GRE tunnel между рутерами, не ходит пинг в локальную сеть

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Zillah
Сообщения: 1
Зарегистрирован: 04 авг 2017, 07:20

В наличии:
локальная сеть на свиче: 10.54.11.0/24
3 микротика, 2 из которых будут шлюзами в двух удаленных офисах, а третий "эмулятор интернет".

Сбросил настройки рутеров, через Quick set прописал настройки:
WAN: RTR1(A.A.A.1/30 gw A.A.A.2), RTR2(B.B.B.1/30 gw B.B.B.2)
LAN: RTR1(10.54.11.78/24), RTR1(10.54.12.78/24)
включил Bridge LAN ports, NAT

рутеры "соединил" через третий рутер, со сброшенными настройками, на котором просто сконфигурены 3 LAN порта:
для доступа из локалки: 10.54.11.79/24
для RTR1(A.A.A.2/30)
для RTR2(B.B.B.2/30)

WAN IP пингуются в обе стороны, с RTR1 локальная сеть(10.54.11.0/24) пингуется.

далее поднимаю GRE:
RTR1: Remote address: B.B.B.1
RTR2: Remote address: A.A.A.1

прописываю адреса тунельных интерфейсов:
RTR1: 192.168.2.1/30 int GRE
RTR1: 192.168.2.2/30 int GRE

Проверяю пинг туннельных интерфейсов, бегают в обе стороны.

Далее прописываю статические маршруты в LAN сети:
RTR1: Dst Addr: 10.54.12.0/24 gw 192.168.2.2
RTR2: Dst Addr: 10.54.11.0/24 gw 192.168.2.1

Пробую с RTR2 пингануть любой адрес из локалки(в данном случае: 10.54.11.3) результат фигушки: timeout :-(
При этом:
Torch RTR2 GRE tun: src 10.54.11.3 dst 192.168.2.2
Torch RTR1 GRE tun: src 192.168.2.2 dst 10.54.11.3
Torch RTR1 Bridge: src 10.54.11.3 dst 192.168.2.2

Почему лыжи не едут? :du_ma_et: или вариант два? голову уже сломал... :cry_ing:


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Начнём с банальных моментов:

1) не использовать QuickSetup, если Вы делаете уже связи
между офисами, надо настраивать роутер руками, задать адрес,
создать бридж и ряд мелочей - надо делать уже только руками.

2) Пинговать и тестировать лучше не с роутера(ов), а с компьютера(ов),
подключенных к этим роутерам (каждый комп к своему роутеру).
Так более правильно в ряде аспектах.

3) Чтобы маршрутизация была(работала), надо чтобы пакеты шли не только куда-то
в одну сторону, но и в другую, то есть роутер А должен знать где у него роутер В и С,
а другие также должны знать друг о друге (это общий совет).
И тут же, на компьютерах должен быть установлен маршрут по-умолчанию - IP адрес локальный
ближайщего микротика. Компьютеры не знают о других узлах, установив шлюз
по-умолчанию, любой пакет добежит до роутера, а там, если сам роутер знает где кто находиться
(о чём я говорил в пункте 2) то и связь уже будет.

Ну и как дополнение: команда трасерт с компа и вперёд, смотреть куда идём, а куда не доходим,
думаем, рисуем и исправляем ошибки.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Zillah
Сообщения: 1
Зарегистрирован: 04 авг 2017, 07:20

Vlad-2 писал(а):Начнём с банальных моментов:
...skipped...

За 3 дня перепробовал все банальные моменты, поверьте. :nez-nayu:

Кстати локальные IP рутеров(.11.78 и .12.78) через туннель пингуются.
А вот то что улетает уже в локальную сеть с рутера, никак нет.

RTR1
1) знает где 10.54.11.0/24, пингуются все адреса
2) LAN IP RTR1 пингуется с RTR2
НО, когда я с RTR2 пингую любой адрес из сети 10.54.11.0/24(кроме LAN IP RTR1), пакеты пропадают "в никуда". :nez-nayu:


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Можете на бумажке от руки или в Паинте схему набрасать.

