Здравствуйте. Помогите, никак не могу разобраться в чем дело.
Есть VPS c поднятым на нем L2TP\IPSEC сервером.
Есть три VPN-клиента (2 ноута, и роутер Mikrotik)
Суть в том чтобы пускать два ноута на рабочие компьютеры за Микротиком путем проброса RDP. Зачем VPS? Все просто, интернет в офис приходит с 4G-модема.
А теперь проблема, которую никак не могу сообразить как мне решить.
1. С VPN-сервера до Микротика и обратно пинг идет.
2. С Микротика пинги идут до всех клиентов VPN-сервера. А вот с двух других VPN-клиентов (два ноута) не пингуется Микротик.
Набросал схему:
Прошу помощи, есть понимание что нужно что-то настроить в Микротике, но держу его в руках в первый раз да и не являюсь сетевиком по сути.
UPD: Отключение правил firewall не помогает. Делал это в первую очередь. Микротик отвечает на пинги если пинговать с VPN сервера. Если пинговать с других VPN-клиентов - не отвечает.
L2TP-Клиент Mikrotik не пингуется остальными клиентами L2TP-VPN сервера
-
- Сообщения: 8
- Зарегистрирован: 26 окт 2016, 11:19
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Временно (или навсегда) выключить на Mikrotik 951 все правила фаерволла.
-
- Сообщения: 8
- Зарегистрирован: 26 окт 2016, 11:19
gmx писал(а):Временно (или навсегда) выключить на Mikrotik 951 все правила фаерволла.
К сожалению не помогает.
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
На микротике прописан маршрут для сети 172.16.1.0 в сторону VPS??? Хотя скорее всего да... Но мало-ли??
А на VPN клиентах прописан маршрут для сети 172.16.1.0??? Что это за клиенты??? Попробуйте сделать трейс, куда пошли пакеты???
Сделайте, чтобы VPN соединение было маршрутом по-умолчанию, но правда тогда всё пойдет через VPN.
А на VPN клиентах прописан маршрут для сети 172.16.1.0??? Что это за клиенты??? Попробуйте сделать трейс, куда пошли пакеты???
Сделайте, чтобы VPN соединение было маршрутом по-умолчанию, но правда тогда всё пойдет через VPN.
-
- Сообщения: 8
- Зарегистрирован: 26 окт 2016, 11:19
gmx писал(а):На микротике прописан маршрут для сети 172.16.1.0 в сторону VPS??? Хотя скорее всего да... Но мало-ли??
А на VPN клиентах прописан маршрут для сети 172.16.1.0??? Что это за клиенты??? Попробуйте сделать трейс, куда пошли пакеты???
Сделайте, чтобы VPN соединение было маршрутом по-умолчанию, но правда тогда всё пойдет через VPN.
Маршрут для сети 172.16.1.0 в сторону VPS на микротике есть, появился автоматически. Микротик пингует всех - и VPN-сервер, и других внешних клиентов VPN. Клиентов перепробовал разных (MacOS, WIndows, Android) - с ними все ок, они пингуют друг друга, микротик их тоже пингует. Голову сломал!). VPN соединение маршрутом по-умолчанию - никакого эффекта. Я не понимаю, почему Микротик отвечает на пинги VPN-сервера, но не отвечает на пинги VPN-клиентов. Откуда такая разборчивость.
traceroute to 172.16.1.2 (172.16.1.2), 64 hops max, 52 byte packets
1 172.16.1.1 (172.16.1.1) 50.752 ms 50.628 ms 50.807 ms
2 *
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Они до него не доходят... скорее всего.
Попробуйте винбоксом подключиться к микротику с любого VPN клиента. Скорее всего не пройдет.
Попробуйте винбоксом подключиться к микротику с любого VPN клиента. Скорее всего не пройдет.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Тоже согласен с коллегой gmx - что нет маршрута.
Я бы ещё явно запустил пинг с компа, и смотрел бы утилитой Torch - есть вообще что-либо на интерфейсах микротика,
и если есть, то с каким ip приходит? А если нету....то искать куда затерялись по дороге пакеты.
Ну и ещё как бы не банально было -- проверить, вдруг где перехлёст по маски сети?...Сеть указана в микротике полностью и верно?
Я бы ещё явно запустил пинг с компа, и смотрел бы утилитой Torch - есть вообще что-либо на интерфейсах микротика,
и если есть, то с каким ip приходит? А если нету....то искать куда затерялись по дороге пакеты.
Ну и ещё как бы не банально было -- проверить, вдруг где перехлёст по маски сети?...Сеть указана в микротике полностью и верно?
-
- Сообщения: 8
- Зарегистрирован: 26 окт 2016, 11:19
Мне не совсем понятно, почему нет маршрута..
Условно - к одному серверу подключены три vpn-клиента, с адресами 172.16.2.2 (Mikrotik), 172.16.2.31, 172.16.2.33. Все прекрасно друг друга пингуют, кроме одного момента - 172.16.2.31 и 172.16.2.33 не пингуют 172.16.2.2 (Mikrotik). Сейчас посмотрел во вкладку Firewall-Connections на Mikrotik, так вот там видно что двое остальных клиентов шлют ему ICMP, видно их адреса, но толку ноль. На мой взгляд очевидно что что-то мешается на Микротике... продолжаю биться, пока безрезультатно..
Условно - к одному серверу подключены три vpn-клиента, с адресами 172.16.2.2 (Mikrotik), 172.16.2.31, 172.16.2.33. Все прекрасно друг друга пингуют, кроме одного момента - 172.16.2.31 и 172.16.2.33 не пингуют 172.16.2.2 (Mikrotik). Сейчас посмотрел во вкладку Firewall-Connections на Mikrotik, так вот там видно что двое остальных клиентов шлют ему ICMP, видно их адреса, но толку ноль. На мой взгляд очевидно что что-то мешается на Микротике... продолжаю биться, пока безрезультатно..
-
- Сообщения: 8
- Зарегистрирован: 26 окт 2016, 11:19
Все, удалось разобраться наконец. Дело было в MTU на клиенте Микротика. Поставил 1000, все заработало как полагается. Спасибо за поддержку ребят.