Добрый времени суток.
Уже сломал всю голову себе... Может кто сможет помочь.
Два офиса, в каждом микротик. Между ними Ip tunnel (пробовал EoIP).
МК1 - Внешний адрес 212.1.1.1 Подключение Static IP
Внутренняя сеть 172.16.0.0/24
Адрес туннеля 192.168.99.1
Роуты прописаны на сети прописаны: 172.16.3.0/24 - 192.168.99.2
МК2 - Внешний адрес 95.1.1.1 подключение PPPoE
Внутренняя сеть 172.16.3.0/24
Адрес туннеля 192.168.99.2
Роуты прописаны на сети прописаны: 172.16.0.0/24 - 192.168.99.1
С Микротиков пингуется всё во все стороны.
С клиентов за Микротиками пингуются только свои сети и концы туннелей. Сети 172.16.0.0/24 и 172.16.3.0/24 друг друга не видят.
Для теста правила в Firewall все выключены.
Что только не делал, ничего не помогает...
Сети не видят друг друга
-
astro
- Сообщения: 5
- Зарегистрирован: 24 мар 2023, 22:59
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
NAT на туннели не распространяется?
На самих устройствах firewall'ы отключены/настроены как положено?
На самих устройствах firewall'ы отключены/настроены как положено?
Telegram: @thexvo
-
astro
- Сообщения: 5
- Зарегистрирован: 24 мар 2023, 22:59
Да. Отключены полностью.
В МК 2 НАТ Есть только одно правило, иначе нет интернета на клиентах,
/ip firewall nat add chain=srcnat action=mascquerade out-interface=pppoe-out1
Его отключение ничего не даёт.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Конфиги покажите.
Telegram: @thexvo
-
astro
- Сообщения: 5
- Зарегистрирован: 24 мар 2023, 22:59
Заметил такую вещь... есть еще МК3, у него внешний IP адрес тоже статика, при подключении по IP туннелю к МК1 всё везде видно. Видится мне что проблема с подключением к провайдеру по PPPoE.
add arp=proxy-arp mtu=1500 name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp
set [ find default-name=ether2 ] arp=proxy-arp
set [ find default-name=ether3 ] arp=proxy-arp
set [ find default-name=ether4 ] arp=proxy-arp
set [ find default-name=ether5 ] arp=proxy-arp
/interface pppoe-client
add ac-name=DOM.RU add-default-route=yes dial-on-demand=yes disabled=no \
interface=ether1 name=pppoe-out1 password=111111 use-peer-dns=yes user=\
111111
/interface ipip
add local-address=95.1.1.1 name=ipip-tunnel1 remote-address=212.1.1.1
/interface list
add name=list1
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=ipip-tunnel1 list=WAN
/ip address
add address=172.16.3.254/24 interface=bridge1 network=172.16.3.0
add address=192.168.99.1/24 interface=ipip-tunnel1 network=192.168.99.0
/ip dns
set servers=8.8.8.8
/ip firewall address-list
add address=172.16.0.0/24 list=local
add address=172.16.3.0/24 list=local
add address=192.168.99.0/24 list=local
/ip firewall nat
add action=accept chain=srcnat comment=Moscow dst-address=172.16.0.0/24 \
src-address=172.16.3.0/24
add action=masquerade chain=srcnat dst-address-list=!local out-interface=\
pppoe-out1
/ip route
add distance=2 gateway=pppoe-out1
add disabled=yes distance=1 gateway=172.16.3.254
add distance=1 dst-address=172.16.0.0/24 gateway=192.168.99.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
На всякий случай маршруты:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 pppoe-out1 2
1 A S 172.16.0.0/24 192.168.99.2 1
2 ADC 172.16.3.0/24 172.16.3.254 bridge1 0
3 ADC 172.21.63.254/32 95.1.1.1 pppoe-out1 0
4 ADC 192.168.99.0/24 192.168.99.1 ipip-tunnel1 0
/interface bridge
add arp=proxy-arp mtu=1500 name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp
set [ find default-name=ether2 ] arp=proxy-arp
set [ find default-name=ether3 ] arp=proxy-arp
set [ find default-name=ether4 ] arp=proxy-arp
set [ find default-name=ether5 ] arp=proxy-arp
/interface pppoe-client
add ac-name=DOM.RU add-default-route=yes dial-on-demand=yes disabled=no \
interface=ether1 name=pppoe-out1 password=111111 use-peer-dns=yes user=\
111111
/interface ipip
add local-address=95.1.1.1 name=ipip-tunnel1 remote-address=212.1.1.1
/interface list
add name=list1
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=ipip-tunnel1 list=WAN
/ip address
add address=172.16.3.254/24 interface=bridge1 network=172.16.3.0
add address=192.168.99.1/24 interface=ipip-tunnel1 network=192.168.99.0
/ip dns
set servers=8.8.8.8
/ip firewall address-list
add address=172.16.0.0/24 list=local
add address=172.16.3.0/24 list=local
add address=192.168.99.0/24 list=local
/ip firewall nat
add action=accept chain=srcnat comment=Moscow dst-address=172.16.0.0/24 \
src-address=172.16.3.0/24
add action=masquerade chain=srcnat dst-address-list=!local out-interface=\
pppoe-out1
/ip route
add distance=2 gateway=pppoe-out1
add disabled=yes distance=1 gateway=172.16.3.254
add distance=1 dst-address=172.16.0.0/24 gateway=192.168.99.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
На всякий случай маршруты:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 pppoe-out1 2
1 A S 172.16.0.0/24 192.168.99.2 1
2 ADC 172.16.3.0/24 172.16.3.254 bridge1 0
3 ADC 172.21.63.254/32 95.1.1.1 pppoe-out1 0
4 ADC 192.168.99.0/24 192.168.99.1 ipip-tunnel1 0
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну в принципе, если интернет через pppoe, то да, MTU на туннеле надо соответственно уменьшать.
Но для обычного ping'а это не должно быть проблемой - там пакеты маленькие.
Не вижу в конфиге причины.
Единственное замечание - туннель добавлен в список WAN - при включенном дефолтном firewall'е это может стать проблемой.
Но для обычного ping'а это не должно быть проблемой - там пакеты маленькие.
Не вижу в конфиге причины.
Единственное замечание - туннель добавлен в список WAN - при включенном дефолтном firewall'е это может стать проблемой.
Telegram: @thexvo
-
astro
- Сообщения: 5
- Зарегистрирован: 24 мар 2023, 22:59
Это конечно хорошо что в конфиге всё нормально, но проблему это не решает ни как...
С роутеров видны все сети, из обеих сетей видны концы туннелей, но сети друг друга не видят...
Что то ему не хватает, знать бы что... что только не прописывал, ничего не помогает...
С роутеров видны все сети, из обеих сетей видны концы туннелей, но сети друг друга не видят...
Что то ему не хватает, знать бы что... что только не прописывал, ничего не помогает...
-
astro
- Сообщения: 5
- Зарегистрирован: 24 мар 2023, 22:59
Мыслей больше ни у кого нет?