Куда не идёт?
Где вывод команды трасерт?
Ещё раз советую, надо с компа офиса А запустить трассировку до компьютера в офисе В!
В трассировке Вы увидите или весь маршрут, или если где-то пакет "застрянет",
то застревание будет как раз на том айпи(на том роутере) чей айпи и будет перед потерей пакетов.
(Шлюз на компах надо поставить ОБЯЗАТЕЛЬНО!)

И проверьте маску сетей, обычно ошибаются часто. Смотрите чтобы в правилах НАТ не попадало Ваш(и) туннели и их адресация.
В туннелях пересечений по айпи-адресации, по маскам нету? С провайдером тоже надо не пересекаться!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Zillah
Сообщения: 1
Зарегистрирован: 04 авг 2017, 07:20

Vlad-2 писал(а):Можете на бумажке от руки или в Паинте схему набрасать.

Куда не идёт?
Где вывод команды трасерт?
Ещё раз советую, надо с компа офиса А запустить трассировку до компьютера в офисе В!
В трассировке Вы увидите или весь маршрут, или если где-то пакет "застрянет",
то застревание будет как раз на том айпи(на том роутере) чей айпи и будет перед потерей пакетов.
(Шлюз на компах надо поставить ОБЯЗАТЕЛЬНО!)

И проверьте маску сетей, обычно ошибаются часто. Смотрите чтобы в правилах НАТ не попадало Ваш(и) туннели и их адресация.
В туннелях пересечений по айпи-адресации, по маскам нету? С провайдером тоже надо не пересекаться!


Да собственно все расписал и так пошагово, делал на рутерах и тут же копипастил все шаги.
Разорваться между офисами не могу, далековаты друг от друга.
Трейс с компьютеров не вариант, лишних нет, и как я уже писал, это тест стенд, который тупо подключен в офисную сеть со своим маршрутизатором.
Маски ок.
В НАТ не попадает, видно по трафику в GRE тунеле.
С провайдером даже если и захочу, не пересекусь.

Заметил вот что:
При пинге с RTR2, IP адреса находящегося за RTR1, пакет пролетает GRE туннель, долетает до RTR1, а вот далее почему-то улетает с
адресом GRE тунеля, torch на бридже RTR1 показывает пакеты с src 10.54.11.3 dst 192.168.2.2 :sh_ok:
Ясно понятно что рутер в офисной сети ничего не знает про 192.168.2.0/30.
Вот почему пакет с RTR1 улетает с IP тунеля? Чет я совсем запутался...


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Zillah писал(а):Трейс с компьютеров не вариант, лишних нет, и как я уже писал, это тест стенд, который тупо подключен в офисную сеть со своим маршрутизатором.

Это как у врача-гинеколога, девушка стесняется, не хочет раздеваться, но просит ей поставить диагноз,
и вылечить, осмотрев лишь так, поверхностно ... ;;-)))

Вы делаете филиальную сеть, и не можете взять комп чтобы с него сделать трассерты?
На крайний случай прямо со своего, предварительно дав ему адресацию.
Смешно, ей богу, помогите мне, я запутался, но я трассировать не хочу, компов нету, вот как-то так...
А как же проверять что сеть то "завелась"?
(возьмите хоть старые ноуты, хоть нетбуки, главное адрес и команда трасерт)
Zillah писал(а):Заметил вот что:
При пинге с RTR2, IP адреса находящегося за RTR1, пакет пролетает GRE туннель, долетает до RTR1, а вот далее почему-то улетает с
адресом GRE тунеля, torch на бридже RTR1 показывает пакеты с src 10.54.11.3 dst 192.168.2.2 :sh_ok:
Ясно понятно что рутер в офисной сети ничего не знает про 192.168.2.0/30.
Вот почему пакет с RTR1 улетает с IP тунеля? Чет я совсем запутался...

