Два офиса. Маршрутизация

Обсуждение ПО и его настройки
Ответить
mantrid
Сообщения: 2
Зарегистрирован: 16 фев 2017, 06:35

Доброго времени суток.
имеется неразрешимая проблема
исходные данные : имея два офиса необходимо по VPN тунелю объеденить локальные сети.

Головной Офис Микротик1
WAN xxx.xxx.xxx.xxx
LAN 192.168.100.0/23
ovpn server : 10.10.15.1

Код: Выделить всё

/interface bridge
add arp=proxy-arp name=bridge1

/interface bridge port
add bridge=bridge1 interface=ether2-master-local
add bridge=bridge1 disabled=yes interface=eoip-tunnel1

/ip address
add address=192.168.101.1/22 interface=bridge1 network=192.168.100.0
add address=213.170.102.214/29 interface=ether1-gateway network=213.170.102.208


/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=yes \
    out-interface=ether1-gateway
add action=masquerade chain=srcnat out-interface=all-ppp src-address=\
    10.10.15.0/30
   
/ip route
add distance=1 gateway=213.170.102.209

add distance=1 dst-address=192.168.1.0/24 gateway=10.10.15.2 pref-src=\
    192.168.101.1

/ppp secret
add name=user password=12345678 profile=ovpn routes=\
    "192.168.1.0/24 10.10.15.2 1" service=ovpn
/routing ospf network
add area=backbone network=192.168.100.0/22
add area=backbone network=10.10.15.0/24


Код: Выделить всё

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTA
 0 A S  0.0.0.0/0                          xxx.xxx.xxx.xxx         
 1 ADC  10.10.15.2/32      10.10.15.1      ovpn-in1               
 2 A S  192.168.1.0/24     192.168.101.1   10.10.15.2             
 3  DS  192.168.1.0/24                     10.10.15.2             
 4 ADC  192.168.100.0/22   192.168.101.1   bridge1                 
 5 ADC  xxx.xxx.xxx.xxx/29 xxx.xxx.xxx.xxx ether1-gateway



Второй офис Микротик2
WAN xxx.xxx.xxx.xxx
LAN 192.168.1.0/24
ovpn server : 10.10.15.2

Код: Выделить всё

/interface bridge
add admin-mac=E4:8D:8C:29:39:81 arp=proxy-arp auto-mac=no name=bridge-local

/ppp profile
set *0 bridge=bridge-local local-address=10.10.15.2
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local disabled=yes interface=eoip-tunnel1
add bridge=bridge-local interface=ether6-master-local

/ip address
add address=192.168.1.1/24 comment="default configuration" interface=\
    bridge-local network=192.168.1.0
add address=yyy.yyy.yyy.yyy/30 interface=ether1-gateway network=yyy.yyy.yyy.1
/ip arp
add address=192.168.100.204 interface=bridge-local mac-address=\
    00:15:17:EA:93:7C

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway
add action=masquerade chain=srcnat out-interface=all-ppp src-address=\
    10.10.15.0/30
/ip route
add distance=1 gateway=yyy.yyy.yyy.yyy

add distance=1 dst-address=192.168.100.0/23 gateway=ovpn-out1
add distance=1 dst-address=192.168.100.0/23 gateway=10.10.15.1 pref-src=\
    192.168.1.1

/ppp secret
add name=user password=12345678
/routing ospf network
add area=backbone network=10.10.15.0/24
add area=backbone network=192.168.1.0/24



Код: Выделить всё

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          yyy.yyy.yyy.yyy               1
 1 ADC  10.10.15.1/32      10.10.15.2      ovpn-out1                 0
 2 ADC  yyy.yyy.yyy.yyy/30     yyy.yyy.yyy.yyy     ether1-gateway            0
 3 ADC  192.168.1.0/24     192.168.1.1     bridge-local              0
 4 ADo  192.168.100.0/22                   10.10.15.1              110
 5 A S  192.168.100.0/23                   ovpn-out1                 1
 6   S  192.168.100.0/23   192.168.1.1     10.10.15.1                1


------
VPN тунель успешно поднят и пингуется в обе стороны , так же пингуются интерфейсы всех сетей раположеных на самих микротиках. Все правила фаерволов выключены.
А вот локальные ресурсы сетей пингуются лишь с локальных микротиков.
+++++++


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Ух, и намешано у вас маршрутов. И статика, и OSPF, и в PPP профиле. Хотя бы на время тестирования, отключите OSPF и статические маршруты (№2 на первом роутере и №6 на втором). Кстати, почему на втором роутере маршруты на 192.168.100.0/23? Хоть 192.168.101.1 и входит в эту подсеть, лучше пока сделать с 22 маской.


mantrid
Сообщения: 2
Зарегистрирован: 16 фев 2017, 06:35

DmNuts писал(а):Ух, и намешано у вас маршрутов. И статика, и OSPF, и в PPP профиле. Хотя бы на время тестирования, отключите OSPF и статические маршруты (№2 на первом роутере и №6 на втором). Кстати, почему на втором роутере маршруты на 192.168.100.0/23? Хоть 192.168.101.1 и входит в эту подсеть, лучше пока сделать с 22 маской.


Да это я уже с горя OSPF влючил , да в профиле прописал итд...
вот подчистил и подправил маршрут один :
И да теперь пинг ходит из локалки Микротик2 в Микротик1 (правда не могу осознать почему заработало в этом направлении ибо такую таблицу маршрутов я уже строил :sh_ok: )
а вот обратно - нет

Микротик1

Код: Выделить всё

[admin@MikroTik] /ip route> print            
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          xxx.xxx.xxx.xxx           1
 1 ADC  10.10.15.2/32      10.10.15.1      ovpn-in1                  0
 2 A S  192.168.1.0/24     192.168.101.1   10.10.15.2                1
 3 ADC  192.168.100.0/22   192.168.101.1   bridge1                   0
 4 ADC  xxx.xxx.xxx.xxx/29 xxx.xxx.xxx.xxx ether1-gateway            0



Микротик2

Код: Выделить всё

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          yyy.yyy.yyy.yyy               1
 1 ADC  10.10.15.1/32      10.10.15.2      ovpn-out1                 0
 2 ADC  yyy.yyy.yyy.yyy/30     yyy.yyy.yyy.yyy     ether1-gateway            0
 3 ADC  192.168.1.0/24     192.168.1.1     bridge-local              0
 4 A S  192.168.100.0/22   192.168.1.1     10.10.15.1                1
 5 X S  192.168.100.0/23   192.168.1.1     ovpn-out1                 1



DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Заметил ещё: на стороне клиента OVPN в ppp profile указан local-address=10.10.15.2. Оно, возможно, и так работать будет, но обычно в клиент-серверных VPN задаются Local Address и Remote Address со стороны сервера.
Возможно, сейчас ответы на пинги приходят только из первой сети во вторую по той же причине, из-за которой в первом посте маршруты OSPF прилетали только с первого роутера на второй :) Осталось найти эту ошибку.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я мельком просмотрел, но всё же:
Ну вот скажите, зачем :du_ma_et: Вы ещё один уровень абстракции(прослойки) сделали (дополнительный уровень для меня это VPN),
я правда не знаю всех деталей, но если Вы WAN адресацию запрятали под хх.хх.хх.хх, значит я буду отталкиваться от того, что она у Вас белая, реальная,
и тогда спрашиваю - зачем делать ВПН, когда можно между WAN-интерфейсами натянуть туннель, описать статическую адресацию через него и всё,
на курсах такое уже через два часа спрашивают в виде самостоятельно-теоретической работы на бумажке :hi_hi_hi:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить