Alexander12345 Posted February 26, 2019 Posted February 26, 2019 Имеется две локальные сети. Первая сеть 192.168.88.0/24 роутер Microtik Вторая сеть 192.168.1.0/24 роутер SNR Связь между ними существует по VPN в виде L2TP+IPSEC. Microtik сервер, SNR клиент. Доступ из подсети 1.0 в подсеть 88.0 есть. То есть пингуются ПК и работают все порты. Доступ в обратном направлении присутствует только до роутера. Дальше подсеть 88.0 ничего не видит. Почему так происходит не понимаю, так как маршрутизация настроена в обе стороны. Любые данные предоставлю. Собственно необходим доступ из подсети 88.0 в подсеть 1.0. Также дополнительный вопрос. Есть ещё по одному микротику и SNR'у. То есть ещё две подсети. Необходимо хождение по всем подсетям с любого ПК в любой подсети. Вставить ник Quote
NewUse Posted February 28, 2019 Posted February 28, 2019 маршрутизация не прописана по всей видимости... Вставить ник Quote
Alexander12345 Posted February 28, 2019 Author Posted February 28, 2019 2 минуты назад, NewUse сказал: маршрутизация не прописана по всей видимости... В 26.02.2019 в 14:36, Alexander12345 сказал: Почему так происходит не понимаю, так как маршрутизация настроена в обе стороны Вставить ник Quote
NewUse Posted February 28, 2019 Posted February 28, 2019 ну конфиги наверное стоит показать... по части впн и маршрутизации... Вставить ник Quote
Alexander12345 Posted February 28, 2019 Author Posted February 28, 2019 17 минут назад, NewUse сказал: ну конфиги наверное стоит показать... по части впн и маршрутизации... http://www.picshare.ru/view/9920342/ http://www.picshare.ru/view/9920343/ http://www.picshare.ru/view/9920344/ http://www.picshare.ru/view/9920345/ Пожалуйста. Вставить ник Quote
Kirill Vasilyev Posted February 28, 2019 Posted February 28, 2019 Добрый день Убедитесь что маршрут на MikroTik'е прописан верно. Должно быть: /ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 где 30.4 туннельный адрес CPE Со стороны CPE по примеру во вложении И судя по логотипам у вас ПО скорее всего двухлетней давности, настоятельно рекомендуем обновить ПО до стабильной версии http://data.nag.ru/SNR WiFi/Firmware/ Вставить ник Quote
Alexander12345 Posted February 28, 2019 Author Posted February 28, 2019 (edited) 1 час назад, Kirill Vasilyev сказал: Добрый день Убедитесь что маршрут на MikroTik'е прописан верно. Должно быть: /ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 где 30.4 туннельный адрес CPE Вы имеете ввиду убрать значение строки Pref. Source? 1 час назад, Kirill Vasilyev сказал: Со стороны CPE по примеру во вложении И судя по логотипам у вас ПО скорее всего двухлетней давности, настоятельно рекомендуем обновить ПО до стабильной версии http://data.nag.ru/SNR WiFi/Firmware/ У меня старее ПО, обновить давно хотел, но сильно не заморачивался на эту тему. На счёт вложения вопрос следующий, это же фильтрация, а у меня она в принципе отключена. Или вы считаете если включить то будет лучше? Просто я думал наоборот отключить, чтобы вообще ничего не блокировалось. Edited February 28, 2019 by Alexander12345 Вставить ник Quote
Kirill Vasilyev Posted March 1, 2019 Posted March 1, 2019 Цитата Вы имеете ввиду убрать значение строки Pref. Source? достаточно маршрута который я привел в примере. Цитата У меня старее ПО, обновить давно хотел, но сильно не заморачивался на эту тему. На счёт вложения вопрос следующий, это же фильтрация, а у меня она в принципе отключена. Или вы считаете если включить то будет лучше? Просто я думал наоборот отключить, чтобы вообще ничего не блокировалось. Однозначно стоит обновиться. С тех пор в ПО изменилось и было добавлено очень многое. Кроме того изменения касались и безопасности в т.ч и wpa. По вложению. MAC/IP/Port Filtering позволяет не только зафильтровать, но и разрешить проходящий через маршрутизатор трафик. Вставить ник Quote
Alexander12345 Posted March 1, 2019 Author Posted March 1, 2019 7 часов назад, Kirill Vasilyev сказал: достаточно маршрута который я привел в примере Это было не к чему, так как у меня был такой маршрут. 7 часов назад, Kirill Vasilyev сказал: Однозначно стоит обновиться. С тех пор в ПО изменилось и было добавлено очень многое. Кроме того изменения касались и безопасности в т.ч и wpa. Перед этими действиями надо сбрасывать все настройки на дефолтные, иначе обнова ставится, но потом роутер не поднимается. Только сброс к заводским через кнопку, помогает. И это печаль. 7 часов назад, Kirill Vasilyev сказал: По вложению. MAC/IP/Port Filtering позволяет не только зафильтровать, но и разрешить проходящий через маршрутизатор трафик Вот это действительно помогло по теме. Спасибо. В 26.02.2019 в 14:36, Alexander12345 сказал: Также дополнительный вопрос. Есть ещё по одному микротику и SNR'у. То есть ещё две подсети. Необходимо хождение по всем подсетям с любого ПК в любой подсети Ещё бы хотелось услышать ответ на данный вопрос. Спасибо. Вставить ник Quote
