Косяк при наличие в мосту VPN

Обсуждение ПО и его настройки
Ответить
Virtuoso
Сообщения: 4
Зарегистрирован: 01 июл 2017, 10:06

01 июл 2017, 10:33

Здравствуйте. Есть два RB951G-2HnD. v.6.39.2
Извините, не специалист, буду выражаться как могу.
Назовём маршрутизаторы А и Б. Подсети разные, тоже А и Б. Но к маршрутизатору Б подключена одна машина с подсетью А (назовём её S), хотелось бы её видеть удалённо в подсети А "прозрачно".

Вариант 1:
Делаю между ними L2TP VPN. Создаю EoIP, запихиваю в бриджы. Сеть работает. Но. Компы не могут выйти в интернет. У компов подсети А шлюз А, у S - Б. В фаерволе пусто.
Начинает интернет работать в двух случаях: 1) если в бридже eoip сделать disabled. При этом интернет работает только у тех машин, на "родном" маршрутизаторе которых это сделано; 2) если у машин подсети А шлюзом прописать Б, а у S - А.
Я такого фокуса понять не могу.

Вариант 2:
В профилях L2TP прописываю "запихивание" их при подключении в бриджы. В таком варианте и сеть и интернет работаю нормально.
Через некоторое время заметил, что не обновляется nod32. Долго тыкался и опять пришёл к тому же! Если разорвать VPN, подключение пропадает из бриджа (оно там, конечно, динамически появляется, в отличие от eoip), и антивирус обновляется без проблем. И если прописать на машине шлюзом удалённый маршрутизатор.

Отсюда 2 вопроса. Как такое может быть? И что делать?

Заранее благодарю.


Аватара пользователя
Kostetyo
Сообщения: 50
Зарегистрирован: 21 окт 2013, 21:52

02 июл 2017, 00:41

Конфиги с устройства А и Б можно?


Virtuoso
Сообщения: 4
Зарегистрирован: 01 июл 2017, 10:06

03 июл 2017, 05:41

Бэкапы?
Что-то они большие для прикрепления. 78 КБ ...... Что за ограничения?)
Могу на почту скинуть.


Аватара пользователя
podarok66
Модератор
Сообщения: 2946
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

03 июл 2017, 09:37

Зачем прикреплять-то? Это текстовый файл, скопировали текст и сюда под теги code


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Virtuoso
Сообщения: 4
Зарегистрирован: 01 июл 2017, 10:06

03 июл 2017, 14:28

Пардон, не знал как в текстовом формате сделать.
Маршрутизатор "А":

Код: Выделить всё

# jul/03/2017 16:10:56 by RouterOS 6.39.2
# software id = 91U8-ARQ2
#
/interface bridge
add admin-mac=6C:3B:6B:66:C0:19 auto-mac=no fast-forward=no name=\
    "Entire network"
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    country=russia default-authentication=no disabled=no distance=indoors \
    frequency=auto mode=ap-bridge name=WiFi ssid=ShopWiFi wireless-protocol=\
    802.11 wps-mode=disabled
/interface ethernet
set [ find default-name=ether1 ] name="1 - TTK"
set [ find default-name=ether2 ] name="2 - Wired"
set [ find default-name=ether3 ] master-port="2 - Wired" name=\
    "3 - BuhWin7"
set [ find default-name=ether4 ] name="4 - VideoOffice"
set [ find default-name=ether5 ] disabled=yes name="5 - ether"
/interface pppoe-client
add add-default-route=yes disabled=no interface="1 - TTK" keepalive-timeout=\
    60 max-mru=1480 max-mtu=1480 mrru=1600 name=Internet password=******** \
    user=*********
/interface l2tp-server
add name="Director (L2TP)" user=Director
add name="Administr (L2TP)" user=Administr
/ip neighbor discovery
set "1 - TTK" discover=no
set "2 - Wired" discover=no
set "3 - BuhWin7" discover=no
set "4 - VideoOffice" discover=no
set "5 - ether" discover=no
set WiFi discover=no
set "Director (L2TP)" discover=no
set Internet discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=WiFiAP \
    wpa2-pre-shared-key=WiFiAP
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des \
    pfs-group=none
/ip pool
add name="WiFi clients & POS pool" ranges=192.168.1.200-192.168.1.254
/ip dhcp-server
add address-pool="WiFi clients & POS pool" authoritative=after-2sec-delay \
    disabled=no interface="Entire network" lease-time=3d name=\
    "WiFi Clients"
/ppp profile
add bridge="Entire network" change-tcp-mss=yes name=Director \
    use-encryption=yes
/interface bridge port
add bridge="Entire network" interface="2 - Wired"
add bridge="Entire network" interface=WiFi
/interface l2tp-server server
set authentication=mschap2 default-profile=default enabled=yes ipsec-secret=\
    ******** max-sessions=5 use-ipsec=yes
/interface wireless access-list
add comment=Shop interface=WiFi mac-address=00:21:63:96:81:D4
add comment=Controller interface=WiFi mac-address=AC:F1:DF:01:F8:78
add comment=Olga interface=WiFi mac-address=90:FD:61:0D:80:EB vlan-mode=\
    no-tag
add comment="Uliya phone" interface=WiFi mac-address=9C:F4:8E:16:FA:E9 \
    vlan-mode=no-tag
add comment="Svetlana Alexeevna" interface=WiFi mac-address=D0:65:CA:70:C4:09 \
    vlan-mode=no-tag
add comment=Director interface=WiFi mac-address=C8:1E:E7:44:49:A0 vlan-mode=\
    no-tag
add comment="Uliya iPad" interface=WiFi mac-address=D0:4F:7E:59:EF:A0 \
    vlan-mode=no-tag
add comment=Engineers interface=WiFi mac-address=38:B1:DB:F3:B7:91 vlan-mode=\
    no-tag
add comment=RedmiPuzan interface=WiFi mac-address=AC:C1:EE:44:73:27 \
    vlan-mode=no-tag
/ip address
add address=192.168.1.1/24 comment=Office interface="Entire network" \
    network=192.168.1.0
add address=192.168.10.1/24 interface="4 - VideoOffice" network=192.168.10.0
/ip dhcp-server lease
add address=192.168.1.107 client-id=1:ac:f1:df:1:f8:78 mac-address=\
    AC:F1:DF:01:F8:78 server="WiFi Clients"
add address=192.168.1.108 always-broadcast=yes client-id=1:00:21:63:96:81:d4 \
    mac-address=00:21:63:96:81:D4 server="WiFi Clients"
add address=192.168.1.123 client-id=1:0:15:17:ae:1f:74 mac-address=\
    00:15:17:AE:1F:74 server="WiFi Clients"
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=77.88.8.7,77.88.8.3
/ip dns static
add address=192.168.1.1 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment=fasttrack \
    connection-state=established,related
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Internet
add action=netmap chain=dstnat comment="Radmin to \DE\EB\E8\FF" dst-port=\
    31106 in-interface=Internet protocol=tcp to-addresses=192.168.1.106 \
    to-ports=31106
add action=netmap chain=dstnat comment="\C1\E5\E3\F3\F8\EA\E8" dst-port=6000 \
    in-interface=Internet protocol=tcp to-addresses=10.10.0.2 to-ports=6000
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=\
    main-l2tp generate-policy=port-strict passive=yes secret=********
/ip route
add distance=1 dst-address=10.10.0.0/24 gateway="Administr (L2TP)"
add disabled=yes distance=1 dst-address=192.168.0.0/24 gateway="Director (L2TP)"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=10.10.0.2/32,192.168.1.0/24,192.168.0.0/24 port=8387
set api-ssl disabled=yes
/ppp secret
add name=Director password="************" profile=Director service=l2tp
add local-address=192.168.254.1 name=Administr password=************ profile=\
    default-encryption remote-address=192.168.254.3 service=l2tp
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system identity
set name=Office
/system leds
set 0 interface=WiFi
/system routerboard settings
set init-delay=0s
/tool mac-server
set [ find default=yes ] disabled=yes
add interface="Entire network"
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface="Entire network"

