В наличии:
локальная сеть на свиче: 10.54.11.0/24
3 микротика, 2 из которых будут шлюзами в двух удаленных офисах, а третий "эмулятор интернет".
Сбросил настройки рутеров, через Quick set прописал настройки:
WAN: RTR1(A.A.A.1/30 gw A.A.A.2), RTR2(B.B.B.1/30 gw B.B.B.2)
LAN: RTR1(10.54.11.78/24), RTR1(10.54.12.78/24)
включил Bridge LAN ports, NAT
рутеры "соединил" через третий рутер, со сброшенными настройками, на котором просто сконфигурены 3 LAN порта:
для доступа из локалки: 10.54.11.79/24
для RTR1(A.A.A.2/30)
для RTR2(B.B.B.2/30)
WAN IP пингуются в обе стороны, с RTR1 локальная сеть(10.54.11.0/24) пингуется.
далее поднимаю GRE:
RTR1: Remote address: B.B.B.1
RTR2: Remote address: A.A.A.1
прописываю адреса тунельных интерфейсов:
RTR1: 192.168.2.1/30 int GRE
RTR1: 192.168.2.2/30 int GRE
Проверяю пинг туннельных интерфейсов, бегают в обе стороны.
Далее прописываю статические маршруты в LAN сети:
RTR1: Dst Addr: 10.54.12.0/24 gw 192.168.2.2
RTR2: Dst Addr: 10.54.11.0/24 gw 192.168.2.1
Пробую с RTR2 пингануть любой адрес из локалки(в данном случае: 10.54.11.3) результат фигушки: timeout
При этом:
Torch RTR2 GRE tun: src 10.54.11.3 dst 192.168.2.2
Torch RTR1 GRE tun: src 192.168.2.2 dst 10.54.11.3
Torch RTR1 Bridge: src 10.54.11.3 dst 192.168.2.2
Почему лыжи не едут? или вариант два? голову уже сломал...
GRE tunnel между рутерами, не ходит пинг в локальную сеть
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Начнём с банальных моментов:
1) не использовать QuickSetup, если Вы делаете уже связи
между офисами, надо настраивать роутер руками, задать адрес,
создать бридж и ряд мелочей - надо делать уже только руками.
2) Пинговать и тестировать лучше не с роутера(ов), а с компьютера(ов),
подключенных к этим роутерам (каждый комп к своему роутеру).
Так более правильно в ряде аспектах.
3) Чтобы маршрутизация была(работала), надо чтобы пакеты шли не только куда-то
в одну сторону, но и в другую, то есть роутер А должен знать где у него роутер В и С,
а другие также должны знать друг о друге (это общий совет).
И тут же, на компьютерах должен быть установлен маршрут по-умолчанию - IP адрес локальный
ближайщего микротика. Компьютеры не знают о других узлах, установив шлюз
по-умолчанию, любой пакет добежит до роутера, а там, если сам роутер знает где кто находиться
(о чём я говорил в пункте 2) то и связь уже будет.
Ну и как дополнение: команда трасерт с компа и вперёд, смотреть куда идём, а куда не доходим,
думаем, рисуем и исправляем ошибки.
1) не использовать QuickSetup, если Вы делаете уже связи
между офисами, надо настраивать роутер руками, задать адрес,
создать бридж и ряд мелочей - надо делать уже только руками.
2) Пинговать и тестировать лучше не с роутера(ов), а с компьютера(ов),
подключенных к этим роутерам (каждый комп к своему роутеру).
Так более правильно в ряде аспектах.
3) Чтобы маршрутизация была(работала), надо чтобы пакеты шли не только куда-то
в одну сторону, но и в другую, то есть роутер А должен знать где у него роутер В и С,
а другие также должны знать друг о друге (это общий совет).
И тут же, на компьютерах должен быть установлен маршрут по-умолчанию - IP адрес локальный
ближайщего микротика. Компьютеры не знают о других узлах, установив шлюз
по-умолчанию, любой пакет добежит до роутера, а там, если сам роутер знает где кто находиться
(о чём я говорил в пункте 2) то и связь уже будет.
Ну и как дополнение: команда трасерт с компа и вперёд, смотреть куда идём, а куда не доходим,
думаем, рисуем и исправляем ошибки.
-
- Сообщения: 1
- Зарегистрирован: 04 авг 2017, 07:20
Vlad-2 писал(а):Начнём с банальных моментов:
...skipped...
За 3 дня перепробовал все банальные моменты, поверьте.
Кстати локальные IP рутеров(.11.78 и .12.78) через туннель пингуются.
