Перейти к содержимому
Калькуляторы

VPN L2pt на 2 двух Mikrotik

добрый день!

Уважаемые гуру. прошу помощи.

Приложил схему, чтобы проще мне объяснить в чем проблема. Имеются два Микротика и  шлюз №1  не микротик, который нужен только для почтовика. Два Микротика соединены между собой VPN-L2pt. Роутинги прописаны на двух Микротиках. Проблема заключается в том, что все PC с подсети 192.168.99.0 видят все PC подсети 192.168.55.0 кроме Почтовика и Шлюза №1. Подскажите где нужно копать, не могу сообразить?

Схема.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@victor-2003 Выкладывайте конфиги шлюзов 1 и 2,затерев публичные IP (заменив цифры на ХХХ).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какая у вас замечательная картинка, сразу всё понятно.

 

10 hours ago, victor-2003 said:

все PC с подсети 192.168.99.0 видят все PC подсети 192.168.55.0

Скорее всего, это происходит потому что "остальные PC" используют Mikrotik 1 в качестве маршрута по умолчанию. А Mikrotik 1, в свою очередь, знает маршрут до Филиала.

 

10 hours ago, victor-2003 said:

кроме Почтовика и Шлюза №1

Скорее всего, это происходит потому что Почтовик использует в качестве маршрута по умолчанию Шлюз №1, а тот, в свою очередь, использует шлюз провайдера. Таким образом, пакеты предназначенные для Филиала не попадаят на Mikrotik 1, а через интернет им дороги нет.

 

Проверять эту гипотезу надо так: Поставить сниффер на Mikrotik 1 и на Шлюз №1. Попинговать Почтовик из Филиала. В сниффере вы увидите как echo request пойдут через Mikrotik 1 во внуренюю сеть, а ответы echo replay попытаются пойти в Интернет через Шлюз №1, где благополучно потеряются.

 

Чинить костылём надо, скорее всего, так: Проиписать на Почтовике и на Шлюзе №1 статический маршрут до 192.168.99.0/24 через 192.168.55.9. Можно только на Шлюзе №1, но это замусорит вашу сеть пакетами ICMP Redirect и не факт что сработает. Можно только на Почтовике, если доступ из Филиала к Шлюзу №1 в принципе не нужен.

 

Чтобы починить не костылём, а как следует, придётся несколько поменять топологию сети.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@jffulcrum Вот конфиг двух микротиков

mikrotik1.txt

mikrotik2.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, lugoblin сказал:

Скорее всего, это происходит потому что Почтовик использует в качестве маршрута по умолчанию Шлюз №1, а тот, в свою очередь, использует шлюз провайдера. Таким образом, пакеты предназначенные для Филиала не попадаят на Mikrotik 1, а через интернет им дороги нет.

 

Проверять эту гипотезу надо так: Поставить сниффер на Mikrotik 1 и на Шлюз №1. Попинговать Почтовик из Филиала. В сниффере вы увидите как echo request пойдут через Mikrotik 1 во внуренюю сеть, а ответы echo replay попытаются пойти в Интернет через Шлюз №1, где благополучно потеряются.

 

Чинить костылём надо, скорее всего, так: Проиписать на Почтовике и на Шлюзе №1 статический маршрут до 192.168.99.0/24 через 192.168.55.9. Можно только на Шлюзе №1, но это замусорит вашу сеть пакетами ICMP Redirect и не факт что сработает. Можно только на Почтовике, если доступ из Филиала к Шлюзу №1 в принципе не нужен.

 

Чтобы починить не костылём, а как следует, придётся несколько поменять топологию сети.

Да теперь понятно становится почему не виден почтовик. Из сети 192.168.99.0/24 нужен только почтовик. Попробую прописать.

Отказаться от шлюза№1 я не могу, так как почтовик Exchange. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

16 hours ago, victor-2003 said:

Отказаться от шлюза№1 я не могу, так как почтовик Exchange. 

Не вижу как одно следует из другого, но в добрый час.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@lugoblin Спасибо за совет. Именно на почтовике прописал маршрут и сеть 192.168.99.0 стала видеть почтовик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, lugoblin сказал:

Не вижу как одно следует из другого, но в добрый час.

А можно поподробнее? Когда я покупал Mikrotik мне сразу сказали, что опубликовать Exchange OWA не получится. В инете не могу найти как опубликовать OWA на Mikrotike.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какой версии Exchange? В современных достаточно опубликовать порт 443 на DST-NAT, RPC больше не используется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 hours ago, victor-2003 said:

Именно на почтовике прописал маршрут и сеть 192.168.99.0 стала видеть почтовик.

Сразу проверьте, что настройка сохраняется после ребута почтовика.

 

4 hours ago, victor-2003 said:

Когда я покупал Mikrotik мне сразу сказали, что опубликовать Exchange OWA не получится.

Наверное, слышали звон. В старых Exchange связь с клиентом работала нетривиальным способом. Как говорит @jffulcrum, надо на версию смотреть. Т. к. это проблема специфична для Exchange а не для Mikrotik-а, то если на Шлюзе №1 он как-то опубликован, то на Mikrotik-е скорее всего тоже можно заставить работать.

 

Однако.

Даже если Exchange можно опубликовать в Интернете, не значит что это делать нужно. Поломают. Если ещё не поломали, то, возможно, это только вопрос времени. Сервис для входящей почты обычно пускают через почтовый шлюз, он-же может быть спаморезкой и антивирусом. Его можно вообще взять как SaaS и держать в облаке, а связывать с Exchange по VPN или строгому whitelist. Сервис доступа пользователей к ящикам делают через VPN.

 

Даже если Exchange можно опубликовать в Интернете через Mikrotik, не значит что это делать нужно.

Ваша сеть прямо сейчас работает, но так-же развивается и растёт, вы делаете мелкие улучшения и накапливаете костыли. Рано или поздно станет целесообразно менять топологию. Вот тогда-то, скорее всего, и будет уместно планировать упразднение Шлюза №1.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 24.10.2020 в 18:03, jffulcrum сказал:

Какой версии Exchange? В современных достаточно опубликовать порт 443 на DST-NAT, RPC больше не используется.

Почтовик древний, Exchange 2007 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 часов назад, victor-2003 сказал:

Почтовик древний, Exchange 2007 

Стало быть маршрутизатор 1 - это ISA/Forefront. Тут да, можно нарваться на проблемы при попытке смены решения. Но что ISA, что Exchange 2007 давно deprecated и выставлять их в Интернет просто опасно. Планируйте переход хотя бы на 2013, тогда ISA станет не нужной.   

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.