приветствую всех,
пытаюсь объединить 2 офиса. и там и там маршрутизаторами mikrotik стоят. Адреса белые, статические.
Делаю все по http://wiki.mikrotik.com/wiki/Russian/% ... 0.BE.D0.B4
Пытался и по pptp + маршрутизация и pptp + EoIP. И там и там проблема одинакова - pptp устанавливается, с маршрутизаторов пингуется ответный виртуальный интерфейс, а из внутренних сетей пингуется только "свой" виртуальный адрес. Т.е. если следовать их картинке то, с mikrotik1 пингуется 192.168.5.2 и наоборот. Из 192.168.10.0 пингуетс 192.168.5.1, а 192.168.5.2 уже нет.
вот несколько скриншотов, мое отличие от схемы из wiki следующие - 192.168.20.0 на самом деле 192.168.3.0, а подсеть 192.168.10.0/24 заменена на 192.168.0.0/24
При трассировке из 192.168.3.0 до 192.168.5.1 останавливается на 192.168.3.1. А при попытке протрассировать 192.168.0.100 узодит через внешний гейт и там помирает.
Как я понимаю не срабатывает маршрут, помеченный синим цветом на вкладке Route. Но почему, не могу понять.
не получается объединить 2 mikrotik через pptp
-
goga2000
- Сообщения: 13
- Зарегистрирован: 31 янв 2017, 07:53
что-то не дает вложить картинки
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 94.230.131.6 1
1 ADC 94.230.131.0/24 94.230.131.7 ether1-gateway 0
2 S 192.168.0.0/24 192.168.5.1 192.168.5.2 1
3 ADC 192.168.3.0/24 192.168.3.1 bridge1 0
4 ADC 192.168.5.1/32 192.168.5.2 filial_connection 0
chain=dstnat action=netmap to-addresses=192.168.3.210 to-ports=8000 protocol=tcp in-interface=ether1-gateway dst-port=8888 log=no log-prefix=""
chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 94.230.131.6 1
1 ADC 94.230.131.0/24 94.230.131.7 ether1-gateway 0
2 S 192.168.0.0/24 192.168.5.1 192.168.5.2 1
3 ADC 192.168.3.0/24 192.168.3.1 bridge1 0
4 ADC 192.168.5.1/32 192.168.5.2 filial_connection 0
chain=dstnat action=netmap to-addresses=192.168.3.210 to-ports=8000 protocol=tcp in-interface=ether1-gateway dst-port=8888 log=no log-prefix=""
chain=srcnat action=masquerade out-interface=ether1-gateway log=no log-prefix=""
-
gmx
- Модератор
- Сообщения: 3298
- Зарегистрирован: 01 окт 2012, 14:48
Общий принцип построения VPN
Сеть А_______________ VPN A________ VPN Б _______Сеть Б
192.168.1.0/24 ==== 10.0.1.1 ====== 10.0.1.2 === 192.168.2.0/26
Тогда маршруты будут следующими:
route 192.168.1.0/24 10.0.1.1
route 192.168.2.0/24 10.0.1.2
Разумеется по одному с каждой стороны.
Будет лучше, если адреса VPN не будут пересекаться с вашими подсетями. Так более понятно и не будет проблем с маршрутами.
Еще проверьте, на интерфейсах, которые смотрят в локальную сеть (бридж или эзернет) параметр ARP-proxy лучше поставить Enable.
Хотя это и не обязательно.
Помните, что пингуя хост в удаленной сети должно соблюдаться два условия: у этого хоста должен быть указать шлюз (микротик этой сети) и хост должен в принципе пинговаться. То есть фаерволл/антивирус должен правильно быть настроен, чтобы пинги проходили.
Сеть А_______________ VPN A________ VPN Б _______Сеть Б
192.168.1.0/24 ==== 10.0.1.1 ====== 10.0.1.2 === 192.168.2.0/26
Тогда маршруты будут следующими:
route 192.168.1.0/24 10.0.1.1
route 192.168.2.0/24 10.0.1.2
Разумеется по одному с каждой стороны.
Будет лучше, если адреса VPN не будут пересекаться с вашими подсетями. Так более понятно и не будет проблем с маршрутами.
Еще проверьте, на интерфейсах, которые смотрят в локальную сеть (бридж или эзернет) параметр ARP-proxy лучше поставить Enable.
Хотя это и не обязательно.
Помните, что пингуя хост в удаленной сети должно соблюдаться два условия: у этого хоста должен быть указать шлюз (микротик этой сети) и хост должен в принципе пинговаться. То есть фаерволл/антивирус должен правильно быть настроен, чтобы пинги проходили.
-
goga2000
- Сообщения: 13
- Зарегистрирован: 31 янв 2017, 07:53
Сеть А_______________ VPN A________ VPN Б _______Сеть Б
192.168.1.0/24 ==== 10.0.1.1 ====== 10.0.1.2 === 192.168.2.0/26 - здесь маска 26 опечатка?
вот сейчас у меня так (переделал для ясности виртуальные интерфейсы):
Сеть А_______________ VPN A________ VPN Б _______Сеть Б
192.168.0.0/24 ==== 10.0.10.1 ====== 10.0.10.2 === 192.168.3.0/24
на данный момент из 192.168.0.0/24 я пингую 10.0.10.1, но не могу пропинговать 10.0.10.2.