А вот то что улетает уже в локальную сеть с рутера, никак нет.
RTR1
1) знает где 10.54.11.0/24, пингуются все адреса
2) LAN IP RTR1 пингуется с RTR2
НО, когда я с RTR2 пингую любой адрес из сети 10.54.11.0/24(кроме LAN IP RTR1), пакеты пропадают "в никуда".
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Можете на бумажке от руки или в Паинте схему набрасать.
Куда не идёт?
Где вывод команды трасерт?
Ещё раз советую, надо с компа офиса А запустить трассировку до компьютера в офисе В!
В трассировке Вы увидите или весь маршрут, или если где-то пакет "застрянет",
то застревание будет как раз на том айпи(на том роутере) чей айпи и будет перед потерей пакетов.
(Шлюз на компах надо поставить ОБЯЗАТЕЛЬНО!)
И проверьте маску сетей, обычно ошибаются часто. Смотрите чтобы в правилах НАТ не попадало Ваш(и) туннели и их адресация.
В туннелях пересечений по айпи-адресации, по маскам нету? С провайдером тоже надо не пересекаться!
Куда не идёт?
Где вывод команды трасерт?
Ещё раз советую, надо с компа офиса А запустить трассировку до компьютера в офисе В!
В трассировке Вы увидите или весь маршрут, или если где-то пакет "застрянет",
то застревание будет как раз на том айпи(на том роутере) чей айпи и будет перед потерей пакетов.
(Шлюз на компах надо поставить ОБЯЗАТЕЛЬНО!)
И проверьте маску сетей, обычно ошибаются часто. Смотрите чтобы в правилах НАТ не попадало Ваш(и) туннели и их адресация.
В туннелях пересечений по айпи-адресации, по маскам нету? С провайдером тоже надо не пересекаться!
-
- Сообщения: 1
- Зарегистрирован: 04 авг 2017, 07:20
Vlad-2 писал(а):Можете на бумажке от руки или в Паинте схему набрасать.
Куда не идёт?
Где вывод команды трасерт?
Ещё раз советую, надо с компа офиса А запустить трассировку до компьютера в офисе В!
В трассировке Вы увидите или весь маршрут, или если где-то пакет "застрянет",
то застревание будет как раз на том айпи(на том роутере) чей айпи и будет перед потерей пакетов.
(Шлюз на компах надо поставить ОБЯЗАТЕЛЬНО!)
И проверьте маску сетей, обычно ошибаются часто. Смотрите чтобы в правилах НАТ не попадало Ваш(и) туннели и их адресация.
В туннелях пересечений по айпи-адресации, по маскам нету? С провайдером тоже надо не пересекаться!
Да собственно все расписал и так пошагово, делал на рутерах и тут же копипастил все шаги.
Разорваться между офисами не могу, далековаты друг от друга.
Трейс с компьютеров не вариант, лишних нет, и как я уже писал, это тест стенд, который тупо подключен в офисную сеть со своим маршрутизатором.
Маски ок.
В НАТ не попадает, видно по трафику в GRE тунеле.
С провайдером даже если и захочу, не пересекусь.
Заметил вот что:
При пинге с RTR2, IP адреса находящегося за RTR1, пакет пролетает GRE туннель, долетает до RTR1, а вот далее почему-то улетает с
адресом GRE тунеля, torch на бридже RTR1 показывает пакеты с src 10.54.11.3 dst 192.168.2.2
Ясно понятно что рутер в офисной сети ничего не знает про 192.168.2.0/30.
Вот почему пакет с RTR1 улетает с IP тунеля? Чет я совсем запутался...
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Zillah писал(а):Трейс с компьютеров не вариант, лишних нет, и как я уже писал, это тест стенд, который тупо подключен в офисную сеть со своим маршрутизатором.
Это как у врача-гинеколога, девушка стесняется, не хочет раздеваться, но просит ей поставить диагноз,
и вылечить, осмотрев лишь так, поверхностно ...
Вы делаете филиальную сеть, и не можете взять комп чтобы с него сделать трассерты?
На крайний случай прямо со своего, предварительно дав ему адресацию.
Смешно, ей богу, помогите мне, я запутался, но я трассировать не хочу, компов нету, вот как-то так...
А как же проверять что сеть то "завелась"?
(возьмите хоть старые ноуты, хоть нетбуки, главное адрес и команда трасерт)
Zillah писал(а):Заметил вот что:
При пинге с RTR2, IP адреса находящегося за RTR1, пакет пролетает GRE туннель, долетает до RTR1, а вот далее почему-то улетает с
адресом GRE тунеля, torch на бридже RTR1 показывает пакеты с src 10.54.11.3 dst 192.168.2.2
Ясно понятно что рутер в офисной сети ничего не знает про 192.168.2.0/30.
