не получается объединить 2 mikrotik через pptp

Обсуждение ПО и его настройки
goga2000
Сообщения: 13
Зарегистрирован: 31 янв 2017, 07:53

Vlad-2 писал(а):очень сложно давать советы не видя всей картины
1) попробуйте маску сети для ВПНа сделать /30 (с обеих сторон)
2) отключите временно NAT (если есть...) чтобы роутер не натил эту сетку, между сетями должно всё проходить


1. как поменять маску для ВПН не нашел.
2. NAT есть, отключил - не помогло.

в каком примерно виде и что надо выложить, что б понятнее стало?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Неа, давайте с самого начала (чтобы было понимание у Вас):
1) роутеры у Вас рядом или один удалённо стоит?
2) связь с провайдером как сделана? (статика, рррое?)
3) ВПН сервер (в Вашем случаи РРТР) кто настраивал? Какие диапазоны заданы? Ограничений никаких нет?
4) Все правила в файрволле (только на время настроек) надо отключать. Надеюсь что роутеры пока не в боевом режиме работают?
5) обычно просят выложить/показать конфиг (команда export и далее весь текст скопировать, убрать пароли,
и показать, или export file=MyCFG и тогда конфиг сохраниться на встроенной памяти роутера в файле MyCFG)

Вам надо понять принцип работы маршрутизации (сетей в целом), и это понимание
переложить на Вашу схему коммутации и с учётом Ваших моментов, адресаций и интерфейсов.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

goga2000 писал(а):
на данный момент из 192.168.0.0/24 я пингую 10.0.10.1, но не могу пропинговать 10.0.10.2.
и аналогично из 192.168.3.0/24 я пингую 10.0.10.2, но не могу пропинговать 10.0.10.1

при этом с микротиков пингуются оба 10.0.10.1 и 10.0.10.2




Так ведь и не надо, чтобы подсеть 10.0.10.0/24 пинговалась с рабочих машин. Она и не будет. Соответствующий маршрут нужно прописывать, только не зачем. Раз с обеих микротиков оба адреса на 10 пингуется, то значит VPN работает. Это уже очень хорошо и этого достаточно.

Теперь

На микротике
192.168.0.1 добавьте маршрут
route 192.168.3.0/24 10.0.10.1


на микротике
192.168.3.1 добавьте маршрут
route 192.168.0.0/24 10.0.10.2

Пока руками и цифрами. Потом можно будет поменять на имена интерфейсов.

Далее. Правило NAT сделайте как можно более общим, без указания интерфейсов и подсетей.
chain=srcnat action=masquerade log=no log-prefix=""

Далее, все, что вам советовали выше. Особенно отключите ВСЕ правила фаерволла.


goga2000
Сообщения: 13
Зарегистрирован: 31 янв 2017, 07:53

Vlad-2 писал(а):Неа, давайте с самого начала (чтобы было понимание у Вас):
1) роутеры у Вас рядом или один удалённо стоит?
2) связь с провайдером как сделана? (статика, рррое?)
3) ВПН сервер (в Вашем случаи РРТР) кто настраивал? Какие диапазоны заданы? Ограничений никаких нет?
4) Все правила в файрволле (только на время настроек) надо отключать. Надеюсь что роутеры пока не в боевом режиме работают?
5) обычно просят выложить/показать конфиг (команда export и далее весь текст скопировать, убрать пароли,
и показать, или export file=MyCFG и тогда конфиг сохраниться на встроенной памяти роутера в файле MyCFG)

Вам надо понять принцип работы маршрутизации (сетей в целом), и это понимание
переложить на Вашу схему коммутации и с учётом Ваших моментов, адресаций и интерфейсов.



1. один рядом, другой (pptp сервер который) удаленно.
2. статика, оба
3. я настраивал. через него другие пользователи с виндоуза давно и успешено из дома работают.
4. в боевом. кратковременно можно и отключить наверно.
5. щас подготовлю.


goga2000
Сообщения: 13
Зарегистрирован: 31 янв 2017, 07:53

конфиг того, который 192.168.3.0 (клиент )


