Маршруты между микротиками?

Обсуждение ПО и его настройки
dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Здравствуйте.
Есть центральный офис (192.168.0.0/24) и филиалы, все филиалы связаны с офисом по L2TP/IPSEC туннелям (везде микротики). Все работает.
В филиале А (10.1.2.0/24) поставили видеорегистратор и хотят иметь к нему доступ из филиала Б (192.168.2.0/24). Можно ли прописать маршруты на микротиках, чтобы не поднимать туннель между А и Б?
Если можно, натыкайте пожалуйста носом по порядку, что и где сделать?

Спасибо.


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

Можно.

Если адреса в L2TP выдаеются не из пула, а привязаны железно в PPP-secret.

У каждого L2TP соединения на каждом конце есть IP адрес. Свой называется "локальный", адрес на другом конце этого соединения называется "удаленный". На двух концах это одни и те же адреса, только для одного конца свой - локальный. для другого конца он - удаленный, и наоборот.

Нужно создать маршруты
В филиале А на сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом
В центральном офисе 2 маршрута.
1. На сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с филиалом В
2. На сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с филиалом А
В филиале В на сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом.


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Erik_U писал(а): 08 май 2019, 10:20 Можно.

Если адреса в L2TP выдаеются не из пула, а привязаны железно в PPP-secret.

У каждого L2TP соединения на каждом конце есть IP адрес. Свой называется "локальный", адрес на другом конце этого соединения называется "удаленный". На двух концах это одни и те же адреса, только для одного конца свой - локальный. для другого конца он - удаленный, и наоборот.

Нужно создать маршруты
В филиале А на сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом
В центральном офисе 2 маршрута.
1. На сеть 192.168.2.0/24 через свой локальный адрес соединения L2TP с филиалом В
2. На сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с филиалом А
В филиале В на сеть 10.1.2.0/24 через свой локальный адрес соединения L2TP с центральным офисом.
Тут немного непонятно. Туннели поднимаются автоматически, настроены в разделе IP-IPSEC, а не в PPP. Там указаны внутренние подсети и внешние адреса (белые). При поднятии туннелей везде автоматически создаются маршруты.
Я создал на филиале Б маршрут на А, при пинге с микротика регистратора идет таймаут и периодически ответ от 192.168.2.1 (микротик на том конце) что хост недоступен...


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

dima1208 писал(а): 08 май 2019, 11:01 Тут немного непонятно. Туннели поднимаются автоматически, настроены в разделе IP-IPSEC, а не в PPP.
Значит у вас не
все филиалы связаны с офисом по L2TP/IPSEC туннелям (везде микротики)
как вы писали в 1 сообщении темы.

в L2TP/IPSEC туннеле адресация берется из настроек L2TP в разделе PPP.

Для того, чтобы делать маршрутизацию, эту адресацию нужно сделать статичной. Это делается там же, в разделе PPP.Secrets логину каждого филиала назначьте IP адреса.

Автоматически маршруты добавляются только дефолтные (если настройка сделана), и на сеть, к которой принадлежит адрес, назначенный на интерфейс. В случае с L2TP это адрес из /32 сети, т.е. маршрут сам на себя. А никак не на сети, которые за ним.

Маршруты на сети за L2TP интерфейсом нужно добавлять руками. Если нужно пинговать все L2TP интерфейсы, то маршруты на все /32 сети тоже добавлять.


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Erik_U писал(а): 08 май 2019, 11:11
dima1208 писал(а): 08 май 2019, 11:01 Тут немного непонятно. Туннели поднимаются автоматически, настроены в разделе IP-IPSEC, а не в PPP.
Значит у вас не
все филиалы связаны с офисом по L2TP/IPSEC туннелям (везде микротики)
как вы писали в 1 сообщении темы.

в L2TP/IPSEC туннеле адресация берется из настроек L2TP в разделе PPP.

