прошлой схеме, у вас по сути ничего не меняется, добавлены только два новых клиента. Соответственно со всех сторон нужно добавить соответствующие маршруты и разрешения для хождения трафика между сетями. 

Share this post


Link to post
Share on other sites

10 минут назад, Kirill Vasilyev сказал:

Аналогично прошлой схеме, у вас по сути ничего не меняется, добавлены только два новых клиента. Соответственно со всех сторон нужно добавить соответствующие маршруты и разрешения для хождения трафика между сетями.

Извиняюсь, но пакеты из подсети с L2TP сервером ходят хоть куда, а как их переслать между клиентскими подсетями. Не совсем понимаю. Настроил в микротике одно правило и всё ходит, SNR же нифига. Настроил и маршрутизацию добавил правило и правила в фильтре ип адресов но всё равно даже до роутера не идёт хоть микротик хоть другой SNR.

Share this post


Link to post
Share on other sites

Если у вас добавился еще один l2tp клиент, то на MikroTik нужно добавить еще один маршрут. 

К примеру по вашей схеме(если я правильно понял). 

Mikrotik l2tp server - 192.168.88.0/24 (LAN)

SNR-CPE_1 - 192.168.1.0/24 (LAN)

SNR-CPE_2 - 192.168.2.0/24 (LAN)

Таким образом на сервере должно быть два правила:

ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4
ip route add distance=1 dst-address=192.168.2.0/24 gateway=172.16.30.5

На CPE_1 в MAC/IP/Port Filtering нужно разрешить трафик из:

1. 192.168.1.0/24 в 192.168.2.0/24 и обратно

2. 192.168.1.0/24 в 192.168.88.0/24 и обратно

 

На CPE_2 в MAC/IP/Port Filtering нужно разрешить трафик из:

1. 192.168.2.0/24 в 192.168.1.0/24 и обратно

2. 192.168.2.0/24 в 192.168.88.0/24 и обратно

Share this post


Link to post
Share on other sites

1 час назад, Kirill Vasilyev сказал:

Если у вас добавился один еще один l2tp клиент, то на MikroTik нужно добавить еще один маршрут. 

К примеру по вашей схеме(если я правильно понял). 

Mikrotik l2tp server - 192.168.88.0/24

SNR-CPE_1 - 192.168.1.0/24

SNR-CPE_2 - 192.168.2.0/24

Таким образом на сервере должно быть два правила:


ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4
ip route add distance=1 dst-address=192.168.2.0/24 gateway=172.16.30.5

На CPE_1 в MAC/IP/Port Filtering нужно разрешить трафик из:

1. 192.168.1.0/24 в 192.168.2.0/24 и обратно

2. 192.168.1.0/24 в 192.168.88.0/24 и обратно

 

На CPE_2 в MAC/IP/Port Filtering нужно разрешить трафик из:

1. 192.168.2.0/24 в 192.168.1.0/24 и обратно

2. 192.168.2.0/24 в 192.168.88.0/24 и обратно

Данные действия произведены. Результата нет. Единственное у меня есть на микротике Pref. Source.

Share this post


Link to post
Share on other sites

В таком случае прошу предоставить конфигурацию с Mikrotik и CPE, с CPE после выгрузки конфигурации не забудьте удалить пароли. Если в конфигурации есть что-то секретное от публикации на форуме, то можно  в ЛС.

Share this post


Link to post
Share on other sites

Alexander12345, так и не получил от вас конфигурацию. Получилось настроить по примеру выше? 

Share this post


Link to post
Share on other sites

8 часов назад, Kirill Vasilyev сказал:

Alexander12345, так и не получил от вас конфигурацию. Получилось настроить по примеру выше? 

К сожалению пока ещё не добрался до конфигов. Я думаю на этой или следующей неделе максимум. Извиняюсь.

Share this post


Link to post
Share on other sites

Разобрались, со стороны маршрутизатора MikroTik нужно было добавить /ip firewall nat add chain=srcnat action=masquerade , в конфигурации от Alexander12345 подобное правило было, но в нем в явном виде был выбран ether1(WAN) интерфейс. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.