L-ZiX Posted January 15, 2009 Posted January 15, 2009 (edited) Есть сервер в инете по айпи скажем 222.111.222.2, его шлюз 222.111.222.1, у сервера есть еще несколько айпи. Ставлю на него впн-сервер. Хочу клиенту выдать 222.111.222.3. Ставлю ему в настройках: локал-адрес 222.111.222.1, ремоте-адрес 222.111.222.3. Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен. Пожалуйста, в rfc только не посылайте. Edited January 15, 2009 by L-ZiX Вставить ник Quote
EvilShadow Posted January 15, 2009 Posted January 15, 2009 Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен.Впредь неплохо бы сразу говорить, какая система.1. Пропускает ли файрвол? 2. См. трафик на внешнем интерфейсе. tcpdump'ом, например. Вставить ник Quote
L-ZiX Posted January 15, 2009 Author Posted January 15, 2009 Был линукс, теперь микротик - одна шняга. Файрвол отключен. Трафик на внешнем интерфейса сервера? Он в датацентре стоит. Вставить ник Quote
EvilShadow Posted January 15, 2009 Posted January 15, 2009 Трафик на внешнем интерфейса сервера? Он в датацентре стоит. Это мешает ему иметь интерфейс, через которые трафик уходит в интернеты? Вставить ник Quote
L-ZiX Posted January 15, 2009 Author Posted January 15, 2009 Как мне на микротике это сделать? Вставить ник Quote
Nafanya Posted January 15, 2009 Posted January 15, 2009 допольнительные адреса вам, скорее всего выдали как alias-ip без привязки к вашему шлюзу, а значит немаршрутизируемые. Обратитесь в ДЦ Вставить ник Quote
martin74 Posted January 15, 2009 Posted January 15, 2009 а включение arp proxy разве не поможет в этом случае? Вставить ник Quote
L-ZiX Posted January 15, 2009 Author Posted January 15, 2009 Только что сменил айпи на сервере - работает на другом. Proxy-arp помог на несколько часов, да и один и уважаемых посетителей этого форума сказал что за прокси-арп можно люлей получить. Вставить ник Quote
EvilShadow Posted January 15, 2009 Posted January 15, 2009 Подобные вещи следует спрашивать не у уважаемых посетителей форума, а у людей, у которых Вы берете интернеты. Если Вам в интерфейс дается подсеть, proxy_arp неизбежен, AFAIK. Вставить ник Quote
L-ZiX Posted January 15, 2009 Author Posted January 15, 2009 А если я шлюзом сделаю сам сервер? Что еще нужно будет настроить? Вставить ник Quote
Nafanya Posted January 15, 2009 Posted January 15, 2009 ещё как вариант транслировать белый адрес в серый, выданный впном, но не все сервисы могут заработать в таком режиме. Вставить ник Quote
L-ZiX Posted January 15, 2009 Author Posted January 15, 2009 (edited) не, ну это совсем не красиво :( Edited January 15, 2009 by L-ZiX Вставить ник Quote
ilia_2s Posted January 16, 2009 Posted January 16, 2009 допольнительные адреса вам, скорее всего выдали как alias-ip без привязки к вашему шлюзу, а значит немаршрутизируемые. Обратитесь в ДЦ Странно, а у меня все маршрутизируется ))) Вставить ник Quote
L-ZiX Posted January 16, 2009 Author Posted January 16, 2009 Блин. Что же у меня не так :( Куда посмотреть? Вставить ник Quote
Grey Posted January 16, 2009 Posted January 16, 2009 (edited) Есть сервер в инете по айпи скажем 222.111.222.2, его шлюз 222.111.222.1, у сервера есть еще несколько айпи.Ставлю на него впн-сервер. Хочу клиенту выдать 222.111.222.3. Ставлю ему в настройках: локал-адрес 222.111.222.1, ремоте-адрес 222.111.222.3. Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен. Пожалуйста, в rfc только не посылайте. адрес 222.111.222.2 - сервер (к нему собственно и цепляется клиент своим ВПН-ом) ... верно? с какой радости при настройке сервера ВПН вы указываете local 222.111.222.1 ? это ж для вашего сервера шлюз (?) т.е. этот адрес живёт не у вас на сервере! (?) local 222.111.222.2 remoute 222.111.222.3 имхо так надо ... в аналогичной ситуации всё пашет как из пушки .... прокси-арп вообще не понял к чему это тут .... P.S.догадываюсь что Вам в ДЦ выдали двуххостовую подсеть для линка на сервак и некую подсеть адресов для поюзания и организовали маршрут на эту подсеть через ваш линковый адрес? или выдали просто подсеть для поюзания и всё? Edited January 16, 2009 by Grey Вставить ник Quote