Для того, чтобы делать маршрутизацию, эту адресацию нужно сделать статичной. Это делается там же, в разделе PPP.Secrets логину каждого филиала назначьте IP адреса.

Автоматически маршруты добавляются только дефолтные (если настройка сделана), и на сеть, к которой принадлежит адрес, назначенный на интерфейс. В случае с L2TP это адрес из /32 сети, т.е. маршрут сам на себя. А никак не на сети, которые за ним.

Маршруты на сети за L2TP интерфейсом нужно добавлять руками. Если нужно пинговать все L2TP интерфейсы, то маршруты на все /32 сети тоже добавлять.
Я не так выразился, прошу прощения. Я не использую раздел PPP вообще, у меня IPSEC туннели, я тут зря приплел L2TP. В офисе настроены политики и пиры для каждого филиала, а на филиалах по одной политике и одному пиру в офис. Вот в них указаны только локальные и удаленные подсети и внешние адреса друг друга.

В офисе и филиалах маршруты созданы вручную (опять прошу прощения, соврал), в DST.ADDRESS указаны удаленные подсети, в GATEWAY локальный бридж. И все работает, все пингуется и доступы управляются фаерволом.

Вот дальше непонятно как из Б в А попасть))) :smu:sche_nie: :du_ma_et:


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

если в IPSEC настройки сделаны для конкретных сетей, например туннель между филиалом А и центральным офисом шифрует только пакеты из сети А и сети Центрального офиса, то пакеты из офиса В этот туннель отбросит.
Их нужно разрешить в настройках IPSEC.

Ну и в таблице маршрутизации офиса А должен быть маршрут до сети В, иначе пакеты пойдут в маршрут по-умолчанию, а это интернет, где сети В нет.
То же самое с офисом В, там должен быть маршрут в сеть А.
В центральном офисе должны быть оба маршрута, и в сеть А и в сеть В. Кроме того, IPSEC в сторону А в центральном офисе должен шифровать сеть В, а в сторону В - сеть А.


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Erik_U писал(а): 08 май 2019, 11:38 если в IPSEC настройки сделаны для конкретных сетей, например туннель между филиалом А и центральным офисом шифрует только пакеты из сети А и сети Центрального офиса, то пакеты из офиса В этот туннель отбросит.
Их нужно разрешить в настройках IPSEC.

Ну и в таблице маршрутизации офиса А должен быть маршрут до сети В, иначе пакеты пойдут в маршрут по-умолчанию, а это интернет, где сети В нет.
То же самое с офисом В, там должен быть маршрут в сеть А.
В центральном офисе должны быть оба маршрута, и в сеть А и в сеть В. Кроме того, IPSEC в сторону А в центральном офисе должен шифровать сеть В, а в сторону В - сеть А.
Создал политики в IPSEC в офисе А>Б и Б>А, и на филиалах по одному до друг друга через офис. Туннели поднялись, добавил маршруты, но пингов нет, создал правило доступа к регистратору по 80 порту - счетчик пакетов на нуле... Что я мог забыть?


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

по вашему описанию трудно что-то сказать.

Кто инициатор IPSEC?


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Erik_U писал(а): 08 май 2019, 12:38 по вашему описанию трудно что-то сказать.

Кто инициатор IPSEC?
Галки SEND INITIAL CONTACT стоят у всех. Состояние established у всех. Я так понимаю кто первый инициировал тот и инициатор?


Erik_U
Сообщения: 1752
Зарегистрирован: 09 июл 2014, 12:33

у кого галки "Passiv"? Тот ответчик, а инициатор - другая сторона.

Попробуйте создать Address List (в IP:Firewall.Address_Lists), куда включите подсети, между которыми нужно взаимодействие.
И создайте IP:IPsec.Mode_Configs конфигурацию с этим Address List.
А ее уже в свою очередь добавьте в IP:IPsec.Identities для ваших туннелей.

У вас есть запасные удаленные входы? Не эксперементируйте, если их нет, можно потерять связь.


Ответить