Маршрутизатор "Б":

Код: Выделить всё

# jul/03/2017 19:01:38 by RouterOS 6.39.2
# software id = 9XK4-HD1Y
#
/interface bridge
add admin-mac=6C:3B:6B:66:C2:BF auto-mac=no fast-forward=no name=\
    "Entire home network"
add name=OfficeBridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=6C:3B:6B:66:C2:BE name=\
    "1 - Sibtelecom"
set [ find default-name=ether5 ] mac-address=6C:3B:6B:66:C2:C2 name=\
    "5 - Server"
set [ find default-name=ether2 ] mac-address=6C:3B:6B:66:C2:BF name=\
    "ether2-master port"
set [ find default-name=ether3 ] disabled=yes mac-address=6C:3B:6B:66:C2:C0 \
    master-port="ether2-master port"
set [ find default-name=ether4 ] disabled=yes mac-address=6C:3B:6B:66:C2:C1 \
    master-port="ether2-master port"
/interface pppoe-client
add add-default-route=yes disabled=no interface="1 - Sibtelecom" \
    keepalive-timeout=60 name=Internet password=******** user=**********
/interface l2tp-server
add name="Administr (L2TP)" user=Administr
/ip neighbor discovery
set "1 - Sibtelecom" discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
    ****************** wpa2-pre-shared-key=******************
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des
/ip pool
add name="Home net pool" ranges=192.168.0.200-192.168.0.254
/ip dhcp-server
add address-pool="Home net pool" authoritative=after-2sec-delay disabled=no \
    interface="Entire home network" name="DCHP - Home net"
/ppp profile
add bridge=OfficeBridge change-tcp-mss=yes name=Office use-encryption=yes
/interface l2tp-client
add allow=mschap2 connect-to=95.186.23.202 disabled=no ipsec-secret=******** \
    name="Office (L2TP)" password="************" profile=Office use-ipsec=\
    yes user=Director
/interface bridge port
add bridge="Entire home network" interface="ether2-master port"
add bridge=OfficeBridge interface="5 - Server"
/interface l2tp-server server
set authentication=mschap2 default-profile=default enabled=yes ipsec-secret=\
    ******** use-ipsec=yes
/interface wireless access-list
add comment="Sony Xperia ion" mac-address=20:54:76:70:1C:FF vlan-mode=no-tag
add comment=RedmiPuzan mac-address=AC:C1:EE:44:73:27 vlan-mode=no-tag
add mac-address=64:27:37:26:F7:6F
/ip address
add address=192.168.0.1/24 interface="Entire home network" network=\
    192.168.0.0
add address=192.168.1.2/24 interface=OfficeBridge network=192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=77.88.8.88,77.88.8.2
/ip dns static
add address=10.0.0.1 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Internet
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=\
    main-l2tp generate-policy=port-strict passive=yes secret=********
/ip route
add distance=1 dst-address=10.10.0.0/24 gateway="Administr (L2TP)"
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=10.10.0.2/32,192.168.0.0/24,192.168.1.0/24 port=8387
set api-ssl disabled=yes
/ip smb
set allow-guests=no
/ip upnp interfaces
add interface="Entire home network" type=internal
add interface=Internet type=external
/ppp secret
add local-address=192.168.253.1 name=Administr password=************ profile=\
    default-encryption remote-address=192.168.253.2 service=l2tp
/system clock
set time-zone-name=Asia/Irkutsk
/system identity
set name=Director
/system ntp client
set enabled=yes primary-ntp=82.209.243.241 secondary-ntp=91.148.192.49
/system routerboard settings
set init-delay=0s
/tool mac-server
set [ find default=yes ] disabled=yes
add disabled=yes interface="Entire home network"
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add disabled=yes interface="Entire home network"


Virtuoso
Сообщения: 4
Зарегистрирован: 01 июл 2017, 10:06

09 июл 2017, 10:19

Я так на вас надеялся)


Ответить