Объединение 2х офисов по L2TP. Не понятно куда девается трафик.

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Ответить
TheToraa
Сообщения: 3
Зарегистрирован: 07 фев 2016, 11:35

Собственно сабж, есть 2 удаленных офиса, с обеих сторон Mikrotik в качестве центрального маршрутизатора. Настроен L2TP тоннель. Настроены маршруты в обеих сетках. Все работает как часы. Есть доступ ко всем ресурсам с обеих сторон. Но есть одно большое НО! В главном офисе стоит АТС Panasonic, во втором офисе стоит телефон Panasonic, и вот их подружить никак не могу. Я уже перепробовал практически всё. С EoIP работает, но его поднимать нельзя, есть свои нюансы. Сегодня "ловил" трафик, и заметил, что на интерфейсе Bridge (в главном офисе), который на внутренней сети трафик (исходящий/входящий) от АТС уходит на адрес роутера, но вот того же трафика на интерфейсе L2TP соединения исходящего трафика уже нет, как результат - в главном офисе слышно что говорят, а в удаленном - нет. Куда может уходить трафик, если в НАТ на обоих микротиках только маскарад без указания интерфейса, правила Firewall (на данный момент) не дропают ничего? Как отследить? Пишу сюда, потому что свои мысли закончились...


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Только для АТС поднять второй туннель и в нем EoIP. Ваш нынешний тоннель как работал, так и будет работать, с нюансами.


TheToraa
Сообщения: 3
Зарегистрирован: 07 фев 2016, 11:35

Проблема в том, что это только начальная схема, и EoIP я не рассматриваю, потому что в планах установка подобных точек с телефонами на удаленных точках, в том числе дома у нескольких сотрудников, и покупать каждому сотруднику помимо телефона Mikrotik - слегка накладно, тем более в некоторых точках будет в том числе ADSL и YOTA. Для таких, буду поднимать PPTP сервер, чтобы стандартное оборудование (смотри дешевое) смогло это все переварить. Хочу разобраться сейчас с проблемой, чтобы в будущем не испытывать проблем с подключением, тем более задача не сложная - грамотно настроить NAT и маршруты. Для меня сейчас главное понять - куда уходит трафик между Bridge локальной сети и L2TP туннелем? Можно ли как то средствами Mikrotik это отследить?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Предвосхищаю следующие вопросы: а как сделать так, чтобы интернет у удаленных клиентов шел по их собственному каналу, а по VPN только служебный??? а как быть, если у клиентов VPN сеть пересекается с вашей??? а почему в сетевом окружении не показываются компы "на работе"???

Установка у каждого удаленного клиента Mikrotik hAP за 2000 рублей - есть самый лучший и самый удобный вариант.

Но мини АТС должны через нат работать. Но мы с вами пока разговариваем беспредметно, переливая из пустого в порожнее...



Для нормальной работы мини АТС через нат, нужно прокинуть (port mapping) кучу портов, вот именно кучу, в документации на АТС есть их список.


TheToraa
Сообщения: 3
Зарегистрирован: 07 фев 2016, 11:35

Инет у меня ходит через канал провайдера, через туннель только "внутрисетевой" трафик. Сети пересекаться не будут, тем более такую проблему решить просто. Сетевое окружение для офисной сети висит на Windows AD, у остальных - а им нечего делать в сетевом окружении.

Моя проблема на данный момент сводится к простому, попробую объяснить свои выводы: есть Bridge, на котором висит внутренняя сеть, на нем пакеты идут по 12000 - 12500 портам от/к АТС на внутренний адрес VPN абонента, выдаваемый Miktotik`ом при подключении к L2TP серверу извне. Просматриваю Torch`ом на Interface. Но если тем же Torch`ем просматривать L2TP Interface, то там на те же 12000 - 12500 порты есть только входящие пакеты, исходящих нет, именно поэтому на удаленном телефоне нет звука, но из удаленного офиса голос слышен, т.е. то что говорят от туда. Я уже правда голову сломал, куда может уходить трафик? Маршруты стандартные прописаны: 1. 0.0.0.0/0 через Gateway провайдера, 2. "адресное пространство абонента вида 0.0.0.0/24" через интерфейс L2TP подключение абонента, 3. "внутренний адрес VPN абонента, выдаваемый Miktotik`ом при подключении к L2TP серверу извне" через интерфейс L2TP подключение абонента (создается автоматически при подключении абонента к серверу L2TP), 4. До сети провайдера через WAN интерфейс, 5. и маршрут Bridge на внутреннюю сеть. Drop правил на данный момент нет (на время экспериментов). Вроде всё.

Я понимаю, что EoIP - это выход, но для меня главное обойтись без него, даже по крайней мере с точки зрения безопасности. Например, объединять по EoIP внутреннюю сеть офиса и домашнюю сеть сотрудника, у которого будет стоять телефон - это удовольствие не из приятных, тем более - домашний интернет сотрудника - его проблемы, как собственно и телефон, поэтому схему хочу упростить, не навешивая дополнительного железа, проблемы с которым нельзя зачастую решить включением/выключением или звонком в ТП провайдера. И тем более ряд сотрудников будут работать удаленно - из другого города - командировку из-за того, что у кого-то не работает интернет - мне никто не одобрит. А по сути то задача, как мне кажется простая до безобразия, только видимо мой мозг уже не справляется, или замылился на каком то моменте, и просто могу упускать какую то мелочь из виду. Надеялся получить подсказку извне куда копать, зачастую этого бывает более чем достаточно, именно поэтому не выкладываю конфиги и прочее, чтобы разобраться, а не получить готовый ответ, не вникая в произошедшее.

А АТСка кстати Panasonic, не в моей компетенции, не хочу в неё лезть принципиально, людям за настройку деньги заплатили, они наобещали с 3 короба, а в итоге не работает то, ради чего она и была куплена и за что было заплачено отдельные деньги. Если смогу решить проблему, или доказать, что не работоспособность текущей схемы, вызвана не верной настройкой АТС, мне будет и самому приятно, и для руководства будет уроком (АТСка была куплена без согласования со мной, что не приятно).


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. Пинги до АТСок идут? Желательно проверять не с Микротика, а с компа в локальной сети.
2. Порты точно все пробросили??? Еще раз проверили? По tcp и udp, уточнили в инструкции??? В правилах проброса портов ничего лишнего не указали, типа интерфейсов и и так далее?
3. В правилах NAT на микротиках что стоит в поле Out. Interface???


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

у Панасоника , должно прописывается внутри , с какой сетью работать . и кто он будут считать своей . ну и шлюз маска там и прочие прелести.
так же пропишите там все параметры . Панасоник он такой .... не получится снимайте дамп звонка и гадайте в SDP


Ответить