Ramsoft Posted June 7, 2019 · Report post Понадобилось пристегнуть в прошлом году один удаленный комп, так чтоб инет у него свой и в то же время он в локалке. Поставил там hEX, в центральном офисе на 2011 поднял L2TP Server, поднял тоннель, в тоннель засунул EoIP трубу с ID=0, концы трубы бросил в бриджи на тиках и все... Все заработало с полтычка. Заглушил ненужные DHCP пакеты в L2 firewall и все отлично работает и по сей день. На днях потребовалось присоединить еще один удаленный комп по той же схеме. Завел на 2011 еще один secrets, прокинул L2TP тоннель с еще одного тика, поднимаю EoIP c ID=1 - а оно не поднимается... Вот вообще никак, в логах тишина... Куда смотреть-то? Все вроде идентично... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted June 7, 2019 (edited) · Report post @Ramsoft , смотрите firewall filter. Например, дефолтный конфиг дропает всё, что пришло с интерфейса не из списка "LAN". L2tp-интерфейс часто в этот список добавить забывают. Edited June 7, 2019 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ramsoft Posted June 10, 2019 · Report post Поехал сегодня на место установки, снес конфиг старый, ибо ему уже года 2, поставил дефолтовый. Настроил все на дефолтовом конфиге, интерфейсы занес в списки, и т п. Теперь у меня на удаленном тике EoIP поднимается, а на центре - нет :) Пол дела сделано... Маршруты вроде все нормальные, в firwall filter нет ничего, что было бы сделано только для одного туннеля и не было бы делано для второго. Все правила общие, кроме тех, что работают по спискам... Колдунство какое-то. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 10, 2019 · Report post @Ramsoft Версия RoS одинаковая? Есть у EoIP прикольчик один - Keepalive. В одних версиях он есть, в других нет. По дефолту там какое то время. Если на одном включено, на другом выключено - туннель не взлетает, либо быстро падает. Я обычно выключаю оба. Кто-то далает оба одинаковыми. У вас стесняюсь спросить, лицензия какого уровня? мало ли, мож слетела как то. у каких то лицензий лимит один туннель. @Ramsoft Пинги то между IP адресами ка которые туннель вешаете, нормально ходят? если у вас есть L2TP туннель взлетел, то зачем в него еще и EoIP? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ramsoft Posted June 11, 2019 · Report post @maxkst устройства разные по архитектуре, версии ROS на них отличаются чуть, но все последние. keepalive одинаковый. Лицензии на месте, пинги ходят. Последний вопрос странный - EoIP люди делают, чтоб получить один домен L2 и дать возможность этому поделию от Микрософта нормально взаимодействовать с другими такими же поделиями... Если бы винда не считала перманентно, что все, что за маской /24 - это чужое и с ним даже пинговаться нельзя - я бы и не заморачивался. Видимо, придется вайршарком смотреть в L2TP c обоих концов и ломать голову, что не так ему... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 11, 2019 · Report post 10 часов назад, Ramsoft сказал: Если бы винда не считала перманентно, что все, что за маской /24 - это чужое и с ним даже пинговаться нельзя Дык это и есть чужое ))) указывайте правильный гейтвей/маршрут для всех подсетей - и они будут пинговаться Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ramsoft Posted June 11, 2019 · Report post 4 hours ago, maxkst said: Дык это и есть чужое ))) указывайте правильный гейтвей/маршрут для всех подсетей - и они будут пинговаться У меня нет никаких проблем с указанием правильных маршрутов, гейтвеев и пр. Откуда вы это взяли - непонятно... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 11, 2019 · Report post 15 часов назад, Ramsoft сказал: Если бы винда не считала перманентно, что все, что за маской /24 - это чужое и с ним даже пинговаться нельзя Тогда почему пинговаться нельзя? прописал маршруты и вперед. С чего вдруг оно должно пинговаться без маршрутов? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted June 12, 2019 · Report post 5 часов назад, maxkst сказал: Тогда почему пинговаться нельзя? прописал маршруты и вперед. С чего вдруг оно должно пинговаться без маршрутов? в винде еще и фаерволл ведь блочит icmp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted June 12, 2019 · Report post 19 часов назад, fractal сказал: в винде еще и фаерволл ведь блочит icmp Я почти уверен, что это сарказм ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted June 13, 2019 · Report post Как вариант пропишите маршрутами руками IP адреса до удаленных мест в L2TP туннель, на удаленных микротиках заведите такую же локалку /24 или какую надо, включите прокси-арп и все. В центре так же прокси арп, и все смогут передавать данные L2 поверх L3, все виндовые службы это нормально съедают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodigy Posted November 17, 2020 · Report post Столкнулся с такой же проблемой. Потребовалось связать 3 офиса. На одном центральном тике созданы два EoIP, и на двух удаленных по одному. В итоге. Туннель с ID=0 запускается и работает без проблем, туннель с ID отличным от 0 не запускается ни в какую. Пришел к выводу что это