Jump to content
Калькуляторы

VPN между двумя шлюзами. Соединить локалки.

Есть машина 172.16.1.33/12, с которой нужно управлять другими в другой сети. На ней поднят pptp сервер localip 172.16.1.33 remoteip 172.16.222.1-10

 

Есть удаленный шлюз, за которым расположена та самая сеть 172.16.0.0/12 которой нужно управлять.

 

На шлюзе (mikrotik) настроен клиент с сервером (172.16.1.33) Соединение установлено. Адрес 172.16.222.1 получен.

 

С pptp сервера пингуется шлюз 172.16.222.1 и наоборот.

 

Нужно заиметь доступ к машинам (172.16.0.0/12) за шлюзом (nat) 172.16.222.1.

 

Если необходимо иметь разные подсети, могу увести одну в другую подсеть.

Share this post


Link to post
Share on other sites

На сервере:

ip route add 172.16.0.0/12 via 172.16.222.1

 

Назначать действие на поднятие интерфейса с клиентом в poptop вроде бы нельзя,

поэтому если хотите, чтобы этот маршрут возникал автоматически,

можете сделать примерно такой файлик /etc/cron.d/vpnroute:

 

* * * * * root /sbin/ip route get 172.16.222.1 | grep -q tun && { /sbin/ip route get 172.16.0.1 | grep -q 172.16.222.1 || { logger "Route added: 172.16.0.0/12"; /sbin/ip route add 172.16.0.0/12 via 172.16.222.1; } }

 

И перезапустите cron.

Share this post


Link to post
Share on other sites

Маршрут прописывал. Доступа нет. Ведь у меня в локалке сервака те де адреса и на нем поднять интерфейс с адресом в такой же сети.

Попробую поднять pptp и соедишить между собой по EoIP tunnel обе сетки. Сейчас попробую.

Edited by lousx

Share this post


Link to post
Share on other sites

Маршрут прописывал. Доступа нет.

Тогда надо создать на Микротике в файрволле правила счетчики для src/dst 172.16.1.33 на lan- и pptp-интерфейсах, запускать пинг с сервера на 172.16.0.1 и смотреть на количество запросов-ответов. Искать затык там, где счетчики перестают расти.

Share this post


Link to post
Share on other sites

Маршрут прописывал. Доступа нет.

Тогда надо создать на Микротике в файрволле правила счетчики для src/dst 172.16.1.33 на lan- и pptp-интерфейсах, запускать пинг с сервера на 172.16.0.1 и смотреть на количество запросов-ответов. Искать затык там, где счетчики перестают расти.

Между 1.33 и 222.1 пинг есть. Трафик считается.

 

Не может быть проблемы в том, что 172.16.222.1 - шлюз и клиент поднимается на нем?

Share this post


Link to post
Share on other sites

Между 1.33 и 222.1 пинг есть.

Ещё раз:

запускать пинг с сервера на 172.16.0.1

Share this post


Link to post
Share on other sites

Между 1.33 и 222.1 пинг есть.

Ещё раз:

запускать пинг с сервера на 172.16.0.1

 

Откуда взялся 172.16.0.1?

 

Просто надо включить OSPF и все заработает как надо.

 

С OSPF еще разобраться надо.

Share this post


Link to post
Share on other sites

Откуда взялся 172.16.0.1?

Сами же написали:

Есть удаленный шлюз, за которым расположена та самая сеть 172.16.0.0/12

Share this post


Link to post
Share on other sites

Откуда взялся 172.16.0.1?

Сами же написали:

Есть удаленный шлюз, за которым расположена та самая сеть 172.16.0.0/12

Адреса этого там нет. Локальный, для меня, 172.16.1.33/12 он же сервер pptp. Удаленный шлюз (клиент pptp) получил адрес 172.16.222.1/32 а его локальный интерфейс и устройства в удаленной локальной сети тоже 172.16.0.0/12

Share this post


Link to post
Share on other sites

И так в итоге. Имею доступ к локальному интерфейсу удаленного шлюза, но не имею к устройствам, которые в сети с этим интерфейсом

 

маршрут прописан

Share this post


Link to post
Share on other sites

И так в итоге. Имею доступ к локальному интерфейсу удаленного шлюза, но не имею к устройствам, которые в сети с этим интерфейсом

 

маршрут прописан

Логично. У Вас в обоих сетках одна адресация - 172.16.0.0/12. Либо объединять по L2 сетки(EoIP) , либо всё же нарезать нормально на подсети и объединить через L3 VPN.

Share this post


Link to post
Share on other sites

Разделил сети. Трассировка проходил до узла в другой сети а пинг нет. Как так? Удаленный не знает куда пакеты слать?

Edited by lousx

Share this post


Link to post
Share on other sites

Трассировка проходил до узла в другой сети а пинг нет.

ping использует icmp.

traceroute в юниксах по умолчанию использует udp.

проверяйте файрволл.

Удаленный не знает куда пакеты слать?

тогда бы трейс тоже не отвечал.

Share this post


Link to post
Share on other sites

Разделил сети. Трассировка проходил до узла в другой сети а пинг нет. Как так? Удаленный не знает куда пакеты слать?

А как разделили?

Маловато информации.

Share this post


Link to post
Share on other sites

тогда бы трейс тоже не отвечал.

По web то же не заходит.

 

А как разделили?

Маловато информации.

Все так же, только удаленную сеть увел в 1.2.3.0/24

Share this post


Link to post
Share on other sites

проверяйте файрволл.

Всё спасибо!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this