Вот Вы сказали что всё проверили, особенно с НАТом, а по Вашему описанию(И только по Вашему описанию), если пакет уже имеет адрес туннеля,
то что сделалось ? Включаем логику? Правильно, он (пакет) отНАТился от айпи адреса GRE и пытается уйти дальше.
Ещё раз проверьте правила НАТ, а лучше в правиле НАТа задайте только явный внешний интерфейс, сузив правило
в рамках (ограничив его).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Zillah
Сообщения: 1
Зарегистрирован: 04 авг 2017, 07:20

Vlad-2 писал(а):Вы делаете филиальную сеть, и не можете взять комп чтобы с него сделать трассерты?
На крайний случай прямо со своего, предварительно дав ему адресацию.
Смешно, ей богу, помогите мне, я запутался, но я трассировать не хочу, компов нету, вот как-то так...
А как же проверять что сеть то "завелась"?
(возьмите хоть старые ноуты, хоть нетбуки, главное адрес и команда трасерт)
Zillah писал(а):Заметил вот что:
При пинге с RTR2, IP адреса находящегося за RTR1, пакет пролетает GRE туннель, долетает до RTR1, а вот далее почему-то улетает с
адресом GRE тунеля, torch на бридже RTR1 показывает пакеты с src 10.54.11.3 dst 192.168.2.2 :sh_ok:
Ясно понятно что рутер в офисной сети ничего не знает про 192.168.2.0/30.
Вот почему пакет с RTR1 улетает с IP тунеля? Чет я совсем запутался...

Вот Вы сказали что всё проверили, особенно с НАТом, а по Вашему описанию(И только по Вашему описанию), если пакет уже имеет адрес туннеля,
то что сделалось ? Включаем логику? Правильно, он (пакет) отНАТился от айпи адреса GRE и пытается уйти дальше.
Ещё раз проверьте правила НАТ, а лучше в правиле НАТа задайте только явный внешний интерфейс, сузив правило
в рамках (ограничив его).

В том и засада, что совсем ничего нет под рукой, ноуты что поблизости только с вайфай ифейсом, эзернета нет...
Про свой комп, уже только по дороге домой догадался... :-(
С НАТ точно все предельно просто, указан единственный Out Int. внешний интерфейс WAN.

Не понимаю я то что показывает торч, почему при просмотре тунеля(хотя и на бридже та ж оказия), у пакетов в SRC IP адрес противоположного конца тунеля?
При таком раскладе, ответ дойдет, но на 1 хоп раньше.
пример:
net1<--->RTR1 tun1 192.168.2.1/30<===>RTR 2 tun2 192.168.2.2/30<--->net2
Если я c RTR2 пингую IP который находится в net1, в туннеле бежит пакет с:
src 192.168.2.1 dst (то что пинговал)
выходит если даже и придет ответ, он останется на RTR1, до RTR2 он не дойдет.
Толи это особенность пинга, толи торч кажет что-то непонятное... сейчас уже дома... скрины не могу приложить...

Собственно вот картинка на RTR1:
Скрин
Хотя судя по скрину, ответ пришел на RTR1, но он его не шлет обратно, хотя 192.168.2.2 это другой конец тунеля, с которого был инициирован пинг...
Окончательно запутался...


Zillah
Сообщения: 1
Зарегистрирован: 04 авг 2017, 07:20

Так, поразмышлял чутка... при такой схеме:

net1(10.54.11.0/24)<--->RTR1(tun1 192.168.2.1/30)<===>RTR2(tun2 192.168.2.2/30)<--->net2(неважно)

если я отправляю пинг с RTR2 на адрес: 10.54.11.3, в src пакета подставляется "ближайший" адрес т.е. 192.168.2.2 (адрес тунеля),
потом все это инкапсулируется в GRE [src 192.168.2.2 dst 192.168.2.1] (правильно я понимаю?)
прилетая до RTR1 192.168.2.1 пакет разворачивается в: [src 192.168.2.2 dst 10.54.11.3]
потом прилетает ответ [src 10.54.11.3 dst 192.168.2.2] и вот тут RTR1 почему-то не знает куда это пихнуть, хотя 192.168.2.2 это в прямой видимости по идее...