баг от Mikrotik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 17, 2020 · Report post Нет никакого бага, вы с IP адресами не напутали? EoIP бывает не работает при прямом прохождении через интернет, если его запаковать предварительно в PPP туннель то никаких проблем не возникает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodigy Posted November 17, 2020 (edited) · Report post 1 hour ago, Saab95 said: Нет никакого бага, вы с IP адресами не напутали? EoIP бывает не работает при прямом прохождении через интернет, если его запаковать предварительно в PPP туннель то никаких проблем не возникает. Не напутал. Есть три микротика. На всех одинаковая версия прошивки. Все три в разных местах, все три подключаются к одному оператору, авторизация по PPPoE На центральном микротике два туннеля заведено add local-address=x.x.x.x mac-address=xx:xx:xx:xx:xx:xx name=eoip-tunnel1 remote-address=y.y.y.y tunnel-id=0 add local-address=x.x.x.x mac-address=xo:xo:xo:xo:xo:xo name=eoip-tunnel2 remote-address=z.z.z.z tunnel-id=1 На двух других по одному соответственно Первый add local-address=y.y.y.y mac-address=yy:yy:yy:yy:yy:yy name=eoip-tunnel1 remote-address=x.x.x.x tunnel-id=0 Второй add local-address=z.z.z.z mac-address=zz:zz:zz:zz:zz:zz name=eoip-tunnel2 remote-address=x.x.x.x tunnel-id=1 В качестве remote-address используются внешние статические ip адреса PPPoE интерфейсов Туннель с ID=0 запускается сразу, с ID=1 ни в какую Меняю ID на туннелях, начинает работать другой, но только с ID=0 Несколько раз меняя ID удалось запустить оба, НО!!!! Тот который с ID =1 пропускает только пакеты ping, никак другие сервисы не работают На ID=0 работает все без проблем. Меняю ID местами, начинают работать все сервисы, которые с ID=1 не работали В итоге работает полностью только туннель с ID=0, с ID=1, 2, 3 и так далее проходят исключительно ping и больше ничего Еще раз, везде авторизация PPPoE, везде одинаковые MTU, оператор один и тот же, все авторизации в интернет в пределах одного BRAS Прошивка на тиках 6.47.7 Это не баг, а фитча? Edited November 17, 2020 by prodigy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 17, 2020 · Report post локал адрес указывать не надо. Проверяли работу канала как? Создаете EoIP туннель, создаете бридж. В бридж с каждой стороны добавляете только интерфейс туннеля, вешаете на него уникальные IP адреса, запускаете пинг - проходит? Запускаете тест скорости - проходит? Как вариант, создайте поверх PPPoE туннель SSTP и поднимите туннель поверх него - будет работать? Бывает так, что оператор вмешивается в передачу данных, или специально блокирует пакеты, что бы не использовали эти каналы для передачи данных, а только интернет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodigy Posted November 17, 2020 (edited) · Report post 1 hour ago, Saab95 said: локал адрес указывать не надо локальный адрес указывать не обязательно, но желательно, что бы EoIP знал с какого ip устанавливать соединение с другой стороной, тем более если в конфигурации несколько внешних ip в моей конфигурации один внешний ip, поэтому не обязательно указывать (в случае с PPPtP этот параметр будет обязателен) 1 hour ago, Saab95 said: Проверяли работу канала как? Создаете EoIP туннель, создаете бридж. В бридж с каждой стороны добавляете только интерфейс туннеля, вешаете на него уникальные IP адреса, запускаете пинг - проходит? Запускаете тест скорости - проходит? естественно что на каждом тике создан бридж, в которой входит интерфейс EoIP и физический lan интерфейс тика. ip адрес вешать на этот бридж не обязательно, тем не менее для тестирования я присваивал адреса бриджам 1 hour ago, Saab95 said: Бывает так, что оператор вмешивается в передачу данных, или специально блокирует пакеты, что бы не использовали эти каналы для передачи данных, а только интернет. вы не совсем внимательно читали, у меня запускается в данной конфигурации, с PPPoE авторизацией исключительно туннель с ID=0, любой из туннелей с любой уделённой точкой, но только если ID я ставлю 0 другие ID запускаются (1,2,3,4..57...888 и так далее) но через эти туннели ходят только icmp, все остальное не проходит. все пингуется, но ни один сервис не отвечает. Стоит любому из созданных мной тунней с ID=XXXX поставить 0 он начинает работать. В итоге поставил 6 микротиков что бы реализовать 3 туннеля. На основной стороне 3 штуки рядом и на троих удаленных точках по 1 штуке. И на каждой паре поднимается туннель с ID=0 и все работает Вот такая ерунда Через PPPtP не пробовал создавать туннель, можно попробовать на основном тике поднять PPtP сервер и 3 клиента будут коннектиться к нему и поверх ip адресов PPPtP тунеля поднять EoIP И присвоить туннелям разные ID Если это заработает, то это значит что у тика проверены не все возможные конфигурации Edited November 17, 2020 by prodigy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 17, 2020 · Report post 29 минут назад, prodigy сказал: локальный адрес указывать не обязательно, но желательно, что бы EoIP знал с какого ip устанавливать соединение с другой стороной, тем более если в конфигурации несколько внешних ip в моей конфигурации один внешний ip, поэтому не обязательно указывать (в случае с PPPtP этот параметр будет обязателен) Локальный адрес имеет смысл при наличии нескольких IP на микротике, с которых возможна передача данных. Например когда используется OSPF, и на микротике бридж локальный, на котором весит несколько IP адресов, а этот микротик имеет связи с другими устройствами по разным каналам, и что бы при отказе любого соединение происходило именно от лица определенного IP адреса этого микротика, указывают этот параметр. Во всех других случаях его указание может лишь создать проблемы, т.