и аналогично из 192.168.3.0/24 я пингую 10.0.10.2, но не могу пропинговать 10.0.10.1
при этом с микротиков пингуются оба 10.0.10.1 и 10.0.10.2
маршруты со стороны 192.168.3.0/24 такие:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 94.230.131.6 1
1 ADC 10.0.10.1/32 10.0.10.2 filial_connection 0
2 ADC 94.230.131.0/24 94.230.131.7 ether1-gateway 0
3 S 192.168.0.0/24 10.0.10.2 1
4 ADC 192.168.3.0/24 192.168.3.1 bridge1 0
здесь filial_connection это pptp соединение.
по arp-proxy. в моей прошивке у Bridge есть параметр ARP. он может приниматьзначения enabled, proxy-arp и local-proxy-arp. все попробовал, без изменений.
Для начала я пытаюсь добиться с одной пингования противоположного виртуального интерфейса, т.е. из 192.168.0.0/24 я пингую 10.0.10.1.
Когда этого добьюсь можно будет дальше копать и настраивать вторую сторону. Правильно я понимаю, что этот пинг при правильной настройке со стороны из 192.168.0.0/24 должен работать?
192.168.1.0/24 ==== 10.0.1.1 ====== 10.0.1.2 === 192.168.2.0/26 - здесь маска 26 опечатка?
вот сейчас у меня так (переделал для ясности виртуальные интерфейсы):
Сеть А_______________ VPN A________ VPN Б _______Сеть Б
192.168.0.0/24 ==== 10.0.10.1 ====== 10.0.10.2 === 192.168.3.0/24
на данный момент из 192.168.0.0/24 я пингую 10.0.10.1, но не могу пропинговать 10.0.10.2.
и аналогично из 192.168.3.0/24 я пингую 10.0.10.2, но не могу пропинговать 10.0.10.1
при этом с микротиков пингуются оба 10.0.10.1 и 10.0.10.2
маршруты со стороны 192.168.3.0/24 такие:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 94.230.131.6 1
1 ADC 10.0.10.1/32 10.0.10.2 filial_connection 0
2 ADC 94.230.131.0/24 94.230.131.7 ether1-gateway 0
3 S 192.168.0.0/24 10.0.10.2 1
4 ADC 192.168.3.0/24 192.168.3.1 bridge1 0
здесь filial_connection это pptp соединение.
по arp-proxy. в моей прошивке у Bridge есть параметр ARP. он может приниматьзначения enabled, proxy-arp и local-proxy-arp. все попробовал, без изменений.
Для начала я пытаюсь добиться с одной пингования противоположного виртуального интерфейса, т.е. из 192.168.0.0/24 я пингую 10.0.10.1.
Когда этого добьюсь можно будет дальше копать и настраивать вторую сторону. Правильно я понимаю, что этот пинг при правильной настройке со стороны из 192.168.0.0/24 должен работать?
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
(слегка влезу) 
а у сети ВПН какая маска ? (то есть у адресов 10.0.10.1 и 10.0.10.2 покажите маску сети) ???
И почему в этой строке: "3 S 192.168.0.0/24 10.0.10.2 1"
метка S есть, а метки А (актив) нету?
P.S.
поправил уточняющие моменты
а у сети ВПН какая маска ? (то есть у адресов 10.0.10.1 и 10.0.10.2 покажите маску сети) ???
И почему в этой строке: "3 S 192.168.0.0/24 10.0.10.2 1"
метка S есть, а метки А (актив) нету?
P.S.
поправил уточняющие моменты
-
goga2000
- Сообщения: 13
- Зарегистрирован: 31 янв 2017, 07:53
Vlad-2 писал(а):(слегка влезу)
а у сети ВПН какая маска ? (то есть у адресов 10.0.10.1 и 10.0.10.2 покажите маску сети) ???
маску даже не знаю где для них посмортеть. Ее назначением pptp сервер сам занимается.
Vlad-2 писал(а):(слегка влезу)
И почему в этой строке: "3 S 192.168.0.0/24 10.0.10.2 1"
метка S есть, а метки А (актив) нету?
P.S.
поправил уточняющие моменты
в выводе print этого не пишется, а вот в winbox он пишет напротив этой строчки с столбце gateway - 10.0.10.2 unreachable
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
goga2000 писал(а):в выводе print этого не пишется, а вот в winbox он пишет напротив этой строчки с столбце gateway - 10.0.10.2 unreachable
а что означает UNREACHABLE? Не доступно....
Так как Вы создаёте связь через РРТР, то при создании статической записи маршрута - укажите рртр подключение.
-
goga2000
- Сообщения: 13
- Зарегистрирован: 31 янв 2017, 07:53
Vlad-2 писал(а):а что означает UNREACHABLE? Не доступно....
Так как Вы создаёте связь через РРТР, то при создании статической записи маршрута - укажите рртр подключение.
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
1 ADC 10.0.10.1/32 10.0.10.2 filial_connection 0
такой маршрут автоматом прописывается при создании pptp. Оно?
Последний раз редактировалось goga2000 31 янв 2017, 12:30, всего редактировалось 1 раз.
-
goga2000
- Сообщения: 13
- Зарегистрирован: 31 янв 2017, 07:53
Vlad-2 писал(а):(слегка влезу)
а у сети ВПН какая маска ? (то есть у адресов 10.0.10.1 и 10.0.10.2 покажите маску сети) ???
P.S.
поправил уточняющие моменты
вот нашел 10.0.10.1/32
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
очень сложно давать советы не видя всей картины
1) попробуйте маску сети для ВПНа сделать /30 (с обеих сторон)
2) отключите временно NAT (если есть...) чтобы роутер не натил эту сетку, между сетями должно всё проходить
1) попробуйте маску сети для ВПНа сделать /30 (с обеих сторон)
2) отключите временно NAT (если есть...) чтобы роутер не натил эту сетку, между сетями должно всё проходить