L-ZiX Posted January 16, 2009 Author Posted January 16, 2009 Дали подсеть, вернее 16 айпишек, сказали - все ваши. Ставил разные на сервер - все работают. Делал чтоб локал был сам сервер - не помогает. Вставить ник Quote
EvilShadow Posted January 16, 2009 Posted January 16, 2009 прокси-арп вообще не понял к чему это тут .... Провайдерский шлюз ожидает, что все адреса будут видны непосредственно на интерфейсе. Поэтому, если они за клиентским шлюзом, proxy_arp должен отвечать на АРП-запросы вместо них. Вставить ник Quote
ilia_2s Posted January 16, 2009 Posted January 16, 2009 прокси-арп вообще не понял к чему это тут ....Провайдерский шлюз ожидает, что все адреса будут видны непосредственно на интерфейсе. Поэтому, если они за клиентским шлюзом, proxy_arp должен отвечать на АРП-запросы вместо них. Провайдерский шлюз ожидает что все адреса будут на интерфейсе, если их там нет то интерфейс маршрутизирует запрос туда где они есть, т.е намикротик! Вставить ник Quote
martin74 Posted January 16, 2009 Posted January 16, 2009 (edited) интерфейс телепат? proxy_arp все таки включите, и все... proxyarp Add an entry to this system's ARP [Address Resolution Protocol] table with the IP address of the peer and the Ethernet address of this system. This will have the effect of making the peer appear to other systems to be on the local ethernet. Edited January 16, 2009 by martin74 Вставить ник Quote
L-ZiX Posted January 16, 2009 Author Posted January 16, 2009 Всё равно не работает. На серых натится отлично. Вставить ник Quote
ilia_2s Posted January 17, 2009 Posted January 17, 2009 интерфейс телепат? proxyarp Add an entry to this system's ARP [Address Resolution Protocol] table with the IP address of the peer and the Ethernet address of this system. This will have the effect of making the peer appear to other systems to be on the local ethernet. route add и ip_forward=1 отменили? провайдер (маршрут на сервер) - > сервер (1 адрес из подсети) + маршрут на хост -> хост (допустим ВМ на сервере) микротик (шлюзом хост) + PPTP -> PPTP клиент L-ZiX, схему сети с адресами и экспорт конфига микротика в студию Вставить ник Quote
martin74 Posted January 17, 2009 Posted January 17, 2009 А вы уверены, что сеть отмаршрутизирована на интерфейс? Со стороны провайдера Вставить ник Quote
ilia_2s Posted January 17, 2009 Posted January 17, 2009 Проверить надо. Я ж говорю, схему сети, будем разбираться Вставить ник Quote
L-ZiX Posted January 17, 2009 Author Posted January 17, 2009 Сейчас работает через нат, прокси-арп ставил - не решает [lzix@MikroTik] > export # jan/17/2009 19:48:15 by RouterOS 3.18 # software id = HVKN-FXT # /interface ethernet set 0 arp=enabled auto-negotiation=yes cable-settings=default comment="" \ disable-running-check=yes disabled=no full-duplex=yes mac-address=\ 00:0F:EA:F9:A6:D5 mtu=1500 name=ether1 speed=100Mbps /port set 0 baud-rate=9600 data-bits=8 flow-control=hardware name=serial1 parity=\ none stop-bits=1 set 1 baud-rate=9600 data-bits=8 flow-control=hardware name=serial2 parity=\ none stop-bits=1 /ppp profile set default change-tcp-mss=yes comment="" name=default only-one=default \ use-compression=default use-encryption=no use-vj-compression=no set default-encryption change-tcp-mss=yes comment="" name=default-encryption \ only-one=default use-compression=default use-encryption=yes \ use-vj-compression=default /queue type set default kind=pfifo name=default pfifo-limit=50 set ethernet-default kind=pfifo name=ethernet-default pfifo-limit=50 set wireless-default kind=sfq name=wireless-default sfq-allot=1514 \ sfq-perturb=5 set synchronous-default kind=red name=synchronous-default red-avg-packet=1000 \ red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10 set hotspot-default kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=\ 5 set default-small kind=pfifo name=default-small pfifo-limit=10 /routing bgp instance set default as=65530 client-to-client-reflection=yes comment="" disabled=no \ ignore-as-path-len=no name=default out-filter="" redistribute-connected=\ no redistribute-ospf=no redistribute-other-bgp=no redistribute-rip=no \ redistribute-static=no router-id=0.0.0.0 /routing ospf area add area-id=0.0.0.0 authentication=none disabled=no name=backbone type=\ default /snmp set contact="" enabled=no engine-boots=0 engine-id="" location="" \ time-window=15 trap-sink=0.0.0.0 trap-version=1 /snmp community set public address=0.0.0.0/0 authentication-password="" \ authentication-protocol=MD5 encryption-password="" encryption-protocol=\ DES name=public read-access=yes security=none write-access=no /system logging action set memory memory-lines=100 memory-stop-on-full=no name=memory target=memory set disk disk-lines=100 disk-stop-on-full=no name=disk target=disk set echo name=echo remember=yes target=echo set remote name=remote remote=0.0.0.0:514 target=remote /user group add name=read policy="local,telnet,ssh,reboot,read,test,winbox,password,web,sn\ iff,!ftp,!write,!policy" add name=write policy="local,telnet,ssh,reboot,read,write,test,winbox,password\ ,web,sniff,!ftp,!policy" add name=full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbo\ x,password,web,sniff" /user add address=0.0.0.0/0 comment="system default user" disabled=no group=full \ name=lzix /interface bridge settings set use-ip-firewall=no use-ip-firewall-for-vlan=no /interface ethernet mirror set /interface l2tp-server server set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=\ no max-mru=1460 max-mtu=1460 mrru=disabled /interface ovpn-server server set auth="" certificate=none cipher="" default-profile=default enabled=no \ keepalive-timeout=60 mac-address=FE:11:5B:E6:CF:78 max-mtu=1500 mode=ip \ netmask=24 port=1194 require-client-certificate=no /interface pptp-server server set authentication=pap,chap default-profile=default enabled=yes \ keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled /ip accounting set account-local-traffic=no enabled=no threshold=256 /ip accounting web-access set accessible-via-web=no address=0.0.0.0/0 /ip address add address=92.46.175.54/24 broadcast=92.46.175.255 comment="" disabled=no \ interface=ether1 network=92.46.175.0 add address=10.10.10.21/24 broadcast=10.10.10.255 comment="" disabled=no \ interface=ether1 network=10.10.10.0 /ip dns set allow-remote-requests=no cache-max-ttl=1w cache-size=2048KiB \ max-udp-packet-size=512 primary-dns=0.0.0.0 secondary-dns=0.0.0.0 /ip firewall connection tracking set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \ tcp-close-wait-timeout=10s tcp-established-timeout=1d \ tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \ tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \ tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s /ip firewall filter add action=accept chain=forward comment="" disabled=no src-address=\ 92.46.175.55 add action=accept chain=forward comment="" disabled=no dst-address=\ 92.46.175.55 /ip firewall nat add action=masquerade chain=srcnat comment="" disabled=no out-interface=\ ether1 src-address=10.10.10.20 /ip firewall service-port set ftp disabled=no ports=21 set tftp disabled=no ports=69 set irc disabled=no ports=6667 set h323 disabled=no set sip disabled=no ports=5060,5061 set pptp disabled=no /ip neighbor discovery set ether1 discover=yes /ip proxy set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 \ cache-on-disk=no enabled=no max-cache-size=unlimited \ max-client-connections=600 max-fresh-time=3d max-server-connections=600 \ parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 serialize-connections=\ no src-address=0.0.0.0 /ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=92.46.175.1 scope=30 \ target-scope=10 /ip service set telnet address=0.0.0.0/0 disabled=no port=23 set ftp address=0.0.0.0/0 disabled=no port=21 set www address=0.0.0.0/0 disabled=no port=80 set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443 set api address=0.0.0.0/0 disabled=yes port=8728 set winbox address=0.0.0.0/0 disabled=no port=8291 /ip socks set connection-idle-timeout=2m enabled=no max-connections=200 port=1080 /ip traffic-flow set active-flow-timeout=30m cache-entries=4k enabled=no \ inactive-flow-timeout=15s interfaces=all /ip upnp set allow-disable-external-interface=yes enabled=no show-dummy-rule=yes /ppp aaa set accounting=yes interim-update=0s use-radius=no /ppp secret add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \ local-address=10.10.10.21 name=lzix password=xxxxxxxxx profile=default \ remote-address=10.10.10.20 routes="" service=any /queue interface set ether1 queue=ethernet-default /radius incoming set accept=no port=3799 /routing mme set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m \ gateway-selection=no-gateway origination-interval=5s preferred-gateway=\ 0.0.0.0 timeout=1m ttl=50 /routing ospf set distribute-default=never metric-bgp=20 metric-connected=20 \ metric-default=1 metric-rip=20 metric-static=20 mpls-te-area=unspecified \ mpls-te-router-id=unspecified redistribute-bgp=no redistribute-connected=\ no redistribute-rip=no redistribute-static=no router-id=0.0.0.0 /routing rip set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 \ metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no \ redistribute-connected=no redistribute-ospf=no redistribute-static=no \ timeout-timer=3m update-timer=30s /store add comment="" disabled=no disk=usb1 name=web-proxy1 type=web-proxy /system clock manual set dst-delta=+00:00 dst-end="jan/01/1970 00:00:00" dst-start=\ "jan/01/1970 00:00:00" time-zone=+00:00 /system console add disabled=no port=serial1 term=vt102 set [ find vcno=1 ] disabled=no term=linux set [ find vcno=2 ] disabled=no term=linux set [ find vcno=3 ] disabled=no term=linux set [ find vcno=4 ] disabled=no term=linux set [ find vcno=5 ] disabled=no term=linux set [ find vcno=6 ] disabled=no term=linux set [ find vcno=7 ] disabled=no term=linux set [ find vcno=8 ] disabled=no term=linux /system console screen set line-count=25 /system hardware set multi-cpu=yes /system health set state-after-reboot=enabled /system identity set name=MikroTik /system logging add action=memory disabled=no prefix="" topics=info add action=memory disabled=no prefix="" topics=error add action=memory disabled=no prefix="" topics=warning add action=echo disabled=no prefix="" topics=critical /system note set note="" show-at-login=yes /system ntp client set enabled=no mode=broadcast primary-ntp=0.0.0.0 secondary-ntp=0.0.0.0 /system upgrade mirror set check-interval=1d enabled=no primary-server=0.0.0.0 secondary-server=\ 0.0.0.0 user="" /system watchdog set auto-send-supout=no automatic-supout=yes no-ping-delay=5m watch-address=\ none watchdog-timer=yes /tool bandwidth-server set allocate-udp-ports-from=2000 authenticate=yes enabled=yes max-sessions=10 /tool e-mail set from=<> server=0.0.0.0 /tool graphing set store-every=5min /tool mac-server add disabled=no interface=all /tool mac-server ping set enabled=yes /tool sniffer set file-limit=10 file-name="" filter-address1=0.0.0.0/0:0-65535 \ filter-address2=0.0.0.0/0:0-65535 filter-protocol=ip-only filter-stream=\ yes interface=all memory-limit=10 only-headers=no streaming-enabled=no \ streaming-server=0.0.0.0 /user aaa set accounting=yes default-group=read interim-update=0s use-radius=no Вставить ник Quote
ilia_2s Posted January 17, 2009 Posted January 17, 2009 микротик сразу к провайдеру подключен или он на некой вирт. машине? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.