Господа здравствуйте. Пожалуйста подскажите, нигде толком не могу найти решение.
Имеем сеть 192.168.0.0/24 с головным микротиком с белым ip. По vpn подключаются другие микротики.
Задача: из сети 192.168.0.0/24 получить доступ к микротикам, которые ходят по VPN ТОЛЬКО для их администрирования. Маршруты доступности целых сетей не нужны. Сети за микротиками VPN тоже могут быть 192.168.0.0/24. Канал VPN - SSTP 172.16.30.0/24.
Может есть какие другие пути решения глобальной задачи: Администрирование микротиков с серыми адресами
Доступ по Winbox через VPN
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Каждый тик получает 2 адреса. В secrets забейте статические адреса remote address каждому удаленному тику. По этим адресам стучитесь на удаленные тики.
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
так и сделано, vpn-клиент забит с адресами клиента и сервера. головной микротик пингует подключаемый по vpn-адресу, если сделать в нате правило маскарадинга vpn-сети, то микротик начинает пинговать по его по локальному адресу, но сеть может быть такой же, как и у головного
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
172.16.30.0/24 из этой сети адреса у вас выдаются удаленным утсройствам, по ним и обращайтесь на них. Никакой маскарад и прочее не нужно.
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
1) адреса не выдаются, а у каждого клиента прописаны в конфиге VPN
2) Сеть 172.16.30.0/24 - чисто внутренняя между микротиками.
если я обращаюсь из головной сети по этим адресам - не работает, даже пинги не проходят
2) Сеть 172.16.30.0/24 - чисто внутренняя между микротиками.
если я обращаюсь из головной сети по этим адресам - не работает, даже пинги не проходят
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Фаервол смотрите на удаленных точках
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
фаервол дефолтный. так как не особо нужен при сером адресе. с головного микротика все пингуется, не пингуется с компов
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
не понимаю в чем косяк:
1) маршрут с головного в удаленный микротик есть
2) маскарад vpn-сети (можно и отключить)
и в итоге головной микротик пингует все адреса из сети удаленного, а компы головного микротика - не пингуют удаленную сеть
1) маршрут с головного в удаленный микротик есть
2) маскарад vpn-сети (можно и отключить)
и в итоге головной микротик пингует все адреса из сети удаленного, а компы головного микротика - не пингуют удаленную сеть
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
посылаю tracert с компа в сеть 192.168.17.0/24 - видно что трафик теряется на головном роутере 192.168.0.1 и далее никуда не идет.
хотя на головном маршрут прописан и сам микрот все пингует
хотя на головном маршрут прописан и сам микрот все пингует
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
коллеги, заметил такое, что при любом трацерте с компа главного микротика - все уходит в шлюз интернета, т.е. пробую трацерт 172.16.30.5 - адрес удаленного микротика по VPN, так трацерт ведет сначала на главный микрот 192.168.0.1, потом на шлюз провайдера..... непонятно.
еще момент, на микротике настроен BalanceWan из двух провайдеров. все работает динамически, отрубив одного - все продолжает работать на другом и обратно. причем в маршруте 0.0.0.0/0 стоят оба шлюза, и трафик гонится одновременно. Еще нашел маркировки - есть компы роутинг которых маркируется и для них есть статичные маршруты. и правила стоят таким образом:
0.0.0.0 - маркированный компы каждый со своим шлюзом
0.0.0.0 - на оба шлюза
0.0.0.0 - на 1 шлюз
0.0.0.0 - на 2 шлюз
дистансы везде 1, скопы везде 30.
не знаю влияет это на то что у меня не работает VPN или нет. Но на всех ПК - все маршрутизируется через эти шлюзы провайдеров. Может поставить distans'ы разные? прошивка микрота 6.47
еще момент, на микротике настроен BalanceWan из двух провайдеров. все работает динамически, отрубив одного - все продолжает работать на другом и обратно. причем в маршруте 0.0.0.0/0 стоят оба шлюза, и трафик гонится одновременно. Еще нашел маркировки - есть компы роутинг которых маркируется и для них есть статичные маршруты. и правила стоят таким образом:
0.0.0.0 - маркированный компы каждый со своим шлюзом
0.0.0.0 - на оба шлюза
0.0.0.0 - на 1 шлюз
0.0.0.0 - на 2 шлюз
дистансы везде 1, скопы везде 30.
не знаю влияет это на то что у меня не работает VPN или нет. Но на всех ПК - все маршрутизируется через эти шлюзы провайдеров. Может поставить distans'ы разные? прошивка микрота 6.47