VPN L2pt на 2 двух Mikrotik

[victor-2003]

добрый день!

Уважаемые гуру. прошу помощи.

Приложил схему, чтобы проще мне объяснить в чем проблема. Имеются два Микротика и  шлюз №1  не микротик, который нужен только для почтовика. Два Микротика соединены между собой VPN-L2pt. Роутинги прописаны на двух Микротиках. Проблема заключается в том, что все PC с подсети 192.168.99.0 видят все PC подсети 192.168.55.0 кроме Почтовика и Шлюза №1. Подскажите где нужно копать, не могу сообразить?

[jffulcrum]

@victor-2003 Выкладывайте конфиги шлюзов 1 и 2,затерев публичные IP (заменив цифры на ХХХ).

[lugoblin]

Какая у вас замечательная картинка, сразу всё понятно.

 

10 hours ago, victor-2003 said:

все PC с подсети 192.168.99.0 видят все PC подсети 192.168.55.0

Скорее всего, это происходит потому что "остальные PC" используют Mikrotik 1 в качестве маршрута по умолчанию. А Mikrotik 1, в свою очередь, знает маршрут до Филиала.

 

10 hours ago, victor-2003 said:

кроме Почтовика и Шлюза №1

Скорее всего, это происходит потому что Почтовик использует в качестве маршрута по умолчанию Шлюз №1, а тот, в свою очередь, использует шлюз провайдера. Таким образом, пакеты предназначенные для Филиала не попадаят на Mikrotik 1, а через интернет им дороги нет.

 

Проверять эту гипотезу надо так: Поставить сниффер на Mikrotik 1 и на Шлюз №1. Попинговать Почтовик из Филиала. В сниффере вы увидите как echo request пойдут через Mikrotik 1 во внуренюю сеть, а ответы echo replay попытаются пойти в Интернет через Шлюз №1, где благополучно потеряются.

 

Чинить костылём надо, скорее всего, так: Проиписать на Почтовике и на Шлюзе №1 статический маршрут до 192.168.99.0/24 через 192.168.55.9. Можно только на Шлюзе №1, но это замусорит вашу сеть пакетами ICMP Redirect и не факт что сработает. Можно только на Почтовике, если доступ из Филиала к Шлюзу №1 в принципе не нужен.

 

Чтобы починить не костылём, а как следует, придётся несколько поменять топологию сети.

[victor-2003]

@jffulcrum Вот конфиг двух микротиков

mikrotik1.txt

mikrotik2.txt

[victor-2003]

9 часов назад, lugoblin сказал:

Скорее всего, это происходит потому что Почтовик использует в качестве маршрута по умолчанию Шлюз №1, а тот, в свою очередь, использует шлюз провайдера. Таким образом, пакеты предназначенные для Филиала не попадаят на Mikrotik 1, а через интернет им дороги нет.

 

Проверять эту гипотезу надо так: Поставить сниффер на Mikrotik 1 и на Шлюз №1. Попинговать Почтовик из Филиала. В сниффере вы увидите как echo request пойдут через Mikrotik 1 во внуренюю сеть, а ответы echo replay попытаются пойти в Интернет через Шлюз №1, где благополучно потеряются.

 

Чинить костылём надо, скорее всего, так: Проиписать на Почтовике и на Шлюзе №1 статический маршрут до 192.168.99.0/24 через 192.168.55.9. Можно только на Шлюзе №1, но это замусорит вашу сеть пакетами ICMP Redirect и не факт что сработает. Можно только на Почтовике, если доступ из Филиала к Шлюзу №1 в принципе не нужен.

 

Чтобы починить не костылём, а как следует, придётся несколько поменять топологию сети.

Да теперь понятно становится почему не виден почтовик. Из сети 192.168.99.0/24 нужен только почтовик. Попробую прописать.

Отказаться от шлюза№1 я не могу, так как почтовик Exchange. 

[lugoblin]

16 hours ago, victor-2003 said:

Отказаться от шлюза№1 я не могу, так как почтовик Exchange. 

Не вижу как одно следует из другого, но в добрый час.

[victor-2003]

@lugoblin Спасибо за совет. Именно на почтовике прописал маршрут и сеть 192.168.99.0 стала видеть почтовик.

[victor-2003]

12 часов назад, lugoblin сказал:

Не вижу как одно следует из другого, но в добрый час.

А можно поподробнее? Когда я покупал Mikrotik мне сразу сказали, что опубликовать Exchange OWA не получится. В инете не могу найти как опубликовать OWA на Mikrotike.

[jffulcrum]

Какой версии Exchange? В современных достаточно опубликовать порт 443 на DST-NAT, RPC больше не используется.

[lugoblin]

4 hours ago, victor-2003 said:

Именно на почтовике прописал маршрут и сеть 192.168.99.0 стала видеть почтовик.

Сразу проверьте, что настройка сохраняется после ребута почтовика.

 

4 hours ago, victor-2003 said:

Когда я покупал Mikrotik мне сразу сказали, что опубликовать Exchange OWA не получится.

Наверное, слышали звон. В старых Exchange связь с клиентом работала нетривиальным способом. Как говорит @jffulcrum, надо на версию смотреть. Т. к. это проблема специфична для Exchange а не для Mikrotik-а, то если на Шлюзе №1 он как-то опубликован, то на Mikrotik-е скорее всего тоже можно заставить работать.

 

Однако.

Даже если Exchange можно опубликовать в Интернете, не значит что это делать нужно. Поломают. Если ещё не поломали, то, возможно, это только вопрос времени. Сервис для входящей почты обычно пускают через почтовый шлюз, он-же может быть спаморезкой и антивирусом. Его можно вообще взять как SaaS и держать в облаке, а связывать с Exchange по VPN или строгому whitelist. Сервис доступа пользователей к ящикам делают через VPN.

 

Даже если Exchange можно опубликовать в Интернете через Mikrotik, не значит что это делать нужно.

Ваша сеть прямо сейчас работает, но так-же развивается и растёт, вы делаете мелкие улучшения и накапливаете костыли. Рано или поздно станет целесообразно менять топологию. Вот тогда-то, скорее всего, и будет уместно планировать упразднение Шлюза №1.

 

[victor-2003]

В 24.10.2020 в 18:03, jffulcrum сказал:

Какой версии Exchange? В современных достаточно опубликовать порт 443 на DST-NAT, RPC больше не используется.

Почтовик древний, Exchange 2007 

[jffulcrum]

5 часов назад, victor-2003 сказал:

Почтовик древний, Exchange 2007 

Стало быть маршрутизатор 1 - это ISA/Forefront. Тут да, можно нарваться на проблемы при попытке смены решения. Но что ISA, что Exchange 2007 давно deprecated и выставлять их в Интернет просто опасно. Планируйте переход хотя бы на 2013, тогда ISA станет не нужной.