victor-2003 Опубликовано 22 октября, 2020 · Жалоба добрый день! Уважаемые гуру. прошу помощи. Приложил схему, чтобы проще мне объяснить в чем проблема. Имеются два Микротика и шлюз №1 не микротик, который нужен только для почтовика. Два Микротика соединены между собой VPN-L2pt. Роутинги прописаны на двух Микротиках. Проблема заключается в том, что все PC с подсети 192.168.99.0 видят все PC подсети 192.168.55.0 кроме Почтовика и Шлюза №1. Подскажите где нужно копать, не могу сообразить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 22 октября, 2020 · Жалоба @victor-2003 Выкладывайте конфиги шлюзов 1 и 2,затерев публичные IP (заменив цифры на ХХХ). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 22 октября, 2020 · Жалоба Какая у вас замечательная картинка, сразу всё понятно. 10 hours ago, victor-2003 said: все PC с подсети 192.168.99.0 видят все PC подсети 192.168.55.0 Скорее всего, это происходит потому что "остальные PC" используют Mikrotik 1 в качестве маршрута по умолчанию. А Mikrotik 1, в свою очередь, знает маршрут до Филиала. 10 hours ago, victor-2003 said: кроме Почтовика и Шлюза №1 Скорее всего, это происходит потому что Почтовик использует в качестве маршрута по умолчанию Шлюз №1, а тот, в свою очередь, использует шлюз провайдера. Таким образом, пакеты предназначенные для Филиала не попадаят на Mikrotik 1, а через интернет им дороги нет. Проверять эту гипотезу надо так: Поставить сниффер на Mikrotik 1 и на Шлюз №1. Попинговать Почтовик из Филиала. В сниффере вы увидите как echo request пойдут через Mikrotik 1 во внуренюю сеть, а ответы echo replay попытаются пойти в Интернет через Шлюз №1, где благополучно потеряются. Чинить костылём надо, скорее всего, так: Проиписать на Почтовике и на Шлюзе №1 статический маршрут до 192.168.99.0/24 через 192.168.55.9. Можно только на Шлюзе №1, но это замусорит вашу сеть пакетами ICMP Redirect и не факт что сработает. Можно только на Почтовике, если доступ из Филиала к Шлюзу №1 в принципе не нужен. Чтобы починить не костылём, а как следует, придётся несколько поменять топологию сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
victor-2003 Опубликовано 23 октября, 2020 · Жалоба @jffulcrum Вот конфиг двух микротиков mikrotik1.txt mikrotik2.txt Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
victor-2003 Опубликовано 23 октября, 2020 · Жалоба 9 часов назад, lugoblin сказал: Скорее всего, это происходит потому что Почтовик использует в качестве маршрута по умолчанию Шлюз №1, а тот, в свою очередь, использует шлюз провайдера. Таким образом, пакеты предназначенные для Филиала не попадаят на Mikrotik 1, а через интернет им дороги нет. Проверять эту гипотезу надо так: Поставить сниффер на Mikrotik 1 и на Шлюз №1. Попинговать Почтовик из Филиала. В сниффере вы увидите как echo request пойдут через Mikrotik 1 во внуренюю сеть, а ответы echo replay попытаются пойти в Интернет через Шлюз №1, где благополучно потеряются. Чинить костылём надо, скорее всего, так: Проиписать на Почтовике и на Шлюзе №1 статический маршрут до 192.168.99.0/24 через 192.168.55.9. Можно только на Шлюзе №1, но это замусорит вашу сеть пакетами ICMP Redirect и не факт что сработает. Можно только на Почтовике, если доступ из Филиала к Шлюзу №1 в принципе не нужен. Чтобы починить не костылём, а как следует, придётся несколько поменять топологию сети. Да теперь понятно становится почему не виден почтовик. Из сети 192.168.99.0/24 нужен только почтовик. Попробую прописать. Отказаться от шлюза№1 я не могу, так как почтовик Exchange. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 23 октября, 2020 · Жалоба 16 hours ago, victor-2003 said: Отказаться от шлюза№1 я не могу, так как почтовик Exchange. Не вижу как одно следует из другого, но в добрый час. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
victor-2003 Опубликовано 24 октября, 2020 · Жалоба @lugoblin Спасибо за совет. Именно на почтовике прописал маршрут и сеть 192.168.99.0 стала видеть почтовик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
victor-2003 Опубликовано 24 октября, 2020 · Жалоба 12 часов назад, lugoblin сказал: Не вижу как одно следует из другого, но в добрый час. А можно поподробнее? Когда я покупал Mikrotik мне сразу сказали, что опубликовать Exchange OWA не получится. В инете не могу найти как опубликовать OWA на Mikrotike. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 24 октября, 2020 · Жалоба Какой версии Exchange? В современных достаточно опубликовать порт 443 на DST-NAT, RPC больше не используется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lugoblin Опубликовано 24 октября, 2020 · Жалоба 4 hours ago, victor-2003 said: Именно на почтовике прописал маршрут и сеть 192.168.99.0 стала видеть почтовик. Сразу проверьте, что настройка сохраняется после ребута почтовика. 4 hours ago, victor-2003 said: Когда я покупал Mikrotik мне сразу сказали, что опубликовать Exchange OWA не получится. Наверное, слышали звон. В старых Exchange связь с клиентом работала нетривиальным способом. Как говорит @jffulcrum, надо на версию смотреть. Т. к. это проблема специфична для Exchange а не для Mikrotik-а, то если на Шлюзе №1 он как-то опубликован, то на Mikrotik-е скорее всего тоже можно заставить работать. Однако. Даже если Exchange можно опубликовать в Интернете, не значит что это делать нужно. Поломают. Если ещё не поломали, то, возможно, это только вопрос времени. Сервис для входящей почты обычно пускают через почтовый шлюз, он-же может быть спаморезкой и антивирусом. Его можно вообще взять как SaaS и держать в облаке, а связывать с Exchange по VPN или строгому whitelist. Сервис доступа пользователей к ящикам делают через VPN. Даже если Exchange можно опубликовать в Интернете через Mikrotik, не значит что это делать нужно. Ваша сеть прямо сейчас работает, но так-же развивается и растёт, вы делаете мелкие улучшения и накапливаете костыли. Рано или поздно станет целесообразно менять топологию. Вот тогда-то, скорее всего, и будет уместно планировать упразднение Шлюза №1. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
victor-2003 Опубликовано 27 октября, 2020 · Жалоба В 24.10.2020 в 18:03, jffulcrum сказал: Какой версии Exchange? В современных достаточно опубликовать порт 443 на DST-NAT, RPC больше не используется. Почтовик древний, Exchange 2007 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 27 октября, 2020 · Жалоба 5 часов назад, victor-2003 сказал: Почтовик древний, Exchange 2007 Стало быть маршрутизатор 1 - это ISA/Forefront. Тут да, можно нарваться на проблемы при попытке смены решения. Но что ISA, что Exchange 2007 давно deprecated и выставлять их в Интернет просто опасно. Планируйте переход хотя бы на 2013, тогда ISA станет не нужной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...