Перейти к содержимому
Калькуляторы

VPN между двумя шлюзами. Соединить локалки.

Есть машина 172.16.1.33/12, с которой нужно управлять другими в другой сети. На ней поднят pptp сервер localip 172.16.1.33 remoteip 172.16.222.1-10

 

Есть удаленный шлюз, за которым расположена та самая сеть 172.16.0.0/12 которой нужно управлять.

 

На шлюзе (mikrotik) настроен клиент с сервером (172.16.1.33) Соединение установлено. Адрес 172.16.222.1 получен.

 

С pptp сервера пингуется шлюз 172.16.222.1 и наоборот.

 

Нужно заиметь доступ к машинам (172.16.0.0/12) за шлюзом (nat) 172.16.222.1.

 

Если необходимо иметь разные подсети, могу увести одну в другую подсеть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На сервере:

ip route add 172.16.0.0/12 via 172.16.222.1

 

Назначать действие на поднятие интерфейса с клиентом в poptop вроде бы нельзя,

поэтому если хотите, чтобы этот маршрут возникал автоматически,

можете сделать примерно такой файлик /etc/cron.d/vpnroute:

 

* * * * * root /sbin/ip route get 172.16.222.1 | grep -q tun && { /sbin/ip route get 172.16.0.1 | grep -q 172.16.222.1 || { logger "Route added: 172.16.0.0/12"; /sbin/ip route add 172.16.0.0/12 via 172.16.222.1; } }

 

И перезапустите cron.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Маршрут прописывал. Доступа нет. Ведь у меня в локалке сервака те де адреса и на нем поднять интерфейс с адресом в такой же сети.

Попробую поднять pptp и соедишить между собой по EoIP tunnel обе сетки. Сейчас попробую.

Изменено пользователем lousx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Маршрут прописывал. Доступа нет.

Тогда надо создать на Микротике в файрволле правила счетчики для src/dst 172.16.1.33 на lan- и pptp-интерфейсах, запускать пинг с сервера на 172.16.0.1 и смотреть на количество запросов-ответов. Искать затык там, где счетчики перестают расти.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Маршрут прописывал. Доступа нет.

Тогда надо создать на Микротике в файрволле правила счетчики для src/dst 172.16.1.33 на lan- и pptp-интерфейсах, запускать пинг с сервера на 172.16.0.1 и смотреть на количество запросов-ответов. Искать затык там, где счетчики перестают расти.

Между 1.33 и 222.1 пинг есть. Трафик считается.

 

Не может быть проблемы в том, что 172.16.222.1 - шлюз и клиент поднимается на нем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Между 1.33 и 222.1 пинг есть.

Ещё раз:

запускать пинг с сервера на 172.16.0.1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто надо включить OSPF и все заработает как надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Между 1.33 и 222.1 пинг есть.

Ещё раз:

запускать пинг с сервера на 172.16.0.1

 

Откуда взялся 172.16.0.1?

 

Просто надо включить OSPF и все заработает как надо.

 

С OSPF еще разобраться надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Откуда взялся 172.16.0.1?

Сами же написали:

Есть удаленный шлюз, за которым расположена та самая сеть 172.16.0.0/12

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Откуда взялся 172.16.0.1?

Сами же написали:

Есть удаленный шлюз, за которым расположена та самая сеть 172.16.0.0/12

Адреса этого там нет. Локальный, для меня, 172.16.1.33/12 он же сервер pptp. Удаленный шлюз (клиент pptp) получил адрес 172.16.222.1/32 а его локальный интерфейс и устройства в удаленной локальной сети тоже 172.16.0.0/12

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И так в итоге. Имею доступ к локальному интерфейсу удаленного шлюза, но не имею к устройствам, которые в сети с этим интерфейсом

 

маршрут прописан

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И так в итоге. Имею доступ к локальному интерфейсу удаленного шлюза, но не имею к устройствам, которые в сети с этим интерфейсом

 

маршрут прописан

Логично. У Вас в обоих сетках одна адресация - 172.16.0.0/12. Либо объединять по L2 сетки(EoIP) , либо всё же нарезать нормально на подсети и объединить через L3 VPN.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разделил сети. Трассировка проходил до узла в другой сети а пинг нет. Как так? Удаленный не знает куда пакеты слать?

Изменено пользователем lousx

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Трассировка проходил до узла в другой сети а пинг нет.

ping использует icmp.

traceroute в юниксах по умолчанию использует udp.

проверяйте файрволл.

Удаленный не знает куда пакеты слать?

тогда бы трейс тоже не отвечал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разделил сети. Трассировка проходил до узла в другой сети а пинг нет. Как так? Удаленный не знает куда пакеты слать?

А как разделили?

Маловато информации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

тогда бы трейс тоже не отвечал.

По web то же не заходит.

 

А как разделили?

Маловато информации.

Все так же, только удаленную сеть увел в 1.2.3.0/24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.