Уважаемые повелители Микротиков! Прошу помидорами не забрасывать, т.к. специалист из меня пока так себе...
Краткую суть проблемы начну описывать издалека.
В нашем здании располагаются две компании, родственные по профилю. Изначально админы запихали всех сотрудников в сеть 10.10.20.X, а для разделения у сотрудников компании А стоит шлюз 10.10.20.1, у сотрудников компании Р - шлюз 10.10.20.32, при этом используется единый файл-сервер с адресом 10.10.20.5
После Нового года, в качестве усовершенствования, роль шлюза 10.10.20.1, который выполняла Win7, была переделана на Mikrotik RB750Gr3 (спасибо vqd за подсказки, которые помогли убедить начальника решиться на этот шаг). Также на этом микротике сделаны дополнительные спец.настройки для доступа сторонней обслуживающей организации. Шлюз 10.10.20.32 поднят тоже на микротике, но к нему доступа у меня нет.
Сейчас назрела пора, организовать канал связи с нашим филиалом компании А в другом городе. Для этих целей в качестве сервера решил использовать имеющийся микротик-шлюз 10.10.20.1, а в качестве второго устройства аналогичный Mikrotik RB750Gr3. (Раньше эксперименты смело мог проводить, теперь же есть проблемы с тем, что один из микротиков используется в боевом режиме)
Начитавшись различных мануалов и проведя пару месяцев в экспериментах, которые начал еще до НГ. Эксперименты остались в конфигах, т.к. в основном, когда не получалось, делал все комментариями... Изначально планировал запустить ipsec/l2tp, но в феврале поднял OpenVPN и вот тут мои знания дают такую слабину, что без помощи уже ни как...
Схему прикладываю, там у меня боевое и тестовое подключение, при этом, когда тестовое подключение, с клиентской стороны я через VPN пингую шлюз Р 10.10.20.32 и файл-сервер 10.10.20.5, но не пингую шлюз А 10.10.20.1, хотя связь идет ч/з него. Со стороны филиала я подключен к шлюзу Р 10.10.20.32, подключался к шлюзу 10.10.20.1, но пинги от меня за канал VPN не проходят. Запускал tracert, но дальше моей сетевой карты не идет.
Вчера пытался отработать боевое подключение, но закончилось только поднятием OpenVPN. Сидел на клиентской стороне, пинги в филиал не проходили.
В принципе вопрос только один, что не сделал или сделал не так, что маршрутизация не работает?
Готов ответить на любые наводящие вопросы, если хватит знаний...
Маршрутизация OpenVPN
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- VGorbatov
- Сообщения: 24
- Зарегистрирован: 15 авг 2018, 10:26
Добавил еще пару маршрутов. Теперь с микротика ДО пинги идут во все места, и с компьютера ДО тоже самое - пингую все и подключаю все что нужно.
Остался затык с тем, что не могу с компьютера Филиала пинговать компьютер ДО. С микротика Филиала пингую и микротик ДО и компьютер ДО.
Остался затык с тем, что не могу с компьютера Филиала пинговать компьютер ДО. С микротика Филиала пингую и микротик ДО и компьютер ДО.
- VGorbatov
- Сообщения: 24
- Зарегистрирован: 15 авг 2018, 10:26
Блэт-блэт-блэт
На моем компе стояла маска 23, вернул на 24 и пинги побежали...
На моем компе стояла маска 23, вернул на 24 и пинги побежали...
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Молодец, сам справился со всем !
Добрый человек, можете выложить сюда выбранные куски конфигов, поднимающие OPEN-VPN на обоих сторонах (за клиента и сервера) ?
Как сертификаты делали ?
У меня как раз Ваши RB 750Gr3 ... А может просто сдеру конфиги Ваши и выкину всё лишнее ... И без геморроя будет у меня OPEN-VPN тоннель настроенный ...
Добрый человек, можете выложить сюда выбранные куски конфигов, поднимающие OPEN-VPN на обоих сторонах (за клиента и сервера) ?
Как сертификаты делали ?
У меня как раз Ваши RB 750Gr3 ... А может просто сдеру конфиги Ваши и выкину всё лишнее ... И без геморроя будет у меня OPEN-VPN тоннель настроенный ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- VGorbatov
- Сообщения: 24
- Зарегистрирован: 15 авг 2018, 10:26
В принципе, если у вас такие же железки, то берите мои конфиги и под себя их подстройте. С поднятием канала вообще проблем нет.
Сертификаты делал по этой статье "Настройка OpenVPN сервера и клиента на Mikrotik". В гугле или в яндексе в первых трех ссылках довольно подробно расписано.
Сейчас другая полупроблемка, пока мысль сформирую и ниже напишу.
Сертификаты делал по этой статье "Настройка OpenVPN сервера и клиента на Mikrotik". В гугле или в яндексе в первых трех ссылках довольно подробно расписано.
Сейчас другая полупроблемка, пока мысль сформирую и ниже напишу.
- VGorbatov
- Сообщения: 24
- Зарегистрирован: 15 авг 2018, 10:26
Как уже писал чуть выше, у нас в здании расположены две организации. По прихоти предыдущих админов, все компьютеры имеют адреса в диапазоне сети 10.10.20.Х, но при этом у организации А основной шлюз 10.10.20.1, а у организации Р основной шлюз 10.10.20.32 (к нему доступа нет)
На стороне ДО теперь поднята сеть 10.10.45.Х. Туннель поднимал и все настройки я делал на Mikrotik с адресом 10.10.20.1, соответственно я имею доступ ко всем компьютерам, которые подключены к шлюзу 10.10.20.1
Также у нас есть три сервера, которые подключены к шлюзу 10.10.20.32, вот тут и вопрос, как к ним грамотно и правильно сделать доступ, чтобы лишних сетевых пакетов не плодить?
Я пока вижу выход такой - на этих серверах прописать маршрут route add 10.10.45.0 mask 255.255.255.0 10.10.20.1 и тогда все должно работать.
Но решил уточнить у специалистов, есть ли другие способы маршрутизации?
На стороне ДО теперь поднята сеть 10.10.45.Х. Туннель поднимал и все настройки я делал на Mikrotik с адресом 10.10.20.1, соответственно я имею доступ ко всем компьютерам, которые подключены к шлюзу 10.10.20.1
Также у нас есть три сервера, которые подключены к шлюзу 10.10.20.32, вот тут и вопрос, как к ним грамотно и правильно сделать доступ, чтобы лишних сетевых пакетов не плодить?
Я пока вижу выход такой - на этих серверах прописать маршрут route add 10.10.45.0 mask 255.255.255.0 10.10.20.1 и тогда все должно работать.
Но решил уточнить у специалистов, есть ли другие способы маршрутизации?