Вот почему пакет с RTR1 улетает с IP тунеля? Чет я совсем запутался...
Вот Вы сказали что всё проверили, особенно с НАТом, а по Вашему описанию(И только по Вашему описанию), если пакет уже имеет адрес туннеля,
то что сделалось ? Включаем логику? Правильно, он (пакет) отНАТился от айпи адреса GRE и пытается уйти дальше.
Ещё раз проверьте правила НАТ, а лучше в правиле НАТа задайте только явный внешний интерфейс, сузив правило
в рамках (ограничив его).
-
- Сообщения: 1
- Зарегистрирован: 04 авг 2017, 07:20
Vlad-2 писал(а):Вы делаете филиальную сеть, и не можете взять комп чтобы с него сделать трассерты?
На крайний случай прямо со своего, предварительно дав ему адресацию.
Смешно, ей богу, помогите мне, я запутался, но я трассировать не хочу, компов нету, вот как-то так...
А как же проверять что сеть то "завелась"?
(возьмите хоть старые ноуты, хоть нетбуки, главное адрес и команда трасерт)Zillah писал(а):Заметил вот что:
При пинге с RTR2, IP адреса находящегося за RTR1, пакет пролетает GRE туннель, долетает до RTR1, а вот далее почему-то улетает с
адресом GRE тунеля, torch на бридже RTR1 показывает пакеты с src 10.54.11.3 dst 192.168.2.2
Ясно понятно что рутер в офисной сети ничего не знает про 192.168.2.0/30.
Вот почему пакет с RTR1 улетает с IP тунеля? Чет я совсем запутался...
Вот Вы сказали что всё проверили, особенно с НАТом, а по Вашему описанию(И только по Вашему описанию), если пакет уже имеет адрес туннеля,
то что сделалось ? Включаем логику? Правильно, он (пакет) отНАТился от айпи адреса GRE и пытается уйти дальше.
Ещё раз проверьте правила НАТ, а лучше в правиле НАТа задайте только явный внешний интерфейс, сузив правило
в рамках (ограничив его).
В том и засада, что совсем ничего нет под рукой, ноуты что поблизости только с вайфай ифейсом, эзернета нет...
Про свой комп, уже только по дороге домой догадался...
С НАТ точно все предельно просто, указан единственный Out Int. внешний интерфейс WAN.
Не понимаю я то что показывает торч, почему при просмотре тунеля(хотя и на бридже та ж оказия), у пакетов в SRC IP адрес противоположного конца тунеля?
При таком раскладе, ответ дойдет, но на 1 хоп раньше.
пример:
net1<--->RTR1 tun1 192.168.2.1/30<===>RTR 2 tun2 192.168.2.2/30<--->net2
Если я c RTR2 пингую IP который находится в net1, в туннеле бежит пакет с:
src 192.168.2.1 dst (то что пинговал)
выходит если даже и придет ответ, он останется на RTR1, до RTR2 он не дойдет.
Толи это особенность пинга, толи торч кажет что-то непонятное... сейчас уже дома... скрины не могу приложить...
Собственно вот картинка на RTR1:
Скрин
Хотя судя по скрину, ответ пришел на RTR1, но он его не шлет обратно, хотя 192.168.2.2 это другой конец тунеля, с которого был инициирован пинг...
Окончательно запутался...
-
- Сообщения: 1
- Зарегистрирован: 04 авг 2017, 07:20
Так, поразмышлял чутка... при такой схеме:
net1(10.54.11.0/24)<--->RTR1(tun1 192.168.2.1/30)<===>RTR2(tun2 192.168.2.2/30)<--->net2(неважно)
если я отправляю пинг с RTR2 на адрес: 10.54.11.3, в src пакета подставляется "ближайший" адрес т.е. 192.168.2.2 (адрес тунеля),
потом все это инкапсулируется в GRE [src 192.168.2.2 dst 192.168.2.1] (правильно я понимаю?)
прилетая до RTR1 192.168.2.1 пакет разворачивается в: [src 192.168.2.2 dst 10.54.11.3]
потом прилетает ответ [src 10.54.11.3 dst 192.168.2.2] и вот тут RTR1 почему-то не знает куда это пихнуть, хотя 192.168.2.2 это в прямой видимости по идее...
net1(10.54.11.0/24)<--->RTR1(tun1 192.168.2.1/30)<===>RTR2(tun2 192.168.2.2/30)<--->net2(неважно)
если я отправляю пинг с RTR2 на адрес: 10.54.11.3, в src пакета подставляется "ближайший" адрес т.е. 192.168.2.2 (адрес тунеля),
потом все это инкапсулируется в GRE [src 192.168.2.2 dst 192.168.2.1] (правильно я понимаю?)
