L-ZiX Опубликовано 15 января, 2009 (изменено) · Жалоба Есть сервер в инете по айпи скажем 222.111.222.2, его шлюз 222.111.222.1, у сервера есть еще несколько айпи. Ставлю на него впн-сервер. Хочу клиенту выдать 222.111.222.3. Ставлю ему в настройках: локал-адрес 222.111.222.1, ремоте-адрес 222.111.222.3. Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен. Пожалуйста, в rfc только не посылайте. Изменено 15 января, 2009 пользователем L-ZiX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 15 января, 2009 · Жалоба Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен.Впредь неплохо бы сразу говорить, какая система.1. Пропускает ли файрвол? 2. См. трафик на внешнем интерфейсе. tcpdump'ом, например. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 15 января, 2009 · Жалоба Был линукс, теперь микротик - одна шняга. Файрвол отключен. Трафик на внешнем интерфейса сервера? Он в датацентре стоит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 15 января, 2009 · Жалоба Трафик на внешнем интерфейса сервера? Он в датацентре стоит. Это мешает ему иметь интерфейс, через которые трафик уходит в интернеты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 15 января, 2009 · Жалоба Как мне на микротике это сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 15 января, 2009 · Жалоба допольнительные адреса вам, скорее всего выдали как alias-ip без привязки к вашему шлюзу, а значит немаршрутизируемые. Обратитесь в ДЦ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 15 января, 2009 · Жалоба а включение arp proxy разве не поможет в этом случае? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 15 января, 2009 · Жалоба Только что сменил айпи на сервере - работает на другом. Proxy-arp помог на несколько часов, да и один и уважаемых посетителей этого форума сказал что за прокси-арп можно люлей получить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 15 января, 2009 · Жалоба Подобные вещи следует спрашивать не у уважаемых посетителей форума, а у людей, у которых Вы берете интернеты. Если Вам в интерфейс дается подсеть, proxy_arp неизбежен, AFAIK. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 15 января, 2009 · Жалоба А если я шлюзом сделаю сам сервер? Что еще нужно будет настроить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nafanya Опубликовано 15 января, 2009 · Жалоба ещё как вариант транслировать белый адрес в серый, выданный впном, но не все сервисы могут заработать в таком режиме. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 15 января, 2009 (изменено) · Жалоба не, ну это совсем не красиво :( Изменено 15 января, 2009 пользователем L-ZiX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 16 января, 2009 · Жалоба допольнительные адреса вам, скорее всего выдали как alias-ip без привязки к вашему шлюзу, а значит немаршрутизируемые. Обратитесь в ДЦ Странно, а у меня все маршрутизируется ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 16 января, 2009 · Жалоба Блин. Что же у меня не так :( Куда посмотреть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grey Опубликовано 16 января, 2009 (изменено) · Жалоба Есть сервер в инете по айпи скажем 222.111.222.2, его шлюз 222.111.222.1, у сервера есть еще несколько айпи.Ставлю на него впн-сервер. Хочу клиенту выдать 222.111.222.3. Ставлю ему в настройках: локал-адрес 222.111.222.1, ремоте-адрес 222.111.222.3. Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен. Пожалуйста, в rfc только не посылайте. адрес 222.111.222.2 - сервер (к нему собственно и цепляется клиент своим ВПН-ом) ... верно? с какой радости при настройке сервера ВПН вы указываете local 222.111.222.1 ? это ж для вашего сервера шлюз (?) т.е. этот адрес живёт не у вас на сервере! (?) local 222.111.222.2 remoute 222.111.222.3 имхо так надо ... в аналогичной ситуации всё пашет как из пушки .... прокси-арп вообще не понял к чему это тут .... P.S.догадываюсь что Вам в ДЦ выдали двуххостовую подсеть для линка на сервак и некую подсеть адресов для поюзания и организовали маршрут на эту подсеть через ваш линковый адрес? или выдали просто подсеть для поюзания и всё? Изменено 16 января, 2009 пользователем Grey Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 16 января, 2009 · Жалоба Дали подсеть, вернее 16 айпишек, сказали - все ваши. Ставил разные на сервер - все работают. Делал чтоб локал был сам сервер - не помогает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EvilShadow Опубликовано 16 января, 2009 · Жалоба прокси-арп вообще не понял к чему это тут .... Провайдерский шлюз ожидает, что все адреса будут видны непосредственно на интерфейсе. Поэтому, если они за клиентским шлюзом, proxy_arp должен отвечать на АРП-запросы вместо них. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 16 января, 2009 · Жалоба прокси-арп вообще не понял к чему это тут ....Провайдерский шлюз ожидает, что все адреса будут видны непосредственно на интерфейсе. Поэтому, если они за клиентским шлюзом, proxy_arp должен отвечать на АРП-запросы вместо них. Провайдерский шлюз ожидает что все адреса будут на интерфейсе, если их там нет то интерфейс маршрутизирует запрос туда где они есть, т.е намикротик! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 16 января, 2009 (изменено) · Жалоба интерфейс телепат? proxy_arp все таки включите, и все... proxyarp Add an entry to this system's ARP [Address Resolution Protocol] table with the IP address of the peer and the Ethernet address of this system. This will have the effect of making the peer appear to other systems to be on the local ethernet. Изменено 16 января, 2009 пользователем martin74 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 16 января, 2009 · Жалоба Всё равно не работает. На серых натится отлично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 17 января, 2009 · Жалоба интерфейс телепат? proxyarp Add an entry to this system's ARP [Address Resolution Protocol] table with the IP address of the peer and the Ethernet address of this system. This will have the effect of making the peer appear to other systems to be on the local ethernet. route add и ip_forward=1 отменили? провайдер (маршрут на сервер) - > сервер (1 адрес из подсети) + маршрут на хост -> хост (допустим ВМ на сервере) микротик (шлюзом хост) + PPTP -> PPTP клиент L-ZiX, схему сети с адресами и экспорт конфига микротика в студию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 17 января, 2009 · Жалоба А вы уверены, что сеть отмаршрутизирована на интерфейс? Со стороны провайдера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 17 января, 2009 · Жалоба Проверить надо. Я ж говорю, схему сети, будем разбираться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
L-ZiX Опубликовано 17 января, 2009 · Жалоба Сейчас работает через нат, прокси-арп ставил - не решает [lzix@MikroTik] > export # jan/17/2009 19:48:15 by RouterOS 3.18 # software id = HVKN-FXT # /interface ethernet set 0 arp=enabled auto-negotiation=yes cable-settings=default comment="" \ disable-running-check=yes disabled=no full-duplex=yes mac-address=\ 00:0F:EA:F9:A6:D5 mtu=1500 name=ether1 speed=100Mbps /port set 0 baud-rate=9600 data-bits=8 flow-control=hardware name=serial1 parity=\ none stop-bits=1 set 1 baud-rate=9600 data-bits=8 flow-control=hardware name=serial2 parity=\ none stop-bits=1 /ppp profile set default change-tcp-mss=yes comment="" name=default only-one=default \ use-compression=default use-encryption=no use-vj-compression=no set default-encryption change-tcp-mss=yes comment="" name=default-encryption \ only-one=default use-compression=default use-encryption=yes \ use-vj-compression=default /queue type set default kind=pfifo name=default pfifo-limit=50 set ethernet-default kind=pfifo name=ethernet-default pfifo-limit=50 set wireless-default kind=sfq name=wireless-default sfq-allot=1514 \ sfq-perturb=5 set synchronous-default kind=red name=synchronous-default red-avg-packet=1000 \ red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10 set hotspot-default kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=\ 5 set default-small kind=pfifo name=default-small pfifo-limit=10 /routing bgp instance set default as=65530 client-to-client-reflection=yes comment="" disabled=no \ ignore-as-path-len=no name=default out-filter="" redistribute-connected=\ no redistribute-ospf=no redistribute-other-bgp=no redistribute-rip=no \ redistribute-static=no router-id=0.0.0.0 /routing ospf area add area-id=0.0.0.0 authentication=none disabled=no name=backbone type=\ default /snmp set contact="" enabled=no engine-boots=0 engine-id="" location="" \ time-window=15 trap-sink=0.0.0.0 trap-version=1 /snmp community set public address=0.0.0.0/0 authentication-password="" \ authentication-protocol=MD5 encryption-password="" encryption-protocol=\ DES name=public read-access=yes security=none write-access=no /system logging action set memory memory-lines=100 memory-stop-on-full=no name=memory target=memory set disk disk-lines=100 disk-stop-on-full=no name=disk target=disk set echo name=echo remember=yes target=echo set remote name=remote remote=0.0.0.0:514 target=remote /user group add name=read policy="local,telnet,ssh,reboot,read,test,winbox,password,web,sn\ iff,!ftp,!write,!policy" add name=write policy="local,telnet,ssh,reboot,read,write,test,winbox,password\ ,web,sniff,!ftp,!policy" add name=full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbo\ x,password,web,sniff" /user add address=0.0.0.0/0 comment="system default user" disabled=no group=full \ name=lzix /interface bridge settings set use-ip-firewall=no use-ip-firewall-for-vlan=no /interface ethernet mirror set /interface l2tp-server server set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=\ no max-mru=1460 max-mtu=1460 mrru=disabled /interface ovpn-server server set auth="" certificate=none cipher="" default-profile=default enabled=no \ keepalive-timeout=60 mac-address=FE:11:5B:E6:CF:78 max-mtu=1500 mode=ip \ netmask=24 port=1194 require-client-certificate=no /interface pptp-server server set authentication=pap,chap default-profile=default enabled=yes \ keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled /ip accounting set account-local-traffic=no enabled=no threshold=256 /ip accounting web-access set accessible-via-web=no address=0.0.0.0/0 /ip address add address=92.46.175.54/24 broadcast=92.46.175.255 comment="" disabled=no \ interface=ether1 network=92.46.175.0 add address=10.10.10.21/24 broadcast=10.10.10.255 comment="" disabled=no \ interface=ether1 