Перейти к содержимому
Калькуляторы

Впн, роутинг и белые адреса подскажите неумному

Есть сервер в инете по айпи скажем 222.111.222.2, его шлюз 222.111.222.1, у сервера есть еще несколько айпи.

Ставлю на него впн-сервер. Хочу клиенту выдать 222.111.222.3. Ставлю ему в настройках: локал-адрес 222.111.222.1, ремоте-адрес 222.111.222.3.

Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен.

 

Пожалуйста, в rfc только не посылайте.

Изменено пользователем L-ZiX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен.
Впредь неплохо бы сразу говорить, какая система.

1. Пропускает ли файрвол?

2. См. трафик на внешнем интерфейсе. tcpdump'ом, например.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Был линукс, теперь микротик - одна шняга.

Файрвол отключен. Трафик на внешнем интерфейса сервера? Он в датацентре стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Трафик на внешнем интерфейса сервера? Он в датацентре стоит.

Это мешает ему иметь интерфейс, через которые трафик уходит в интернеты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как мне на микротике это сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

допольнительные адреса вам, скорее всего выдали как alias-ip без привязки к вашему шлюзу, а значит немаршрутизируемые. Обратитесь в ДЦ

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а включение arp proxy разве не поможет в этом случае?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что сменил айпи на сервере - работает на другом. Proxy-arp помог на несколько часов, да и один и уважаемых посетителей этого форума сказал что за прокси-арп можно люлей получить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подобные вещи следует спрашивать не у уважаемых посетителей форума, а у людей, у которых Вы берете интернеты. Если Вам в интерфейс дается подсеть, proxy_arp неизбежен, AFAIK.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если я шлюзом сделаю сам сервер? Что еще нужно будет настроить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ещё как вариант транслировать белый адрес в серый, выданный впном, но не все сервисы могут заработать в таком режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не, ну это совсем не красиво :(

Изменено пользователем L-ZiX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

допольнительные адреса вам, скорее всего выдали как alias-ip без привязки к вашему шлюзу, а значит немаршрутизируемые. Обратитесь в ДЦ

Странно, а у меня все маршрутизируется )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Блин. Что же у меня не так :( Куда посмотреть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть сервер в инете по айпи скажем 222.111.222.2, его шлюз 222.111.222.1, у сервера есть еще несколько айпи.

Ставлю на него впн-сервер. Хочу клиенту выдать 222.111.222.3. Ставлю ему в настройках: локал-адрес 222.111.222.1, ремоте-адрес 222.111.222.3.

Подключение есть, пинг шлюза 1 идет. Но нет инета. Куда смотреть? Форвардинг разрешен.

 

Пожалуйста, в rfc только не посылайте.

адрес 222.111.222.2 - сервер (к нему собственно и цепляется клиент своим ВПН-ом) ... верно?

с какой радости при настройке сервера ВПН вы указываете local 222.111.222.1 ? это ж для вашего сервера шлюз (?) т.е. этот адрес живёт не у вас на сервере! (?)

 

local 222.111.222.2

remoute 222.111.222.3

 

имхо так надо ... в аналогичной ситуации всё пашет как из пушки ....

прокси-арп вообще не понял к чему это тут ....

 

P.S.догадываюсь что Вам в ДЦ выдали двуххостовую подсеть для линка на сервак и некую подсеть адресов для поюзания и организовали маршрут на эту подсеть через ваш линковый адрес?

или выдали просто подсеть для поюзания и всё?

Изменено пользователем Grey

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дали подсеть, вернее 16 айпишек, сказали - все ваши. Ставил разные на сервер - все работают.

 

Делал чтоб локал был сам сервер - не помогает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прокси-арп вообще не понял к чему это тут ....

Провайдерский шлюз ожидает, что все адреса будут видны непосредственно на интерфейсе. Поэтому, если они за клиентским шлюзом, proxy_arp должен отвечать на АРП-запросы вместо них.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прокси-арп вообще не понял к чему это тут ....
Провайдерский шлюз ожидает, что все адреса будут видны непосредственно на интерфейсе. Поэтому, если они за клиентским шлюзом, proxy_arp должен отвечать на АРП-запросы вместо них.

Провайдерский шлюз ожидает что все адреса будут на интерфейсе, если их там нет то интерфейс маршрутизирует запрос туда где они есть, т.е намикротик!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

интерфейс телепат?

proxy_arp все таки включите, и все...

 

 proxyarp
              Add an entry to this system's ARP [Address Resolution Protocol] table with the IP address of the peer and the Ethernet address
              of this system.  This will have the effect of making the peer appear to other systems to be on the local ethernet.

 

Изменено пользователем martin74

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё равно не работает. На серых натится отлично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

интерфейс телепат?