к. если он будет отправлять с этого адреса пакеты, а сам адрес не будет маршрутизироваться в нужную сторону, то и работать канал перестанет. 31 минуту назад, prodigy сказал: вы не совсем внимательно читали, у меня запускается в данной конфигурации, с PPPoE авторизацией исключительно туннель с ID=0, любой из туннелей с любой уделённой точкой, но только если ID я ставлю 0 другие ID запускаются (1,2,3,4..57...888 и так далее) но через эти туннели ходят только icmp, все остальное не проходит. все пингуется, но ни один сервис не отвечает. Стоит любому из созданных мной тунней с ID=XXXX поставить 0 он начинает работать. Некоторые провайдеры, такие как бывшее ребрендированное ухо, еще некоторые крупные, кто еще оказывает подключения через PPPoE, устанавливают у себя блокировки межабонентского трафика, и вполне возможно что у них именно она и срабатывает. Что бы исключить ее влияние нужно сделать туннель с шифрованием, а самое простое на микротике это SSTP (так же клиент - сервер и работает без сертификата). В этот трафик оборудование провайдера уже не сможет вмешиваться. Мы прошивку 6.47.7 не используем, на 6.46.2 туннели нормально работают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodigy Posted November 17, 2020 · Report post 1 hour ago, Saab95 said: некоторые провайдеры, такие как бывшее ребрендированное ухо, еще некоторые крупные, кто еще оказывает подключения через PPPoE, устанавливают у себя блокировки межабонентского трафика, и вполне возможно что у них именно она и срабатывает. это можно было бы предположить если бы туннель не запускался вообще я пошел дальше, я отключил все туннели и использовал только два микротика, с одни единственным туннелем. так вот при ID отличном от 0 , туннель встает в режим RS, но кроме icmp ничего не ходит с ID 0 все работает. поэтому никакие блокировки не причём просто тупо глюк Router OS Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 18, 2020 · Report post @prodigy Fastpath на туннелях включен? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodigy Posted November 18, 2020 (edited) · Report post 14 минут назад, jffulcrum сказал: @prodigy Fastpath на туннелях включен? Allow Fast path включен, он по умолчанию активируется при создании туннеля Сегодня буду поднимать SSTP и пускать по нему туннели, посмотрим что получится с этими ID Edited November 18, 2020 by prodigy дополнение Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 18, 2020 · Report post А если выключить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted November 18, 2020 · Report post 18 часов назад, prodigy сказал: это можно было бы предположить если бы туннель не запускался вообще я пошел дальше, я отключил все туннели и использовал только два микротика, с одни единственным туннелем. так вот при ID отличном от 0 , туннель встает в режим RS, но кроме icmp ничего не ходит с ID 0 все работает. поэтому никакие блокировки не причём просто тупо глюк Router OS интересная проблема, еще не встречал чтобы на одной версии такое было, были проблемы когда пров лочил Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodigy Posted November 18, 2020 · Report post 6 часов назад, jffulcrum сказал: А если выключить? не влияет 3 часа назад, fractal сказал: интересная проблема, еще не встречал чтобы на одной версии такое было, были проблемы когда пров лочил весь день сегодня потратил на выявление причины. в итоге на дефолтной конфигурации запускается туннель только с ID=0 другие ID не работают пробовал даже без интернета, просто тупо воткнул два тика первыми портами друг в друга, и настроил на этих интерфейсах EoIP работает исключительно с ID=0 затем сбросил оба тика в ноль, без дефолтной конфигурации, пустые абсолютно так же настроил между первыми портами EoIP работает с любыми ID где-то я что-то упускаю Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
prodigy Posted November 18, 2020 (edited) · Report post Вопрос решен. Дефолтное правило defconf: drop all not coming from LAN не дает запустится EoIP туннелю с ID отличающимся от 0 С отключенным правилом работают любые ID и любое количество туннелей Вот такой глюк. Edited November 18, 2020 by prodigy Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted November 18, 2020 · Report post Тьфу ты, еще есть люди, не чистящие дефолтный конфиг. Этому делу уже пять лет в обед: https://forum.mikrotik.com/viewtopic.php?t=102080 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...