прилетая до RTR1 192.168.2.1 пакет разворачивается в: [src 192.168.2.2 dst 10.54.11.3]
потом прилетает ответ [src 10.54.11.3 dst 192.168.2.2] и вот тут RTR1 почему-то не знает куда это пихнуть, хотя 192.168.2.2 это в прямой видимости по идее...
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Zillah писал(а):Так, поразмышлял чутка... при такой схеме:
net1(10.54.11.0/24)<--->RTR1(tun1 192.168.2.1/30)<===>RTR2(tun2 192.168.2.2/30)<--->net2(неважно)
если я отправляю пинг с RTR2 на адрес: 10.54.11.3, в src пакета подставляется "ближайший" адрес т.е. 192.168.2.2 (адрес тунеля),
потом все это инкапсулируется в GRE [src 192.168.2.2 dst 192.168.2.1] (правильно я понимаю?)
прилетая до RTR1 192.168.2.1 пакет разворачивается в: [src 192.168.2.2 dst 10.54.11.3]
потом прилетает ответ [src 10.54.11.3 dst 192.168.2.2] и вот тут RTR1 почему-то не знает куда это пихнуть, хотя 192.168.2.2 это в прямой видимости по идее...
Последний совет дам Вам (ибо Вам смотрю нравиться больше гадать и наугад всё делать):
уберите с GRE-интерфейсов адреса (именно с GRE-интерфейсов). Они там пока Вам не нужны (микротик и так знает что такое GRE).
А в таблице маршрутизации на роутере1 указываете что сетка офиса-роутера2 доступа через такой то GRE и всё.
И на другом роутере также всё сделать надо.
Заодно и НАТ на GRE не будет срабатывать без адреса (пологаю что там он срабатывает всё же).
И торчем надо смотреть на роутере2 как с компьюера офиса1 посылается пакет, проходя через роутер1 и попадая на роутер2 = вот Вы
его и должны увидеть(увидеть адрес пакета с компа) Поэтому комп(ы) и нужны.
-
- Сообщения: 1
- Зарегистрирован: 04 авг 2017, 07:20
Vlad-2 писал(а):Последний совет дам Вам (ибо Вам смотрю нравиться больше гадать и наугад всё делать):
Да вроде как раз не хочется "наугад" делать, по какому-то гайду, без объяснений, не люблю магию...
Хочу понять что происходит.
Vlad-2 писал(а):уберите с GRE-интерфейсов адреса (именно с GRE-интерфейсов). Они там пока Вам не нужны (микротик и так знает что такое GRE).
А в таблице маршрутизации на роутере1 указываете что сетка офиса-роутера2 доступа через такой то GRE и всё.
Кстати так и было изначально, но кошковод мне написал на это:
У тебя вместо айпишнека в гатевее указан интерфейс, а это работает только для PPP интерфейсов. Надо через айпишнек сделать.
Убрал туннельные адреса, все что изменилось: вместо тунельного IP у пакетов стал WAN IP.(при этом NAT не работает, написал ниже)
Vlad-2 писал(а):Заодно и НАТ на GRE не будет срабатывать без адреса (пологаю что там он срабатывает всё же).
Да ну как это:
Код: Выделить всё
/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=wan log=no log-prefix=""
может срабатывать на пакеты которые улетают в туннель по известному маршруту?
поставил Log=yes на это правило NAT, как и положено - ничего там не появилось...
Vlad-2 писал(а):И торчем надо смотреть на роутере2 как с компьюера офиса1 посылается пакет, проходя через роутер1 и попадая на роутер2 = вот Вы
его и должны увидеть(увидеть адрес пакета с компа) Поэтому комп(ы) и нужны.
Наскреб "компы", подключил, вуаля, все работает.
Но вопрос как был так и остался: чего там особого происходит в микротике, когда пинг инициируется с самого рутера?
Кстати, заметил еще одну особенность, если на компах интерфейсы настроены статикой, то все ок.
А вот если поставить получение от DHCP, не пингуют друг друга, точнее даже:
1) запускаю пинг с компа1 на комп2 - пинга нет (timeout)
2) запускаю пинг шлюза перед компом2 - пинга нет (timeout)
3) запускаю одновременно пинги: комп1-комп2, комп2-комп1 - вуаля, все начинает ходить...