[Saab95]

Наверно не правильно удаленный доступ настроили=)

 

Нужно создать новую подсеть и ввести ее в профиле, например 10.0.0.1, клиенту в Remote Address указать 10.0.0.2, нат для этих адресов не делать, тогда все заработает.

[NewUse]

По описанию, у Вас возникает логическая петля, каким образом -- х.з.

Крутите настройки....

[flashbios]

Наверно не правильно удаленный доступ настроили=)

 

Нужно создать новую подсеть и ввести ее в профиле, например 10.0.0.1, клиенту в Remote Address указать 10.0.0.2, нат для этих адресов не делать, тогда все заработает.

новую сеть конечно создал, она отличается от той, что на лакальном интерфейсе микротика, но вот без ната, то и не работает,а с натом по ходу такие вот косяки.

Плиз если не трудно, куда копать ?

[NewUse]

она отличается от той

А должна быть в той же что и ЛАН, только диапазоны ЛАН(дхцп) и ВПН-серверов не должны пересекаться, либо должна быть маршрутизация настроена.

 

http://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Server_configuration

[Saab95]

Допустим есть сеть для клиентов 10.0.0.0/24 и для удаленщиков 10.0.1.0/24. Настраиваете маскардинг так, что src.address=10.0.0.0/16, dst.address ! 10.0.0.0/16, тогда общение между локальными адресами будет без ната, а если нужно в интернет, то роутер сделает нат. А сейчас у вас скорее всего нат вообще на выходной интерфейс указан, либо вообще не указан.

[flashbios]

все правильно вы говорите, дело в том, что у меня так и было настроено в начале. Для vpn и для лакальных адресов микротика одо сетевое прастранство и один нат для всех. Что я имел это самое лучшее 7 мигабит, при этом загрузка проца 100% и пинги рвались, хотя сам пинг был нормальный он не рос. Потом и начал эксперементы с двумя ситями и двумя натами,понятно ,что это через Ж.. , но нужно было пробывать.Я не думаю,что для такой железяке придел мечтания 7 мигабит при одной сессии и без локальной нагрузки микротика из локалки.

[NewUse]

Для vpn и для лакальных адресов микротика одо сетевое прастранство и один нат для всех. Что я имел это самое лучшее 7 мигабит, при этом загрузка проца 100% и пинги рвались, хотя сам пинг был нормальный он не рос.

А у Вас случайно внешка не тоель-в-тоннеле получился? Вполне возможно что физически не хватает производительности.

Увеличение числа НАТов только усугубит ситуацию.

А количество сессий должно задаваться на пользователя или создайте несколько пользователей.

[flashbios]

А у Вас случайно внешка не тоель-в-тоннеле получился?

это как ? Через инет по VPN на внешний порт МТ далее на клиентские машины к примеру ( порт Ether2)к ним и цепляюсь. Больше 7 мигабит прокачки не получил и то это было что-то с чем-то, а так в среднем 3-5м.В это время локальных пользователей нет, так что получается работаю один я. Когда была скорость ~7 мигабит, проц загрузился 90-100% , и рвались пинги с той клиенской машиной, с которой что-то качаешь или закачиваешь (роли не играет), при этом сам МТ на внешний адрес пингуется на ура. Сегодня было немного времени прокачать МТ с локальных портов + по PPPoE, все работает отлично нареканий и проблем вроде как не выявлено. Получается только проблема одна.Когда я цепляюсь к МТ по vpn он мне должен выдать маршрут? ipconfig глаголит что у меня нет маршрута :-) 0.0.0.0

[flashbios]

>>либо должна быть маршрутизация настроена

по ходу тут косяк.

 

вот скинул,что получается когда заходишь по vpn, тут и собака по ходу.

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 81.29.112.1 1

1 ADC 81.29.112.0/26 81.29.112.xx ISP 0

2 ADC 192.168.0.0/24 192.168.0.1 lan 0

3 ADC 192.168.0.243/32 192.168.0.1 <l2tp-flashbios> 0

[Saab95]

А у вас случайно шифрование не включено на VPN? Вот тут есть как настраивать профиль - http://www.lanmart.ru/blogs/how-to-become-isp/

[NewUse]

Через инет по VPN на внешний порт МТ далее на клиентские машины к примеру ( порт Ether2)к ним и цепляюсь.

Каким образом МТ подключен к инету?

 

А у вас случайно шифрование не включено на VPN?

А кто-то что-то про аппаратное шифрование писал и на Циску гнал...

 

 

3 ADC 192.168.0.243/32 192.168.0.1 <l2tp-flashbios> 0

Да, косяк: шлюз находится вне сети, маска должна быть та-же 192.168.0.1/24

Но разрешённые адреса 192.168.0.1/30, например.

 

Я же давал ссыль на пример из вики, повторите его.

Изменено 9 апреля, 2013 пользователем NewUse

[Saab95]

>>либо должна быть маршрутизация настроена

по ходу тут косяк.

 

вот скинул,что получается когда заходишь по vpn, тут и собака по ходу.

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S 0.0.0.0/0 81.29.112.1 1

1 ADC 81.29.112.0/26 81.29.112.xx ISP 0

2 ADC 192.168.0.0/24 192.168.0.1 lan 0

3 ADC 192.168.0.243/32 192.168.0.1 <l2tp-flashbios> 0

 

Вы что хотите сделать вообще? В том случае что у вас работать не будет.

