Saab95 Опубликовано 8 апреля, 2013 · Жалоба Наверно не правильно удаленный доступ настроили=) Нужно создать новую подсеть и ввести ее в профиле, например 10.0.0.1, клиенту в Remote Address указать 10.0.0.2, нат для этих адресов не делать, тогда все заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 8 апреля, 2013 · Жалоба По описанию, у Вас возникает логическая петля, каким образом -- х.з. Крутите настройки.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flashbios Опубликовано 8 апреля, 2013 · Жалоба Наверно не правильно удаленный доступ настроили=) Нужно создать новую подсеть и ввести ее в профиле, например 10.0.0.1, клиенту в Remote Address указать 10.0.0.2, нат для этих адресов не делать, тогда все заработает. новую сеть конечно создал, она отличается от той, что на лакальном интерфейсе микротика, но вот без ната, то и не работает,а с натом по ходу такие вот косяки. Плиз если не трудно, куда копать ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 8 апреля, 2013 · Жалоба она отличается от той А должна быть в той же что и ЛАН, только диапазоны ЛАН(дхцп) и ВПН-серверов не должны пересекаться, либо должна быть маршрутизация настроена. http://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Server_configuration Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 апреля, 2013 · Жалоба Допустим есть сеть для клиентов 10.0.0.0/24 и для удаленщиков 10.0.1.0/24. Настраиваете маскардинг так, что src.address=10.0.0.0/16, dst.address ! 10.0.0.0/16, тогда общение между локальными адресами будет без ната, а если нужно в интернет, то роутер сделает нат. А сейчас у вас скорее всего нат вообще на выходной интерфейс указан, либо вообще не указан. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flashbios Опубликовано 9 апреля, 2013 · Жалоба все правильно вы говорите, дело в том, что у меня так и было настроено в начале. Для vpn и для лакальных адресов микротика одо сетевое прастранство и один нат для всех. Что я имел это самое лучшее 7 мигабит, при этом загрузка проца 100% и пинги рвались, хотя сам пинг был нормальный он не рос. Потом и начал эксперементы с двумя ситями и двумя натами,понятно ,что это через Ж.. , но нужно было пробывать.Я не думаю,что для такой железяке придел мечтания 7 мигабит при одной сессии и без локальной нагрузки микротика из локалки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 9 апреля, 2013 · Жалоба Для vpn и для лакальных адресов микротика одо сетевое прастранство и один нат для всех. Что я имел это самое лучшее 7 мигабит, при этом загрузка проца 100% и пинги рвались, хотя сам пинг был нормальный он не рос. А у Вас случайно внешка не тоель-в-тоннеле получился? Вполне возможно что физически не хватает производительности. Увеличение числа НАТов только усугубит ситуацию. А количество сессий должно задаваться на пользователя или создайте несколько пользователей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flashbios Опубликовано 9 апреля, 2013 · Жалоба А у Вас случайно внешка не тоель-в-тоннеле получился? это как ? Через инет по VPN на внешний порт МТ далее на клиентские машины к примеру ( порт Ether2)к ним и цепляюсь. Больше 7 мигабит прокачки не получил и то это было что-то с чем-то, а так в среднем 3-5м.В это время локальных пользователей нет, так что получается работаю один я. Когда была скорость ~7 мигабит, проц загрузился 90-100% , и рвались пинги с той клиенской машиной, с которой что-то качаешь или закачиваешь (роли не играет), при этом сам МТ на внешний адрес пингуется на ура. Сегодня было немного времени прокачать МТ с локальных портов + по PPPoE, все работает отлично нареканий и проблем вроде как не выявлено. Получается только проблема одна.Когда я цепляюсь к МТ по vpn он мне должен выдать маршрут? ipconfig глаголит что у меня нет маршрута :-) 0.0.0.0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flashbios Опубликовано 9 апреля, 2013 · Жалоба >>либо должна быть маршрутизация настроена по ходу тут косяк. вот скинул,что получается когда заходишь по vpn, тут и собака по ходу. # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 81.29.112.1 1 1 ADC 81.29.112.0/26 81.29.112.xx ISP 0 2 ADC 192.168.0.0/24 192.168.0.1 lan 0 3 ADC 192.168.0.243/32 192.168.0.1 <l2tp-flashbios> 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 апреля, 2013 · Жалоба А у вас случайно шифрование не включено на VPN? Вот тут есть как настраивать профиль - http://www.lanmart.ru/blogs/how-to-become-isp/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 9 апреля, 2013 (изменено) · Жалоба Через инет по VPN на внешний порт МТ далее на клиентские машины к примеру ( порт Ether2)к ним и цепляюсь. Каким образом МТ подключен к инету? А у вас случайно шифрование не включено на VPN? А кто-то что-то про аппаратное шифрование писал и на Циску гнал... 3 ADC 192.168.0.243/32 192.168.0.1 <l2tp-flashbios> 0 Да, косяк: шлюз находится вне сети, маска должна быть та-же 192.168.0.1/24 Но разрешённые адреса 192.168.0.1/30, например. Я же давал ссыль на пример из вики, повторите его. Изменено 9 апреля, 2013 пользователем NewUse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 апреля, 2013 · Жалоба >>либо должна быть маршрутизация настроена по ходу тут косяк. вот скинул,что получается когда заходишь по vpn, тут и собака по ходу. # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 81.29.112.1 1 1 ADC 81.29.112.0/26 81.29.112.xx ISP 0 2 ADC 192.168.0.0/24 192.168.0.1 lan 0 3 ADC 192.168.0.243/32 192.168.0.1 <l2tp-flashbios> 