Alexander12345 Опубликовано 26 февраля, 2019 · Жалоба Имеется две локальные сети. Первая сеть 192.168.88.0/24 роутер Microtik Вторая сеть 192.168.1.0/24 роутер SNR Связь между ними существует по VPN в виде L2TP+IPSEC. Microtik сервер, SNR клиент. Доступ из подсети 1.0 в подсеть 88.0 есть. То есть пингуются ПК и работают все порты. Доступ в обратном направлении присутствует только до роутера. Дальше подсеть 88.0 ничего не видит. Почему так происходит не понимаю, так как маршрутизация настроена в обе стороны. Любые данные предоставлю. Собственно необходим доступ из подсети 88.0 в подсеть 1.0. Также дополнительный вопрос. Есть ещё по одному микротику и SNR'у. То есть ещё две подсети. Необходимо хождение по всем подсетям с любого ПК в любой подсети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 28 февраля, 2019 · Жалоба маршрутизация не прописана по всей видимости... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander12345 Опубликовано 28 февраля, 2019 · Жалоба 2 минуты назад, NewUse сказал: маршрутизация не прописана по всей видимости... В 26.02.2019 в 14:36, Alexander12345 сказал: Почему так происходит не понимаю, так как маршрутизация настроена в обе стороны Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 28 февраля, 2019 · Жалоба ну конфиги наверное стоит показать... по части впн и маршрутизации... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander12345 Опубликовано 28 февраля, 2019 · Жалоба 17 минут назад, NewUse сказал: ну конфиги наверное стоит показать... по части впн и маршрутизации... http://www.picshare.ru/view/9920342/ http://www.picshare.ru/view/9920343/ http://www.picshare.ru/view/9920344/ http://www.picshare.ru/view/9920345/ Пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Vasilyev Опубликовано 28 февраля, 2019 · Жалоба Добрый день Убедитесь что маршрут на MikroTik'е прописан верно. Должно быть: /ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 где 30.4 туннельный адрес CPE Со стороны CPE по примеру во вложении И судя по логотипам у вас ПО скорее всего двухлетней давности, настоятельно рекомендуем обновить ПО до стабильной версии http://data.nag.ru/SNR WiFi/Firmware/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander12345 Опубликовано 28 февраля, 2019 (изменено) · Жалоба 1 час назад, Kirill Vasilyev сказал: Добрый день Убедитесь что маршрут на MikroTik'е прописан верно. Должно быть: /ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 где 30.4 туннельный адрес CPE Вы имеете ввиду убрать значение строки Pref. Source? 1 час назад, Kirill Vasilyev сказал: Со стороны CPE по примеру во вложении И судя по логотипам у вас ПО скорее всего двухлетней давности, настоятельно рекомендуем обновить ПО до стабильной версии http://data.nag.ru/SNR WiFi/Firmware/ У меня старее ПО, обновить давно хотел, но сильно не заморачивался на эту тему. На счёт вложения вопрос следующий, это же фильтрация, а у меня она в принципе отключена. Или вы считаете если включить то будет лучше? Просто я думал наоборот отключить, чтобы вообще ничего не блокировалось. Изменено 28 февраля, 2019 пользователем Alexander12345 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Vasilyev Опубликовано 1 марта, 2019 · Жалоба Цитата Вы имеете ввиду убрать значение строки Pref. Source? достаточно маршрута который я привел в примере. Цитата У меня старее ПО, обновить давно хотел, но сильно не заморачивался на эту тему. На счёт вложения вопрос следующий, это же фильтрация, а у меня она в принципе отключена. Или вы считаете если включить то будет лучше? Просто я думал наоборот отключить, чтобы вообще ничего не блокировалось. Однозначно стоит обновиться. С тех пор в ПО изменилось и было добавлено очень многое. Кроме того изменения касались и безопасности в т.ч и wpa. По вложению. MAC/IP/Port Filtering позволяет не только зафильтровать, но и разрешить проходящий через маршрутизатор трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander12345 Опубликовано 1 марта, 2019 · Жалоба 7 часов назад, Kirill Vasilyev сказал: достаточно маршрута который я привел в примере Это было не к чему, так как у меня был такой маршрут. 7 часов назад, Kirill Vasilyev сказал: Однозначно стоит обновиться. С тех пор в ПО изменилось и было добавлено очень многое. Кроме того изменения касались и безопасности в т.ч и wpa. Перед этими действиями надо сбрасывать все настройки на дефолтные, иначе обнова ставится, но потом роутер не поднимается. Только сброс к заводским через кнопку, помогает. И это печаль. 