Kirill Vasilyev Posted March 1, 2019 Posted March 1, 2019 24 минуты назад, Alexander12345 сказал: Вот это действительно помогло по теме. Спасибо. Пожалуйста 24 минуты назад, Alexander12345 сказал: Ещё бы хотелось услышать ответ на данный вопрос. Спасибо. Аналогично прошлой схеме, у вас по сути ничего не меняется, добавлены только два новых клиента. Соответственно со всех сторон нужно добавить соответствующие маршруты и разрешения для хождения трафика между сетями. Вставить ник Quote
Alexander12345 Posted March 1, 2019 Author Posted March 1, 2019 10 минут назад, Kirill Vasilyev сказал: Аналогично прошлой схеме, у вас по сути ничего не меняется, добавлены только два новых клиента. Соответственно со всех сторон нужно добавить соответствующие маршруты и разрешения для хождения трафика между сетями. Извиняюсь, но пакеты из подсети с L2TP сервером ходят хоть куда, а как их переслать между клиентскими подсетями. Не совсем понимаю. Настроил в микротике одно правило и всё ходит, SNR же нифига. Настроил и маршрутизацию добавил правило и правила в фильтре ип адресов но всё равно даже до роутера не идёт хоть микротик хоть другой SNR. Вставить ник Quote
Kirill Vasilyev Posted March 4, 2019 Posted March 4, 2019 Если у вас добавился еще один l2tp клиент, то на MikroTik нужно добавить еще один маршрут. К примеру по вашей схеме(если я правильно понял). Mikrotik l2tp server - 192.168.88.0/24 (LAN) SNR-CPE_1 - 192.168.1.0/24 (LAN) SNR-CPE_2 - 192.168.2.0/24 (LAN) Таким образом на сервере должно быть два правила: ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 ip route add distance=1 dst-address=192.168.2.0/24 gateway=172.16.30.5 На CPE_1 в MAC/IP/Port Filtering нужно разрешить трафик из: 1. 192.168.1.0/24 в 192.168.2.0/24 и обратно 2. 192.168.1.0/24 в 192.168.88.0/24 и обратно На CPE_2 в MAC/IP/Port Filtering нужно разрешить трафик из: 1. 192.168.2.0/24 в 192.168.1.0/24 и обратно 2. 192.168.2.0/24 в 192.168.88.0/24 и обратно Вставить ник Quote
Alexander12345 Posted March 4, 2019 Author Posted March 4, 2019 1 час назад, Kirill Vasilyev сказал: Если у вас добавился один еще один l2tp клиент, то на MikroTik нужно добавить еще один маршрут. К примеру по вашей схеме(если я правильно понял). Mikrotik l2tp server - 192.168.88.0/24 SNR-CPE_1 - 192.168.1.0/24 SNR-CPE_2 - 192.168.2.0/24 Таким образом на сервере должно быть два правила: ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 ip route add distance=1 dst-address=192.168.2.0/24 gateway=172.16.30.5 На CPE_1 в MAC/IP/Port Filtering нужно разрешить трафик из: 1. 192.168.1.0/24 в 192.168.2.0/24 и обратно 2. 192.168.1.0/24 в 192.168.88.0/24 и обратно На CPE_2 в MAC/IP/Port Filtering нужно разрешить трафик из: 1. 192.168.2.0/24 в 192.168.1.0/24 и обратно 2. 192.168.2.0/24 в 192.168.88.0/24 и обратно Данные действия произведены. Результата нет. Единственное у меня есть на микротике Pref. Source. Вставить ник Quote
Kirill Vasilyev Posted March 4, 2019 Posted March 4, 2019 В таком случае прошу предоставить конфигурацию с Mikrotik и CPE, с CPE после выгрузки конфигурации не забудьте удалить пароли. Если в конфигурации есть что-то секретное от публикации на форуме, то можно в ЛС. Вставить ник Quote
Kirill Vasilyev Posted March 6, 2019 Posted March 6, 2019 Alexander12345, так и не получил от вас конфигурацию. Получилось настроить по примеру выше? Вставить ник Quote
Alexander12345 Posted March 6, 2019 Author Posted March 6, 2019 8 часов назад, Kirill Vasilyev сказал: Alexander12345, так и не получил от вас конфигурацию. Получилось настроить по примеру выше? К сожалению пока ещё не добрался до конфигов. Я думаю на этой или следующей неделе максимум. Извиняюсь. Вставить ник Quote
Kirill Vasilyev Posted March 14, 2019 Posted March 14, 2019 Разобрались, со стороны маршрутизатора MikroTik нужно было добавить /ip firewall nat add chain=srcnat action=masquerade , в конфигурации от Alexander12345 подобное правило было, но в нем в явном виде был выбран ether1(WAN) интерфейс. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.