0 Вы что хотите сделать вообще? В том случае что у вас работать не будет. Если хотите находится в той же подсети, то в профиле указываете local address = 192.168.0.2 естественно он должен быть свободный, на интерфейсе lan включаете Proxy ARP, тогда все заработает, при этом сможете попадать на все устройства сети, даже на те, где шлюз не указан. Но правильнее в профиле указать local address = 192.168.1.1, клиенту в секрете remote address = 192.168.1.2 и нормально заработает маршрутизация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 9 апреля, 2013 · Жалоба Но правильнее в профиле указать local address = 192.168.1.1, клиенту в секрете remote address = 192.168.1.2 и нормально заработает маршрутизация. Это чем же правильнее? Сказал "А", говори и "Б". ИМХО, варианты равноправные. АРП-прокси по идеи не нужен: должен создаться новый интерфейс "ппп0", с выходом из тоннеля на "192.168.0.1" (адрес моста "ппп0+lan") соответственно, удалённый адрес задаётся в настройках клиента, и не должен пересекаться с локальными. Всё. Инструкция в вики. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flashbios Опубликовано 10 апреля, 2013 · Жалоба >>Каким образом МТ подключен к инету? Обычным по изернету с белым ip, без шифрования без туннелей ;-) >>А у вас случайно шифрование не включено на VPN? пробовал и включать заметной роли не сыграло. >>Но правильнее в профиле указать local address = 192.168.1.1, клиенту в секрете remote address = 192.168.1.2 получается разные подсети на Vpn и на локальном порту МТ ,моя ошибка была в создании двух натов. Для каждой подсети. nat src adress dst adress буду так пробовать. >>на интерфейсе lan включаете Proxy ARP - а это зачем? если можно по подробней. >>соответственно, удалённый адрес задаётся в настройках клиента, и не должен пересекаться с локальными. Так точно. Ясно одно,что проблема в маршрутизации буду разбераться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 апреля, 2013 · Жалоба Вот как с арп: /interface bridge add arp=proxy-arp l2mtu=1524 name=bridge1 /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 /interface pptp-server server set enabled=yes /ip address add address=192.168.0.1/24 interface=bridge1 /ppp secret add local-address=192.168.0.11 name=test password=test remote-address=192.168.0.12 Если нужен роутинг то proxy-arp отключаете, а в secret указываете адреса из другой подсети, например 192.168.1.х Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flashbios Опубликовано 10 апреля, 2013 · Жалоба >>Настраиваете маскардинг так, что src.address=10.0.0.0/16, dst.address ! 10.0.0.0/16 сегодня буду пробовать именно так, по ходу это и есть верное решение, я когда первый раз делал, накасячил с маской, вот и не работало.И затем в правилах ната пробовал только менять OUT Interface то ISP то !lan. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aks_Alexey Опубликовано 10 апреля, 2013 · Жалоба около сотни правил шейпера кладут проц 2011L-RM 750МГц при 40-50 мбитах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 апреля, 2013 · Жалоба около сотни правил шейпера кладут проц 2011L-RM 750МГц при 40-50 мбитах Ну так тут надо уже PCQ использовать, тогда скорости можно снова увеличить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aks_Alexey Опубликовано 10 апреля, 2013 · Жалоба хорошо помогает? я просто уже купил недорогое железо микро атх на 1155 сокете 2 яда по 2.6 ггц, вроде как должно получше тянуть) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flashbios Опубликовано 10 апреля, 2013 · Жалоба Сделал по самому простому по рекомендации NewUse по wiki /ppp secret print detail Flags: X - disabled 0 name="xxx" service=l2tp caller-id="" password="xxx" profile=default local-address=192.168.0.1 remote-address=192.168.0.2 routes="" limit-bytes-in=0 limit-bytes-out=0 на профиле убрал MPLS, компрессию, Encryption все по минимуму. В нате Flags: X - disabled, I - invalid, D - dynamic 0 chain=srcnat action=masquerade src-address=192.168.0.0/16 dst-address=!192.168.0.0/16 чтоб без ната включил arp-proxy на порту lan MT без проблем добрался до рабочих станций и начал качать файл размер 50 мегабайт со с скоростью 30 килобит ;-)))) мля пинги такие не видел 10 лет работы с компами, от 2000 до 4000 , при этом сам внешний адрес МТ пингуется как всегда отлично 5-10 мс, по ходу еще хуже чем через двойной нат :-). Какая загрузка была на процессоре не смотрел, но думаю что все 100%. Еще все правила в файрволе выключил, оставил только ассеpt, да пару дропов на инвалидные пакеты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 апреля, 2013 · Жалоба Ну у вас прямо мистика какая-то=) Достаточно один раз настроить по человечески. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flashbios Опубликовано 10 апреля, 2013 · Жалоба Ну у вас прямо мистика какая-то=) Достаточно один раз настроить по человечески. да если честно уже был рад когда до 7м доходило:-)) уже и не знаю на что грешить,по большому счету и впн ненужен,но сама железяка должна больше выгребать,значит косяк то мой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 10 апреля, 2013 · Жалоба МТУ на внешнем компе 1372 пробовали? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
flashbios Опубликовано 10 апреля, 2013 · Жалоба МТУ на внешнем компе 1372 пробовали? нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 10 апреля, 2013 · Жалоба попробуйте.... А МАК-адреса часом не конфликтуют? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...