 

Если хотите находится в той же подсети, то в профиле указываете local address = 192.168.0.2 естественно он должен быть свободный, на интерфейсе lan включаете Proxy ARP, тогда все заработает, при этом сможете попадать на все устройства сети, даже на те, где шлюз не указан.

 

Но правильнее в профиле указать local address = 192.168.1.1, клиенту в секрете remote address = 192.168.1.2 и нормально заработает маршрутизация.

[NewUse]

Но правильнее в профиле указать local address = 192.168.1.1, клиенту в секрете remote address = 192.168.1.2 и нормально заработает маршрутизация.

Это чем же правильнее? Сказал "А", говори и "Б".

ИМХО, варианты равноправные.

АРП-прокси по идеи не нужен: должен создаться новый интерфейс "ппп0", с выходом из тоннеля на "192.168.0.1" (адрес моста "ппп0+lan")

соответственно, удалённый адрес задаётся в настройках клиента, и не должен пересекаться с локальными.

Всё.

Инструкция в вики.

[flashbios]

>>Каким образом МТ подключен к инету?

Обычным по изернету с белым ip, без шифрования без туннелей ;-)

>>А у вас случайно шифрование не включено на VPN?

пробовал и включать заметной роли не сыграло.

>>Но правильнее в профиле указать local address = 192.168.1.1, клиенту в секрете remote address = 192.168.1.2

получается разные подсети на Vpn и на локальном порту МТ ,моя ошибка была в создании двух натов. Для каждой подсети.

nat src adress dst adress буду так пробовать.

>>на интерфейсе lan включаете Proxy ARP - а это зачем? если можно по подробней.

>>соответственно, удалённый адрес задаётся в настройках клиента, и не должен пересекаться с локальными. Так точно.

Ясно одно,что проблема в маршрутизации буду разбераться.

[Saab95]

Вот как с арп:

 

/interface bridge

add arp=proxy-arp l2mtu=1524 name=bridge1

/interface bridge port

add bridge=bridge1 interface=ether2

add bridge=bridge1 interface=ether3

add bridge=bridge1 interface=ether4

add bridge=bridge1 interface=ether5

/interface pptp-server server

set enabled=yes

/ip address

add address=192.168.0.1/24 interface=bridge1

/ppp secret

add local-address=192.168.0.11 name=test password=test remote-address=192.168.0.12

 

Если нужен роутинг то proxy-arp отключаете, а в secret указываете адреса из другой подсети, например 192.168.1.х

[flashbios]

>>Настраиваете маскардинг так, что src.address=10.0.0.0/16, dst.address ! 10.0.0.0/16

сегодня буду пробовать именно так, по ходу это и есть верное решение, я когда первый раз делал, накасячил с маской, вот и не работало.И затем в правилах ната пробовал только менять OUT Interface то ISP то !lan.

[Aks_Alexey]

около сотни правил шейпера кладут проц 2011L-RM 750МГц при 40-50 мбитах

[Saab95]

около сотни правил шейпера кладут проц 2011L-RM 750МГц при 40-50 мбитах

 

Ну так тут надо уже PCQ использовать, тогда скорости можно снова увеличить.

[Aks_Alexey]

хорошо помогает? я просто уже купил недорогое железо микро атх на 1155 сокете 2 яда по 2.6 ггц, вроде как должно получше тянуть)

[flashbios]

Сделал по самому простому по рекомендации NewUse по wiki

/ppp secret print detail

Flags: X - disabled

0 name="xxx" service=l2tp caller-id="" password="xxx" profile=default

local-address=192.168.0.1 remote-address=192.168.0.2 routes=""

limit-bytes-in=0 limit-bytes-out=0

на профиле убрал MPLS, компрессию, Encryption все по минимуму.

 

В нате

Flags: X - disabled, I - invalid, D - dynamic

0 chain=srcnat action=masquerade src-address=192.168.0.0/16

dst-address=!192.168.0.0/16

чтоб без ната

включил arp-proxy

на порту lan MT

без проблем добрался до рабочих станций и начал качать файл размер 50 мегабайт со с скоростью 30 килобит ;-)))) мля пинги такие не видел 10 лет работы с компами, от 2000 до 4000 , при этом сам внешний адрес МТ пингуется как всегда отлично 5-10 мс, по ходу еще хуже чем через двойной нат :-). Какая загрузка была на процессоре не смотрел, но думаю что все 100%. Еще все правила в файрволе выключил, оставил только ассеpt, да пару дропов на инвалидные пакеты.

[Saab95]

Ну у вас прямо мистика какая-то=) Достаточно один раз настроить по человечески.

[flashbios]

Ну у вас прямо мистика какая-то=) Достаточно один раз настроить по человечески.

да если честно уже был рад когда до 7м доходило:-))

уже и не знаю на что грешить,по большому счету и впн ненужен,но сама железяка должна больше выгребать,значит косяк то мой.

[NewUse]

МТУ на внешнем компе 1372 пробовали?

[flashbios]

МТУ на внешнем компе 1372 пробовали?

нет

[NewUse]

попробуйте....

 

А МАК-адреса часом не конфликтуют?