 

 

 proxyarp
              Add an entry to this system's ARP [Address Resolution Protocol] table with the IP address of the peer and the Ethernet address
              of this system.  This will have the effect of making the peer appear to other systems to be on the local ethernet.

route add и ip_forward=1 отменили?

 

 

провайдер (маршрут на сервер) - > сервер (1 адрес из подсети) + маршрут на хост -> хост (допустим ВМ на сервере) микротик (шлюзом хост) + PPTP -> PPTP клиент

 

L-ZiX, схему сети с адресами и экспорт конфига микротика в студию

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы уверены, что сеть отмаршрутизирована на интерфейс? Со стороны провайдера

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проверить надо. Я ж говорю, схему сети, будем разбираться

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас работает через нат, прокси-арп ставил - не решает

[lzix@MikroTik] > export
# jan/17/2009 19:48:15 by RouterOS 3.18
# software id = HVKN-FXT
#
/interface ethernet
set 0 arp=enabled auto-negotiation=yes cable-settings=default comment="" \
    disable-running-check=yes disabled=no full-duplex=yes mac-address=\
    00:0F:EA:F9:A6:D5 mtu=1500 name=ether1 speed=100Mbps
/port
set 0 baud-rate=9600 data-bits=8 flow-control=hardware name=serial1 parity=\
    none stop-bits=1
set 1 baud-rate=9600 data-bits=8 flow-control=hardware name=serial2 parity=\
    none stop-bits=1
/ppp profile
set default change-tcp-mss=yes comment="" name=default only-one=default \
    use-compression=default use-encryption=no use-vj-compression=no
set default-encryption change-tcp-mss=yes comment="" name=default-encryption \
    only-one=default use-compression=default use-encryption=yes \
    use-vj-compression=default
/queue type
set default kind=pfifo name=default pfifo-limit=50
set ethernet-default kind=pfifo name=ethernet-default pfifo-limit=50
set wireless-default kind=sfq name=wireless-default sfq-allot=1514 \
    sfq-perturb=5
set synchronous-default kind=red name=synchronous-default red-avg-packet=1000 \
    red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10
set hotspot-default kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=\
    5
set default-small kind=pfifo name=default-small pfifo-limit=10
/routing bgp instance
set default as=65530 client-to-client-reflection=yes comment="" disabled=no \
    ignore-as-path-len=no name=default out-filter="" redistribute-connected=\
    no redistribute-ospf=no redistribute-other-bgp=no redistribute-rip=no \
    redistribute-static=no router-id=0.0.0.0
/routing ospf area
add area-id=0.0.0.0 authentication=none disabled=no name=backbone type=\
    default
/snmp
set contact="" enabled=no engine-boots=0 engine-id="" location="" \
    time-window=15 trap-sink=0.0.0.0 trap-version=1
/snmp community
set public address=0.0.0.0/0 authentication-password="" \
    authentication-protocol=MD5 encryption-password="" encryption-protocol=\
    DES name=public read-access=yes security=none write-access=no
/system logging action
set memory memory-lines=100 memory-stop-on-full=no name=memory target=memory
set disk disk-lines=100 disk-stop-on-full=no name=disk target=disk
set echo name=echo remember=yes target=echo
set remote name=remote remote=0.0.0.0:514 target=remote
/user group
add name=read policy="local,telnet,ssh,reboot,read,test,winbox,password,web,sn\
    iff,!ftp,!write,!policy"
add name=write policy="local,telnet,ssh,reboot,read,write,test,winbox,password\
    ,web,sniff,!ftp,!policy"
add name=full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbo\
    x,password,web,sniff"
/user
add address=0.0.0.0/0 comment="system default user" disabled=no group=full \
    name=lzix
/interface bridge settings
set use-ip-firewall=no use-ip-firewall-for-vlan=no
/interface ethernet mirror
set
/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=\
    no max-mru=1460 max-mtu=1460 mrru=disabled
/interface ovpn-server server
set auth="" certificate=none cipher="" default-profile=default enabled=no \
    keepalive-timeout=60 mac-address=FE:11:5B:E6:CF:78 max-mtu=1500 mode=ip \
    netmask=24 port=1194 require-client-certificate=no
/interface pptp-server server
set authentication=pap,chap default-profile=default enabled=yes \
    keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled
/ip accounting
set account-local-traffic=no enabled=no threshold=256
/ip accounting web-access
set accessible-via-web=no address=0.0.0.0/0
/ip address
add address=92.46.175.54/24 broadcast=92.46.175.255 comment="" disabled=no \
    interface=ether1 network=92.46.175.0
add address=10.10.10.21/24 broadcast=10.10.10.255 comment="" disabled=no \
    interface=ether1 network=10.10.10.0
/ip dns
set allow-remote-requests=no cache-max-ttl=1w cache-size=2048KiB \
    max-udp-packet-size=512 primary-dns=0.0.0.0 secondary-dns=0.0.0.0
