Jump to content
Калькуляторы

Впн, роутинг и белые адреса подскажите неумному

Есть сервер в инете по айпи скажем 222.111.222.2, его шлюз 222.111.222.1, у сервера есть еще несколько айпи.

Ставлю на него впн-сервер. Хочу клиенту выдать 222.111.222.3. Ставлю ему в настройках: локал-адрес 222.111.222.1, ремоте-адрес 222.111.222.3.

Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен.

 

Пожалуйста, в rfc только не посылайте.

Edited by L-ZiX

Share this post


Link to post
Share on other sites
Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен.
Впредь неплохо бы сразу говорить, какая система.

1. Пропускает ли файрвол?

2. См. трафик на внешнем интерфейсе. tcpdump'ом, например.

Share this post


Link to post
Share on other sites

Был линукс, теперь микротик - одна шняга.

Файрвол отключен. Трафик на внешнем интерфейса сервера? Он в датацентре стоит.

Share this post


Link to post
Share on other sites

Трафик на внешнем интерфейса сервера? Он в датацентре стоит.

Это мешает ему иметь интерфейс, через которые трафик уходит в интернеты?

Share this post


Link to post
Share on other sites

Как мне на микротике это сделать?

Share this post


Link to post
Share on other sites

допольнительные адреса вам, скорее всего выдали как alias-ip без привязки к вашему шлюзу, а значит немаршрутизируемые. Обратитесь в ДЦ

Share this post


Link to post
Share on other sites

а включение arp proxy разве не поможет в этом случае?

Share this post


Link to post
Share on other sites

Только что сменил айпи на сервере - работает на другом. Proxy-arp помог на несколько часов, да и один и уважаемых посетителей этого форума сказал что за прокси-арп можно люлей получить.

Share this post


Link to post
Share on other sites

Подобные вещи следует спрашивать не у уважаемых посетителей форума, а у людей, у которых Вы берете интернеты. Если Вам в интерфейс дается подсеть, proxy_arp неизбежен, AFAIK.

Share this post


Link to post
Share on other sites

А если я шлюзом сделаю сам сервер? Что еще нужно будет настроить?

Share this post


Link to post
Share on other sites

ещё как вариант транслировать белый адрес в серый, выданный впном, но не все сервисы могут заработать в таком режиме.

Share this post


Link to post
Share on other sites

не, ну это совсем не красиво :(

Edited by L-ZiX

Share this post


Link to post
Share on other sites
допольнительные адреса вам, скорее всего выдали как alias-ip без привязки к вашему шлюзу, а значит немаршрутизируемые. Обратитесь в ДЦ

Странно, а у меня все маршрутизируется )))

Share this post


Link to post
Share on other sites

Блин. Что же у меня не так :( Куда посмотреть?

Share this post


Link to post
Share on other sites
Есть сервер в инете по айпи скажем 222.111.222.2, его шлюз 222.111.222.1, у сервера есть еще несколько айпи.

Ставлю на него впн-сервер. Хочу клиенту выдать 222.111.222.3. Ставлю ему в настройках: локал-адрес 222.111.222.1, ремоте-адрес 222.111.222.3.

Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен.

 

Пожалуйста, в rfc только не посылайте.

адрес 222.111.222.2 - сервер (к нему собственно и цепляется клиент своим ВПН-ом) ... верно?

с какой радости при настройке сервера ВПН вы указываете local 222.111.222.1 ? это ж для вашего сервера шлюз (?) т.е. этот адрес живёт не у вас на сервере! (?)

 

local 222.111.222.2

remoute 222.111.222.3

 

имхо так надо ... в аналогичной ситуации всё пашет как из пушки ....

прокси-арп вообще не понял к чему это тут ....

 

P.S.догадываюсь что Вам в ДЦ выдали двуххостовую подсеть для линка на сервак и некую подсеть адресов для поюзания и организовали маршрут на эту подсеть через ваш линковый адрес?

или выдали просто подсеть для поюзания и всё?

Edited by Grey

Share this post


Link to post
Share on other sites

Дали подсеть, вернее 16 айпишек, сказали - все ваши. Ставил разные на сервер - все работают.

 

Делал чтоб локал был сам сервер - не помогает.

Share this post


Link to post
Share on other sites

прокси-арп вообще не понял к чему это тут ....

Провайдерский шлюз ожидает, что все адреса будут видны непосредственно на интерфейсе. Поэтому, если они за клиентским шлюзом, proxy_arp должен отвечать на АРП-запросы вместо них.

Share this post


Link to post
Share on other sites
прокси-арп вообще не понял к чему это тут ....
Провайдерский шлюз ожидает, что все адреса будут видны непосредственно на интерфейсе. Поэтому, если они за клиентским шлюзом, proxy_arp должен отвечать на АРП-запросы вместо них.

Провайдерский шлюз ожидает что все адреса будут на интерфейсе, если их там нет то интерфейс маршрутизирует запрос туда где они есть, т.е намикротик!

Share this post


Link to post
Share on other sites

интерфейс телепат?

proxy_arp все таки включите, и все...