network=10.10.10.0 /ip dns set allow-remote-requests=no cache-max-ttl=1w cache-size=2048KiB \ max-udp-packet-size=512 primary-dns=0.0.0.0 secondary-dns=0.0.0.0 /ip firewall connection tracking set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \ tcp-close-wait-timeout=10s tcp-established-timeout=1d \ tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \ tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \ tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s /ip firewall filter add action=accept chain=forward comment="" disabled=no src-address=\ 92.46.175.55 add action=accept chain=forward comment="" disabled=no dst-address=\ 92.46.175.55 /ip firewall nat add action=masquerade chain=srcnat comment="" disabled=no out-interface=\ ether1 src-address=10.10.10.20 /ip firewall service-port set ftp disabled=no ports=21 set tftp disabled=no ports=69 set irc disabled=no ports=6667 set h323 disabled=no set sip disabled=no ports=5060,5061 set pptp disabled=no /ip neighbor discovery set ether1 discover=yes /ip proxy set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 \ cache-on-disk=no enabled=no max-cache-size=unlimited \ max-client-connections=600 max-fresh-time=3d max-server-connections=600 \ parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 serialize-connections=\ no src-address=0.0.0.0 /ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=92.46.175.1 scope=30 \ target-scope=10 /ip service set telnet address=0.0.0.0/0 disabled=no port=23 set ftp address=0.0.0.0/0 disabled=no port=21 set www address=0.0.0.0/0 disabled=no port=80 set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443 set api address=0.0.0.0/0 disabled=yes port=8728 set winbox address=0.0.0.0/0 disabled=no port=8291 /ip socks set connection-idle-timeout=2m enabled=no max-connections=200 port=1080 /ip traffic-flow set active-flow-timeout=30m cache-entries=4k enabled=no \ inactive-flow-timeout=15s interfaces=all /ip upnp set allow-disable-external-interface=yes enabled=no show-dummy-rule=yes /ppp aaa set accounting=yes interim-update=0s use-radius=no /ppp secret add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \ local-address=10.10.10.21 name=lzix password=xxxxxxxxx profile=default \ remote-address=10.10.10.20 routes="" service=any /queue interface set ether1 queue=ethernet-default /radius incoming set accept=no port=3799 /routing mme set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m \ gateway-selection=no-gateway origination-interval=5s preferred-gateway=\ 0.0.0.0 timeout=1m ttl=50 /routing ospf set distribute-default=never metric-bgp=20 metric-connected=20 \ metric-default=1 metric-rip=20 metric-static=20 mpls-te-area=unspecified \ mpls-te-router-id=unspecified redistribute-bgp=no redistribute-connected=\ no redistribute-rip=no redistribute-static=no router-id=0.0.0.0 /routing rip set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 \ metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no \ redistribute-connected=no redistribute-ospf=no redistribute-static=no \ timeout-timer=3m update-timer=30s /store add comment="" disabled=no disk=usb1 name=web-proxy1 type=web-proxy /system clock manual set dst-delta=+00:00 dst-end="jan/01/1970 00:00:00" dst-start=\ "jan/01/1970 00:00:00" time-zone=+00:00 /system console add disabled=no port=serial1 term=vt102 set [ find vcno=1 ] disabled=no term=linux set [ find vcno=2 ] disabled=no term=linux set [ find vcno=3 ] disabled=no term=linux set [ find vcno=4 ] disabled=no term=linux set [ find vcno=5 ] disabled=no term=linux set [ find vcno=6 ] disabled=no term=linux set [ find vcno=7 ] disabled=no term=linux set [ find vcno=8 ] disabled=no term=linux /system console screen set line-count=25 /system hardware set multi-cpu=yes /system health set state-after-reboot=enabled /system identity set name=MikroTik /system logging add action=memory disabled=no prefix="" topics=info add action=memory disabled=no prefix="" topics=error add action=memory disabled=no prefix="" topics=warning add action=echo disabled=no prefix="" topics=critical /system note set note="" show-at-login=yes /system ntp client set enabled=no mode=broadcast primary-ntp=0.0.0.0 secondary-ntp=0.0.0.0 /system upgrade mirror set check-interval=1d enabled=no primary-server=0.0.0.0 secondary-server=\ 0.0.0.0 user="" /system watchdog set auto-send-supout=no automatic-supout=yes no-ping-delay=5m watch-address=\ none watchdog-timer=yes /tool bandwidth-server set allocate-udp-ports-from=2000 authenticate=yes enabled=yes max-sessions=10 /tool e-mail set from=<> server=0.0.0.0 /tool graphing set store-every=5min /tool mac-server add disabled=no interface=all /tool mac-server ping set enabled=yes /tool sniffer set file-limit=10 file-name="" filter-address1=0.0.0.0/0:0-65535 \ filter-address2=0.0.0.0/0:0-65535 filter-protocol=ip-only filter-stream=\ yes interface=all memory-limit=10 only-headers=no streaming-enabled=no \ streaming-server=0.0.0.0 /user aaa set accounting=yes default-group=read interim-update=0s use-radius=no Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ilia_2s Опубликовано 17 января, 2009 · Жалоба микротик сразу к провайдеру подключен или он на некой вирт. машине? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...