Настройка маршрутизации с костылями

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
igorlv
Сообщения: 13
Зарегистрирован: 09 авг 2017, 14:41

Здравствуйте!
Прошу совет как обойти проблему

Есть у меня офис в котором есть роутер Микротик (192.168.0.254)
В офисе есть терминальный сервер 192.168.0.1
На Микротике настроен OpenVPN сервер.
Клиенты которые подключаются через ВПН получают адреса 192.168.0.1ХХ (постоянный)
У клиентов все хорошо. 1С работает, принтера удаленные печатают.

Но вот появилась задача. Сервер 192.168.0.1 1С должен автоматически у одного клиента с компютера забирать один файл.
Тут оказалось что компютер из внутренней сети не может доступиться к удаленному клиенту.
Клиенты могут все пинговать, подключаться, заходить, а сервер и внутрення сеть даже пинговать клиента не могут.
И оно не удевительно ведь клиент (192.168.0.1ХХ) не находится внутри сети.

Вопрос как мне изловчиться и заставить сервер видеть клиента с определенным 192.168.0.1ХХ (адрес не меняется)
Пробовал метить все пакеты от сервера к клиенту и пихать в интерфейс этого подключившегося клиента, но пока дела плохо.
Переделывать ВПН не хочу.... надеюсь обойтись костылями

Посоветуйте как можно это сделать?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Или на бридже (интерфейсе, если он не входит ни в какой бридж) попробуйте выставить опцию "arp" в положение proxy-arp, это в теории. Или же просто выдайте клиенту адрес отличный от лок. адресов, пропишите у клиента маршруты и все заработает.


igorlv
Сообщения: 13
Зарегистрирован: 09 авг 2017, 14:41

KARaS'b писал(а): 20 май 2020, 12:37 Или на бридже (интерфейсе, если он не входит ни в какой бридж) попробуйте выставить опцию "arp" в положение proxy-arp, это в теории. Или же просто выдайте клиенту адрес отличный от лок. адресов, пропишите у клиента маршруты и все заработает.
Спасибо за совет.
Пробовал я и в бридж совать и забитать... не помогло
Пробовал где только видел это АРП вставлять....глухо.
Да и переделывать 20 клиентов не охота через одну проблемку,
как бы уже 2 года работают и все всех устраивало.
Вот и думаю как бы косылик волшебный применить


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Ну либо есть еще вариант, прям как по заказу для вас, самый что ни на ест костыльный. В 1С забиваете адрес (как я понял 20 адресов) для получения этого файлика и адреса эти должны быть отличными от локальных, на микротике в нате делаете переадресацию с этих несуществующих! (это важно) адресов на нужны адреса клиентов и натите все что адресовано таким клиентам, как итог, 1с обращается к непонятному адресу\адресам, микротик видит что с таких адресов нужно селать переключение на определенные адрес\адрса и дальше еще и натит эти пакеты, как итог клиенту прилетает пакет якобы от микротика и клиент без проблем ему отвечает а микротик ответ отправляет обратно серверу 1с и у вас все работает.


igorlv
Сообщения: 13
Зарегистрирован: 09 авг 2017, 14:41

KARaS'b писал(а): 20 май 2020, 12:53 Ну либо есть еще вариант, прям как по заказу для вас, самый что ни на ест костыльный. В 1С забиваете адрес (как я понял 20 адресов) для получения этого файлика и адреса эти должны быть отличными от локальных, на микротике в нате делаете переадресацию с этих несуществующих! (это важно) адресов на нужны адреса клиентов и натите все что адресовано таким клиентам, как итог, 1с обращается к непонятному адресу\адресам, микротик видит что с таких адресов нужно селать переключение на определенные адрес\адрса и дальше еще и натит эти пакеты, как итог клиенту прилетает пакет якобы от микротика и клиент без проблем ему отвечает а микротик ответ отправляет обратно серверу 1с и у вас все работает.
Что то не очень понятно да и как то заплутано.
Как я понимаю проблема в том что все устройства в сети (ну и сервер) понимают (из адреса) что 192.168.0.1хх это локальная сеть, а значит шлюз им не нужен.
Значит есть первая задача сделать маршрут на сервере … мол если 192.168.0.1хх то иди на 192.168.0.254. Что я и сделал. Теперь если я делаю трасерт то обращение идет к роутеру.
Вторая задача надо на роутере как-то пакеты от 192.168.0.1 идущие на 192.168.0.1хх отловить и направить в интерфейс ОпнВПН. Мне удалость их пометить (я вижу по логах) Ясоздал маршрут в котором указал что все помеченные пакеты направить на ОпнВПН клиента... но или я что то не так делаю или идея не верна в корне.

Как думаете так можно что-то сдклать?

может есть еще идеи?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Вы немного плаваете в сетях, потому что все не так. Ваш маршрут на сервере ничем вам не поможет, потому что маршрут до лок. сети будет с метрикой ниже вашего маршрута и серверу будет наплевать на ваш маршрут он продолжит опрашивать адреса сети широковещательными запросами минуя маршутизатор. Никак отловить такое вы не сможете, потому что это l2 трафик сети и маршрутизатор им никак не может управлять, он его зачастую даже не видит. Именно поэтому вам надо сделать так как я описал выше - серверу, а конкретно 1С говорите что нужный ресурс находится например по адресу 192.168.100.100 (такого адреса нигде не должно быть в вашей сети, это обязательное условие). Сервер обратится к такому адресу обязательно через микротик, а вы на микротике делаете переключение уже нужный существующий адрес клиента например 192.168.0.101 и последующий маскарад, что бы клиент не попытался ответить напрямую серверу, это тоже важно, сервер такой ответ не примет, он же обращался к другому хосту.

Код: Выделить всё

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=192.168.100.100 to-addresses=192.168.0.101
add action=masquerade chain=srcnat dst-address=192.168.0.101 src-address=192.168.0.1


igorlv
Сообщения: 13
Зарегистрирован: 09 авг 2017, 14:41

Спасибо за совет. Теперь понял Вашу идею. Поробую так сделать


Ответить