 

 proxyarp
              Add an entry to this system's ARP [Address Resolution Protocol] table with the IP address of the peer and the Ethernet address
              of this system.  This will have the effect of making the peer appear to other systems to be on the local ethernet.

 

Edited by martin74

Share this post


Link to post
Share on other sites

Всё равно не работает. На серых натится отлично.

Share this post


Link to post
Share on other sites
интерфейс телепат?

 

 

 proxyarp
              Add an entry to this system's ARP [Address Resolution Protocol] table with the IP address of the peer and the Ethernet address
              of this system.  This will have the effect of making the peer appear to other systems to be on the local ethernet.

route add и ip_forward=1 отменили?

 

 

провайдер (маршрут на сервер) - > сервер (1 адрес из подсети) + маршрут на хост -> хост (допустим ВМ на сервере) микротик (шлюзом хост) + PPTP -> PPTP клиент

 

L-ZiX, схему сети с адресами и экспорт конфига микротика в студию

Share this post


Link to post
Share on other sites

А вы уверены, что сеть отмаршрутизирована на интерфейс? Со стороны провайдера

Share this post


Link to post
Share on other sites

Сейчас работает через нат, прокси-арп ставил - не решает

[lzix@MikroTik] > export
# jan/17/2009 19:48:15 by RouterOS 3.18
# software id = HVKN-FXT
#
/interface ethernet
set 0 arp=enabled auto-negotiation=yes cable-settings=default comment="" \
    disable-running-check=yes disabled=no full-duplex=yes mac-address=\
    00:0F:EA:F9:A6:D5 mtu=1500 name=ether1 speed=100Mbps
/port
set 0 baud-rate=9600 data-bits=8 flow-control=hardware name=serial1 parity=\
    none stop-bits=1
set 1 baud-rate=9600 data-bits=8 flow-control=hardware name=serial2 parity=\
    none stop-bits=1
/ppp profile
set default change-tcp-mss=yes comment="" name=default only-one=default \
    use-compression=default use-encryption=no use-vj-compression=no
set default-encryption change-tcp-mss=yes comment="" name=default-encryption \
    only-one=default use-compression=default use-encryption=yes \
    use-vj-compression=default
/queue type
set default kind=pfifo name=default pfifo-limit=50
set ethernet-default kind=pfifo name=ethernet-default pfifo-limit=50
set wireless-default kind=sfq name=wireless-default sfq-allot=1514 \
    sfq-perturb=5
set synchronous-default kind=red name=synchronous-default red-avg-packet=1000 \
    red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10
set hotspot-default kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=\
    5
set default-small kind=pfifo name=default-small pfifo-limit=10
/routing bgp instance
set default as=65530 client-to-client-reflection=yes comment="" disabled=no \
    ignore-as-path-len=no name=default out-filter="" redistribute-connected=\
    no redistribute-ospf=no redistribute-other-bgp=no redistribute-rip=no \
    redistribute-static=no router-id=0.0.0.0
/routing ospf area
add area-id=0.0.0.0 authentication=none disabled=no name=backbone type=\
    default
/snmp
set contact="" enabled=no engine-boots=0 engine-id="" location="" \
    time-window=15 trap-sink=0.0.0.0 trap-version=1
/snmp community
set public address=0.0.0.0/0 authentication-password="" \
    authentication-protocol=MD5 encryption-password="" encryption-protocol=\
    DES name=public read-access=yes security=none write-access=no
/system logging action
set memory memory-lines=100 memory-stop-on-full=no name=memory target=memory
set disk disk-lines=100 disk-stop-on-full=no name=disk target=disk
set echo name=echo remember=yes target=echo
set remote name=remote remote=0.0.0.0:514 target=remote
/user group
add name=read policy="local,telnet,ssh,reboot,read,test,winbox,password,web,sn\
    iff,!ftp,!write,!policy"
add name=write policy="local,telnet,ssh,reboot,read,write,test,winbox,password\
    ,web,sniff,!ftp,!policy"
add name=full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbo\
    x,password,web,sniff"
/user
add address=0.0.0.0/0 comment="system default user" disabled=no group=full \
    name=lzix
/interface bridge settings
set use-ip-firewall=no use-ip-firewall-for-vlan=no
/interface ethernet mirror
set
/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=\
    no max-mru=1460 max-mtu=1460 mrru=disabled
/interface ovpn-server server
set auth="" certificate=none cipher="" default-profile=default enabled=no \
    keepalive-timeout=60 mac-address=FE:11:5B:E6:CF:78 max-mtu=1500 mode=ip \
    netmask=24 port=1194 require-client-certificate=no
/interface pptp-server server
set authentication=pap,chap default-profile=default enabled=yes \
    keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled
/ip accounting
set account-local-traffic=no enabled=no threshold=256
/ip accounting web-access
set accessible-via-web=no address=0.0.0.0/0
/ip address
add address=92.46.175.54/24 broadcast=92.46.175.255 comment="" disabled=no \
    interface=ether1 network=92.46.175.0
add address=10.10.10.21/24 broadcast=10.10.10.255 comment="" disabled=no \
    interface=ether1 network=10.10.10.0
/ip dns
set allow-remote-requests=no cache-max-ttl=1w cache-size=2048KiB \
    max-udp-packet-size=512 primary-dns=0.0.0.0 secondary-dns=0.0.0.0
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
    tcp-close-wait-timeout=10s tcp-established-timeout=1d \
    tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
    tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
    tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=forward comment="" disabled=no src-address=\
    92.46.175.55
add action=accept chain=forward comment="" disabled=no dst-address=\
    92.46.175.55
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=\
    ether1 src-address=10.10.10.20
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no
/ip neighbor discovery
set ether1 discover=yes
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 \
    cache-on-disk=no enabled=no max-cache-size=unlimited \
    max-client-connections=600 max-fresh-time=3d max-server-connections=600 \
    parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 serialize-connections=\
    no src-address=0.0.0.0
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=92.46.175.1 scope=30 \
    target-scope=10
/ip service
set telnet address=0.0.0.0/0 disabled=no port=23
set ftp address=0.0.0.0/0 disabled=no port=21
set www address=0.0.0.0/0 disabled=no port=80
set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443
set api address=0.0.0.0/0 disabled=yes port=8728
set winbox address=0.0.0.0/0 disabled=no port=8291
/ip socks
set connection-idle-timeout=2m enabled=no max-connections=200 port=1080
/ip traffic-flow
set active-flow-timeout=30m cache-entries=4k enabled=no \
    inactive-flow-timeout=15s interfaces=all
/ip upnp
set allow-disable-external-interface=yes enabled=no show-dummy-rule=yes
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
/ppp secret
add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \
    local-address=10.10.10.21 name=lzix password=xxxxxxxxx profile=default \
    remote-address=10.10.10.20 routes="" service=any
/queue interface
set ether1 queue=ethernet-default
/radius incoming
set accept=no port=3799
/routing mme
set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m \
    gateway-selection=no-gateway origination-interval=5s preferred-gateway=\
    0.0.0.0 timeout=1m ttl=50
/routing ospf
set distribute-default=never metric-bgp=20 metric-connected=20 \
    metric-default=1 metric-rip=20 metric-static=20 mpls-te-area=unspecified \
    mpls-te-router-id=unspecified redistribute-bgp=no redistribute-connected=\
    no redistribute-rip=no redistribute-static=no router-id=0.0.0.0
/routing rip
set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 \
    metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no \
    redistribute-connected=no redistribute-ospf=no redistribute-static=no \
    timeout-timer=3m update-timer=30s
/store
add comment="" disabled=no disk=usb1 name=web-proxy1 type=web-proxy
/system clock manual
set dst-delta=+00:00 dst-end="jan/01/1970 00:00:00" dst-start=\
    "jan/01/1970 00:00:00" time-zone=+00:00
/system console
add disabled=no port=serial1 term=vt102
set [ find vcno=1 ] disabled=no term=linux
set [ find vcno=2 ] disabled=no term=linux
set [ find vcno=3 ] disabled=no term=linux
set [ find vcno=4 ] disabled=no term=linux
set [ find vcno=5 ] disabled=no term=linux
set [ find vcno=6 ] disabled=no term=linux
set [ find vcno=7 ] disabled=no term=linux
set [ find vcno=8 ] disabled=no term=linux
/system console screen
set line-count=25
/system hardware
set multi-cpu=yes
/system health
set state-after-reboot=enabled
/system identity
set name=MikroTik
/system logging
add action=memory disabled=no prefix="" topics=info
add action=memory disabled=no prefix="" topics=error
add action=memory disabled=no prefix="" topics=warning
add action=echo disabled=no prefix="" topics=critical
/system note
set note="" show-at-login=yes
/system ntp client
set enabled=no mode=broadcast primary-ntp=0.0.0.0 secondary-ntp=0.0.0.0
/system upgrade mirror
set check-interval=1d enabled=no primary-server=0.0.0.0 secondary-server=\
    0.0.0.0 user=""
/system watchdog
set auto-send-supout=no automatic-supout=yes no-ping-delay=5m watch-address=\
    none watchdog-timer=yes
/tool bandwidth-server
set allocate-udp-ports-from=2000 authenticate=yes enabled=yes max-sessions=10
/tool e-mail
set from=<> server=0.0.0.0
/tool graphing
set store-every=5min
/tool mac-server
add disabled=no interface=all
/tool mac-server ping
set enabled=yes
/tool sniffer
set file-limit=10 file-name="" filter-address1=0.0.0.0/0:0-65535 \
    filter-address2=0.0.0.0/0:0-65535 filter-protocol=ip-only filter-stream=\
    yes interface=all memory-limit=10 only-headers=no streaming-enabled=no \
    streaming-server=0.0.0.0
/user aaa
set accounting=yes default-group=read interim-update=0s use-radius=no

Share this post


Link to post
Share on other sites

микротик сразу к провайдеру подключен или он на некой вирт. машине?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this