7 часов назад, Kirill Vasilyev сказал: По вложению. MAC/IP/Port Filtering позволяет не только зафильтровать, но и разрешить проходящий через маршрутизатор трафик Вот это действительно помогло по теме. Спасибо. В 26.02.2019 в 14:36, Alexander12345 сказал: Также дополнительный вопрос. Есть ещё по одному микротику и SNR'у. То есть ещё две подсети. Необходимо хождение по всем подсетям с любого ПК в любой подсети Ещё бы хотелось услышать ответ на данный вопрос. Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Vasilyev Опубликовано 1 марта, 2019 · Жалоба 24 минуты назад, Alexander12345 сказал: Вот это действительно помогло по теме. Спасибо. Пожалуйста 24 минуты назад, Alexander12345 сказал: Ещё бы хотелось услышать ответ на данный вопрос. Спасибо. Аналогично прошлой схеме, у вас по сути ничего не меняется, добавлены только два новых клиента. Соответственно со всех сторон нужно добавить соответствующие маршруты и разрешения для хождения трафика между сетями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander12345 Опубликовано 1 марта, 2019 · Жалоба 10 минут назад, Kirill Vasilyev сказал: Аналогично прошлой схеме, у вас по сути ничего не меняется, добавлены только два новых клиента. Соответственно со всех сторон нужно добавить соответствующие маршруты и разрешения для хождения трафика между сетями. Извиняюсь, но пакеты из подсети с L2TP сервером ходят хоть куда, а как их переслать между клиентскими подсетями. Не совсем понимаю. Настроил в микротике одно правило и всё ходит, SNR же нифига. Настроил и маршрутизацию добавил правило и правила в фильтре ип адресов но всё равно даже до роутера не идёт хоть микротик хоть другой SNR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Vasilyev Опубликовано 4 марта, 2019 · Жалоба Если у вас добавился еще один l2tp клиент, то на MikroTik нужно добавить еще один маршрут. К примеру по вашей схеме(если я правильно понял). Mikrotik l2tp server - 192.168.88.0/24 (LAN) SNR-CPE_1 - 192.168.1.0/24 (LAN) SNR-CPE_2 - 192.168.2.0/24 (LAN) Таким образом на сервере должно быть два правила: ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 ip route add distance=1 dst-address=192.168.2.0/24 gateway=172.16.30.5 На CPE_1 в MAC/IP/Port Filtering нужно разрешить трафик из: 1. 192.168.1.0/24 в 192.168.2.0/24 и обратно 2. 192.168.1.0/24 в 192.168.88.0/24 и обратно На CPE_2 в MAC/IP/Port Filtering нужно разрешить трафик из: 1. 192.168.2.0/24 в 192.168.1.0/24 и обратно 2. 192.168.2.0/24 в 192.168.88.0/24 и обратно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander12345 Опубликовано 4 марта, 2019 · Жалоба 1 час назад, Kirill Vasilyev сказал: Если у вас добавился один еще один l2tp клиент, то на MikroTik нужно добавить еще один маршрут. К примеру по вашей схеме(если я правильно понял). Mikrotik l2tp server - 192.168.88.0/24 SNR-CPE_1 - 192.168.1.0/24 SNR-CPE_2 - 192.168.2.0/24 Таким образом на сервере должно быть два правила: ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.30.4 ip route add distance=1 dst-address=192.168.2.0/24 gateway=172.16.30.5 На CPE_1 в MAC/IP/Port Filtering нужно разрешить трафик из: 1. 192.168.1.0/24 в 192.168.2.0/24 и обратно 2. 192.168.1.0/24 в 192.168.88.0/24 и обратно На CPE_2 в MAC/IP/Port Filtering нужно разрешить трафик из: 1. 192.168.2.0/24 в 192.168.1.0/24 и обратно 2. 192.168.2.0/24 в 192.168.88.0/24 и обратно Данные действия произведены. Результата нет. Единственное у меня есть на микротике Pref. Source. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Vasilyev Опубликовано 4 марта, 2019 · Жалоба В таком случае прошу предоставить конфигурацию с Mikrotik и CPE, с CPE после выгрузки конфигурации не забудьте удалить пароли. Если в конфигурации есть что-то секретное от публикации на форуме, то можно в ЛС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Vasilyev Опубликовано 6 марта, 2019 · Жалоба Alexander12345, так и не получил от вас конфигурацию. Получилось настроить по примеру выше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexander12345 Опубликовано 6 марта, 2019 · Жалоба 8 часов назад, Kirill Vasilyev сказал: Alexander12345, так и не получил от вас конфигурацию. Получилось настроить по примеру выше? К сожалению пока ещё не добрался до конфигов. Я думаю на этой или следующей неделе максимум. Извиняюсь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kirill Vasilyev Опубликовано 14 марта, 2019 · Жалоба Разобрались, со стороны маршрутизатора MikroTik нужно было добавить /ip firewall nat add chain=srcnat action=masquerade , в конфигурации от Alexander12345 подобное правило было, но в нем в явном виде был выбран ether1(WAN) интерфейс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