Код: Выделить всё

/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
/interface pptp-client
add allow=mschap2 connect-to=212.xxx.xxx.xxx disabled=no name=filial_connection password=ppppppp user=user
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.3.130-192.168.3.149
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 name=default
/system logging action
set 1 disk-file-name=log
/interface bridge port
add bridge=bridge1 interface=ether2-master-local
add bridge=bridge1 interface=ether3-slave-local
/ip address
add address=192.168.3.1/24 comment="default configuration" interface=ether2-master-local network=192.168.3.0
add address=94.xxx.xxx.7/24 interface=ether1-gateway network=94.xxx.xxx.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=ether1-gateway
/ip dhcp-server lease
/ip dhcp-server network
add address=192.168.3.0/24 comment="default configuration" gateway=192.168.3.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=94.xxx.xxx.3,94.xxx.xxx.3,8.8.8.8
/ip dns static
add address=192.168.3.1 name=router
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=tcp
add action=drop chain=input dst-port=53 in-interface=ether1-gateway protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway
add action=netmap chain=dstnat comment=DVR dst-port=8888 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.3.210 to-ports=8000
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set sip disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=94.xxx.xxx.6
add distance=1 dst-address=192.168.0.0/24 gateway=bridge1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia
/tool graphing interface
add interface=ether1-gateway store-on-disk=no
Последний раз редактировалось goga2000 31 янв 2017, 13:51, всего редактировалось 1 раз.


goga2000
Сообщения: 13
Зарегистрирован: 31 янв 2017, 07:53

конфиг того, который 192.168.0.0 (сервер)

Код: Выделить всё

# jan/31/2017 15:17:11 by RouterOS 6.38.1
# software id = 8X94-6D8J
#
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia disabled=no mode=ap-bridge ssid=tech wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=Internet tx-flow-control=auto
set [ find default-name=ether5 ] arp=proxy-arp name=LAN
/interface pptp-server
add name=filial user=user
/ip neighbor discovery
set Internet discover=no
set ether2 discover=no
set ether3 discover=no
set ether4 discover=no
set wlan1 discover=no
set bridge1 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xxxx wpa2-pre-shared-key=yyyy
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=profile wpa-pre-shared-key=woodwood wpa2-pre-shared-key=woodwood
/interface wireless
add disabled=no mac-address=4E:5E:0C:AA:AA:AA master-interface=wlan1 mode=ap-bridge name=wlan2 security-profile=profile ssid=ForG
/ip neighbor discovery
set wlan2 discover=no
/ip pool
add name=dhcp ranges=192.168.0.110-192.168.0.150
add name=dhcp_pool1 ranges=192.168.0.110-192.168.0.150
add name=vpnpool ranges=192.168.0.88/29
add name="rdp clients" ranges=
/ip dhcp-server
add address-pool=dhcp disabled=no interface=Internet lease-time=10h10m name=dhcp1
add address-pool=dhcp disabled=no interface=bridge1 lease-time=10h name=dhcp2
/ppp profile
add name=filial only-one=yes use-compression=yes use-encryption=yes
set *FFFFFFFE bridge=bridge1 dns-server=8.8.8.8 local-address=192.168.0.1 remote-address=vpnpool
/interface bridge filter
add action=drop chain=forward in-interface=wlan2
add action=drop chain=forward out-interface=wlan2
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=LAN
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/interface pptp-server server
set enabled=yes
/ip address
add address=212.xxx.xxx.100/24 interface=Internet network=212.xxx.xxx.0
add address=192.168.0.1/24 interface=ether2 network=192.168.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid interface=Internet
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,4.4.4.4,212.xxx.xxx.x
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=Internet protocol=udp
add action=drop chain=input dst-port=53 in-interface=Internet protocol=tcp
add action=accept chain=input dst-address=10.0.10.1
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input dst-address=212.xxx.xxx.xxx in-interface=Internet protocol=icmp
add action=drop chain=input disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Internet
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
/ip route
add distance=1 gateway=212.xxx.xxx.xxx
add distance=1 dst-address=192.168.3.0/24 gateway=192.168.5.1 pref-src=192.168.5.2
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes port=1080
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=10.0.10.1 name=user password=pppppppp profile=filial remote-address=10.0.10.2 service=pptp
/system clock
set time-zone-name=Asia
/system identity
set name=wood
/system leds
set 0 interface=wlan1
/system logging
add topics=firewall
/tool graphing interface
add interface=Internet
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=LAN
/tool romon port
add


goga2000
Сообщения: 13
Зарегистрирован: 31 янв 2017, 07:53

gmx писал(а):
goga2000 писал(а):
на данный момент из 192.168.0.0/24 я пингую 10.0.10.1, но не могу пропинговать 10.0.10.2.
и аналогично из 192.168.3.0/24 я пингую 10.0.10.2, но не могу пропинговать 10.0.10.1