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Zillah писал(а):Так, поразмышлял чутка... при такой схеме:
net1(10.54.11.0/24)<--->RTR1(tun1 192.168.2.1/30)<===>RTR2(tun2 192.168.2.2/30)<--->net2(неважно)
если я отправляю пинг с RTR2 на адрес: 10.54.11.3, в src пакета подставляется "ближайший" адрес т.е. 192.168.2.2 (адрес тунеля),
потом все это инкапсулируется в GRE [src 192.168.2.2 dst 192.168.2.1] (правильно я понимаю?)
прилетая до RTR1 192.168.2.1 пакет разворачивается в: [src 192.168.2.2 dst 10.54.11.3]
потом прилетает ответ [src 10.54.11.3 dst 192.168.2.2] и вот тут RTR1 почему-то не знает куда это пихнуть, хотя 192.168.2.2 это в прямой видимости по идее...

Последний совет дам Вам (ибо Вам смотрю нравиться больше гадать и наугад всё делать):
уберите с GRE-интерфейсов адреса (именно с GRE-интерфейсов). Они там пока Вам не нужны (микротик и так знает что такое GRE).
А в таблице маршрутизации на роутере1 указываете что сетка офиса-роутера2 доступа через такой то GRE и всё.
И на другом роутере также всё сделать надо.
Заодно и НАТ на GRE не будет срабатывать без адреса (пологаю что там он срабатывает всё же).

И торчем надо смотреть на роутере2 как с компьюера офиса1 посылается пакет, проходя через роутер1 и попадая на роутер2 = вот Вы
его и должны увидеть(увидеть адрес пакета с компа) Поэтому комп(ы) и нужны.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Zillah
Сообщения: 1
Зарегистрирован: 04 авг 2017, 07:20

Vlad-2 писал(а):Последний совет дам Вам (ибо Вам смотрю нравиться больше гадать и наугад всё делать):

Да вроде как раз не хочется "наугад" делать, по какому-то гайду, без объяснений, не люблю магию...
Хочу понять что происходит.

Vlad-2 писал(а):уберите с GRE-интерфейсов адреса (именно с GRE-интерфейсов). Они там пока Вам не нужны (микротик и так знает что такое GRE).
А в таблице маршрутизации на роутере1 указываете что сетка офиса-роутера2 доступа через такой то GRE и всё.

Кстати так и было изначально, но кошковод мне написал на это:
У тебя вместо айпишнека в гатевее указан интерфейс, а это работает только для PPP интерфейсов. Надо через айпишнек сделать.
Убрал туннельные адреса, все что изменилось: вместо тунельного IP у пакетов стал WAN IP.(при этом NAT не работает, написал ниже)

Vlad-2 писал(а):Заодно и НАТ на GRE не будет срабатывать без адреса (пологаю что там он срабатывает всё же).

Да ну как это:

Код: Выделить всё

/ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic
 0    chain=srcnat action=masquerade out-interface=wan log=no log-prefix=""

может срабатывать на пакеты которые улетают в туннель по известному маршруту?
поставил Log=yes на это правило NAT, как и положено - ничего там не появилось...

Vlad-2 писал(а):И торчем надо смотреть на роутере2 как с компьюера офиса1 посылается пакет, проходя через роутер1 и попадая на роутер2 = вот Вы
его и должны увидеть(увидеть адрес пакета с компа) Поэтому комп(ы) и нужны.


Наскреб "компы", подключил, вуаля, все работает.

Но вопрос как был так и остался: чего там особого происходит в микротике, когда пинг инициируется с самого рутера? :sh_ok:

Кстати, заметил еще одну особенность, если на компах интерфейсы настроены статикой, то все ок.
А вот если поставить получение от DHCP, не пингуют друг друга, точнее даже:
1) запускаю пинг с компа1 на комп2 - пинга нет (timeout)
2) запускаю пинг шлюза перед компом2 - пинга нет (timeout)
3) запускаю одновременно пинги: комп1-комп2, комп2-комп1 - вуаля, все начинает ходить...


Ответить