VPN Tunnel L2TP/IpSec
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Можете написать к- как необходимо что бы было правильно,...для примера хотя бы ?
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Так устроет ?
add action=masquerade chain=srcnat log=yes out-interface=ether1
add action=masquerade chain=srcnat log=yes out-interface=ether1
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Вот что пишет из сети 192.168.1.0.24
Tracing route to 10.47.1.99 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 7 ms * 7 ms 10.47.1.99
Trace complete.
PS C:\> tracert 10.47.1.44
Tracing route to 10.47.1.44 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 9 ms * 5 ms 10.47.1.99
3 * * * Request timed out.
4
А это трэйс из 10.47.0.0/22
PS C:\> tracert 192.168.1.1
Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 10.47.1.99
2 7 ms * 8 ms 192.168.1.1
Трассировка завершена.
PS C:\> tracert 192.168.1.103
Трассировка маршрута к 192.168.1.103 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 10.47.1.99
2 7 ms * 8 ms 192.168.1.1
3 18 ms 11 ms 12 ms 192.168.1.103
Трассировка завершена.
Tracing route to 10.47.1.99 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 7 ms * 7 ms 10.47.1.99
Trace complete.
PS C:\> tracert 10.47.1.44
Tracing route to 10.47.1.44 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 9 ms * 5 ms 10.47.1.99
3 * * * Request timed out.
4
А это трэйс из 10.47.0.0/22
PS C:\> tracert 192.168.1.1
Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 10.47.1.99
2 7 ms * 8 ms 192.168.1.1
Трассировка завершена.
PS C:\> tracert 192.168.1.103
Трассировка маршрута к 192.168.1.103 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 10.47.1.99
2 7 ms * 8 ms 192.168.1.1
3 18 ms 11 ms 12 ms 192.168.1.103
Трассировка завершена.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
cobion писал(а):Так устроет ?
add action=masquerade chain=srcnat log=yes out-interface=ether1
Задача чтобы НАТить запросы от Вашей сети при уходе в глобал только.
При уходе запросов в канал/в филиал натить их не надо.
И удалите маршруты серые на интерфейсы провайдеров....они не нужны...
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Vlad-2 писал(а):cobion писал(а):Так устроет ?
add action=masquerade chain=srcnat log=yes out-interface=ether1
Задача чтобы НАТить запросы от Вашей сети при уходе в глобал только.
При уходе запросов в канал/в филиал натить их не надо.
Вот так -add action=masquerade chain=srcnat log=yes out-interface=pppoe-out1 src-address=192.168.1.0/24
И удалите маршруты серые на интерфейсы провайдеров....они не нужны..
Удалил, но теперь отвалился RDP. То есть если убираю серые роуты на обоих роутерах- РДП не работает внутренее.
.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
давайте так
1) делаем заглушку (чтобы наши серые адреса точно не про-натились)
То есть если придёт пакет с 192 то он и уйдёт на 10....
а вот вторым правилом (именно оно должно быть вторым) уже можно делать нат для Вашей сети
2)
Ну и также с другой стороны в зеркальном режиме по адресам
P.S.
скажите честно..вы сами настраивали микротики всё или всё же кто-то ????
1) делаем заглушку (чтобы наши серые адреса точно не про-натились)
Код: Выделить всё
chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=10.47.0.0/24
То есть если придёт пакет с 192 то он и уйдёт на 10....
а вот вторым правилом (именно оно должно быть вторым) уже можно делать нат для Вашей сети
2)
Код: Выделить всё
chain=srcnat action=masquerade src-address=192.168.1.0/24 log=yes out-interface=ether1
Ну и также с другой стороны в зеркальном режиме по адресам
P.S.
скажите честно..вы сами настраивали микротики всё или всё же кто-то ????
Последний раз редактировалось Vlad-2 20 мар 2017, 12:53, всего редактировалось 1 раз.
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Vlad-2 писал(а):давайте так
1) делаем заглушку (чтобы наши серые адреса точно не про-натились)
chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=10.47.0.0/24
То есть если придёт пакет с 192 то он и уйдёт на 10....через out interface [b]pppoe-out1- внешний , правильно ?[/b]
а вот вторым правилом (именно оно должно быть вторым) уже можно делать нат для Вашей сети
2)
chain=srcnat action=masquerade src-address=192.168.1.0/24 log=yes out-interface=ether1
Здесь интерфейс не ether1 а [b]pppoe-out1, так как через внешний интерфейс же правильно ?[/b]
Все это было изначально сделано. Делал я по мануалам, но а там уже был кто-то кто все это наворотил....
Ну и также с другой стороны в зеркальном режиме по адресам
P.S.
скажите честно..вы сами настраивали микротики всё или всё же кто-то ????
- podarok66
- Модератор
- Сообщения: 4360
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Это что за оверквотинг? Давайте-ка поправьте посты по существу, пока тему не порезал
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Еще в начальных настройках , там где параметр DHCP Server , диапазон начинается с 10.47.1.1, а роутер 10.47.1.99 - не может ли быть проблемы, что роутер находится в диапазоне раздачи DHCP, хотя в принципе он статичен ?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я Вам показал пример, а адресацию, интерфейсы вы подставляете верные и правильные...
Файрволл - вообще я бы в разделе Фильтрес Рулез вырубил просто всё....
Такое ощущение что 3-4 разных инструкции влили вместе...ассорти и получилось ужасное.
Также поймите, если Вы работаете с филиалом, в рамках туннеля, то туннель это
самостоятельный отдельный интерфейс...и гнать серую свою всю сетку в сторону провайдеру - не надо,
ему точно и не надо, ещё и поругать может.
И научитесь правильно отделять мои сообщения и свои...я теряюсь...где Ваш ответ...
Файрволл - вообще я бы в разделе Фильтрес Рулез вырубил просто всё....
Такое ощущение что 3-4 разных инструкции влили вместе...ассорти и получилось ужасное.
Также поймите, если Вы работаете с филиалом, в рамках туннеля, то туннель это
самостоятельный отдельный интерфейс...и гнать серую свою всю сетку в сторону провайдеру - не надо,
ему точно и не надо, ещё и поругать может.
И научитесь правильно отделять мои сообщения и свои...я теряюсь...где Ваш ответ...