при этом с микротиков пингуются оба 10.0.10.1 и 10.0.10.2




Так ведь и не надо, чтобы подсеть 10.0.10.0/24 пинговалась с рабочих машин. Она и не будет. Соответствующий маршрут нужно прописывать, только не зачем. Раз с обеих микротиков оба адреса на 10 пингуется, то значит VPN работает. Это уже очень хорошо и этого достаточно.

Теперь

На микротике
192.168.0.1 добавьте маршрут
route 192.168.3.0/24 10.0.10.1


на микротике
192.168.3.1 добавьте маршрут
route 192.168.0.0/24 10.0.10.2

Пока руками и цифрами. Потом можно будет поменять на имена интерфейсов.

Далее. Правило NAT сделайте как можно более общим, без указания интерфейсов и подсетей.
chain=srcnat action=masquerade log=no log-prefix=""

Далее, все, что вам советовали выше. Особенно отключите ВСЕ правила фаерволла.


эти маршруты и стояли сразу, но в winbox он пишет unreachable напротив этих маршрутов на обоих роутерах.
в NAT masqarade убрал лишнее - не помогло.




вот делаю я из сети 192.168.3.0 tracerout до 192.168.0.202 и идет сначала на гейт 192.168.3.1, а затем на внешний гейт уходит , а должен же, насколько я понимаю, на 10.0.10.2 уходить. Так?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Не может он быть unreachable, если канал VPN работает. Вы что-то неправильно делаете. Нужные маршруты, как минимум, для для адресов самих интерфейсов создаются автоматически, как только VPN начинает работать.

Все остальные ваши действия бесполезны... сколько не делай трейс, как не меняй маскарадинг, до тех пор, пока unreachable толку не будет.

Там есть один интересный момент. На микротике, который PPTP сервер, на нем в routes можно писать IP, а вот который подключается, на нем лучше указывать не IP, а именно интерфейс. Так как до подключения микротик ничего не знает про IP адрес, его знает только микротик-сервер. Но это все частности.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

goga2000 писал(а):конфиг того, который 192.168.0.0 (сервер)


/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=Internet protocol=udp
add action=drop chain=input dst-port=53 in-interface=Internet protocol=tcp
add action=accept chain=input dst-address=10.0.10.1
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input dst-address=212.xxx.xxx.xxx in-interface=Internet protocol=icmp
add action=drop chain=input disabled=yes


Я разве не писал, чтобы вы выключили ВСЕ правила фаерволла. Хотя бы временно. Ладно... Здесь же на форуме сидят одни дураки...
Правда шлюзы VPN почему-то unrechiable, но это же ничего, как-то он потом заработает.


goga2000 писал(а):/ip firewall nat
add action=masquerade chain=srcnat out-interface=Internet


Я разве не написал, чтобы вы сделали, правило маскарадинга более общим, без указания интерфейса??? Снова здесь все дебилы...

goga2000 писал(а):/ip route
add distance=1 gateway=212.xxx.xxx.xxx
add distance=1 dst-address=192.168.3.0/24 gateway=192.168.5.1 pref-src=192.168.5.2


Ну и где здесь правильный маршрут??? Для чего pref-scr??? Две страницы об одном и том же. А маршрут по прежнему старый... И чего-то дураки здесь пишут три старицы уже.

И это я еще и не вчитывался. Уверен, что его косяков штук 10 наберется.

Конфиг клиента даже и смотреть не стал... Все там тоже самое... Уверен.


Уж извините за сарказм и тон, но в Хогвартсе получают помощь все, кому она действительно нужна.


goga2000
Сообщения: 13
Зарегистрирован: 31 янв 2017, 07:53

Я отправил конфиги в ответ Vlad-2.

Потом начал отключать фаервол и упростил правила маскарада, в соотвествии с вашим постом. Сделал - не помогло о чем потом и сообщил в ответе вам.

Pref-src был сделан как в wiki у микротика указан.

Мне тоже не доставляет удовольствия людей отвлекать. У меня цель сделать, а не поразвлекаться в интернете.


Ответить