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
    tcp-close-wait-timeout=10s tcp-established-timeout=1d \
    tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
    tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
    tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=forward comment="" disabled=no src-address=\
    92.46.175.55
add action=accept chain=forward comment="" disabled=no dst-address=\
    92.46.175.55
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=\
    ether1 src-address=10.10.10.20
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no
/ip neighbor discovery
set ether1 discover=yes
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 \
    cache-on-disk=no enabled=no max-cache-size=unlimited \
    max-client-connections=600 max-fresh-time=3d max-server-connections=600 \
    parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 serialize-connections=\
    no src-address=0.0.0.0
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=92.46.175.1 scope=30 \
    target-scope=10
/ip service
set telnet address=0.0.0.0/0 disabled=no port=23
set ftp address=0.0.0.0/0 disabled=no port=21
set www address=0.0.0.0/0 disabled=no port=80
set www-ssl address=0.0.0.0/0 certificate=none disabled=yes port=443
set api address=0.0.0.0/0 disabled=yes port=8728
set winbox address=0.0.0.0/0 disabled=no port=8291
/ip socks
set connection-idle-timeout=2m enabled=no max-connections=200 port=1080
/ip traffic-flow
set active-flow-timeout=30m cache-entries=4k enabled=no \
    inactive-flow-timeout=15s interfaces=all
/ip upnp
set allow-disable-external-interface=yes enabled=no show-dummy-rule=yes
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
/ppp secret
add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 \
    local-address=10.10.10.21 name=lzix password=xxxxxxxxx profile=default \
    remote-address=10.10.10.20 routes="" service=any
/queue interface
set ether1 queue=ethernet-default
/radius incoming
set accept=no port=3799
/routing mme
set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m \
    gateway-selection=no-gateway origination-interval=5s preferred-gateway=\
    0.0.0.0 timeout=1m ttl=50
/routing ospf
set distribute-default=never metric-bgp=20 metric-connected=20 \
    metric-default=1 metric-rip=20 metric-static=20 mpls-te-area=unspecified \
    mpls-te-router-id=unspecified redistribute-bgp=no redistribute-connected=\
    no redistribute-rip=no redistribute-static=no router-id=0.0.0.0
/routing rip
set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 \
    metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no \
    redistribute-connected=no redistribute-ospf=no redistribute-static=no \
    timeout-timer=3m update-timer=30s
/store
add comment="" disabled=no disk=usb1 name=web-proxy1 type=web-proxy
/system clock manual
set dst-delta=+00:00 dst-end="jan/01/1970 00:00:00" dst-start=\
    "jan/01/1970 00:00:00" time-zone=+00:00
/system console
add disabled=no port=serial1 term=vt102
set [ find vcno=1 ] disabled=no term=linux
set [ find vcno=2 ] disabled=no term=linux
set [ find vcno=3 ] disabled=no term=linux
set [ find vcno=4 ] disabled=no term=linux
set [ find vcno=5 ] disabled=no term=linux
set [ find vcno=6 ] disabled=no term=linux
set [ find vcno=7 ] disabled=no term=linux
set [ find vcno=8 ] disabled=no term=linux
/system console screen
set line-count=25
/system hardware
set multi-cpu=yes
/system health
set state-after-reboot=enabled
/system identity
set name=MikroTik
/system logging
add action=memory disabled=no prefix="" topics=info
add action=memory disabled=no prefix="" topics=error
add action=memory disabled=no prefix="" topics=warning
add action=echo disabled=no prefix="" topics=critical
/system note
set note="" show-at-login=yes
/system ntp client
set enabled=no mode=broadcast primary-ntp=0.0.0.0 secondary-ntp=0.0.0.0
/system upgrade mirror
set check-interval=1d enabled=no primary-server=0.0.0.0 secondary-server=\
    0.0.0.0 user=""
/system watchdog
set auto-send-supout=no automatic-supout=yes no-ping-delay=5m watch-address=\
    none watchdog-timer=yes
/tool bandwidth-server
set allocate-udp-ports-from=2000 authenticate=yes enabled=yes max-sessions=10
/tool e-mail
set from=<> server=0.0.0.0
/tool graphing
set store-every=5min
/tool mac-server
add disabled=no interface=all
/tool mac-server ping
set enabled=yes
/tool sniffer
set file-limit=10 file-name="" filter-address1=0.0.0.0/0:0-65535 \
    filter-address2=0.0.0.0/0:0-65535 filter-protocol=ip-only filter-stream=\
    yes interface=all memory-limit=10 only-headers=no streaming-enabled=no \
    streaming-server=0.0.0.0
/user aaa
set accounting=yes default-group=read interim-update=0s use-radius=no

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

микротик сразу к провайдеру подключен или он на некой вирт. машине?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.