Не пингуется шлюз из локальной сети при активном pptp

Обсуждение оборудования и его настройки
Ответить
lsjoin
Сообщения: 7
Зарегистрирован: 10 ноя 2014, 17:25
Откуда: Russia

Доброго времени суток.
После настройки подключения к интернет провайдеру по протоколу pptp не пингуется микротик из локальной сети, как ip-адрес lan интерфейса, так и ip-адрес wan интерфейса. Настраивал по инструкции http://wiki.mikrotik.com/wiki/Policy_Base_Routing
Но если разорвать соединение pptp то принги проходят на оба интерфейса. Есть подозрение, что виной всему маршрут с маркировкой пакетов для pptp, но без него не будет работать интернет для локальной сети.
Пробовал добавлять\удалять маршруты, но либо не было пингов либо падал инет. Насколько понял с английского форума, это особенность RouterOS и она не умеет работать с Dual Access.

 "export compact"
# nov/10/2014 19:26:22 by RouterOS 6.21.1
/interface bridge
add mtu=1500 name=localnet
/interface ethernet
set [ find default-name=ether1 ] name=LAN1-Master
set [ find default-name=ether2 ] master-port=LAN1-Master name=LAN2
set [ find default-name=ether3 ] master-port=LAN1-Master name=LAN3
set [ find default-name=ether4 ] master-port=LAN1-Master name=LAN4
set [ find default-name=ether5 ] master-port=LAN1-Master name=LAN5
set [ find default-name=ether6 ] name=WAN1
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether10 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=\
no distance=indoors frequency-mode=regulatory-domain ht-guard-interval=\
long l2mtu=2290 mode=ap-bridge periodic-calibration=enabled ssid=******* \
wireless-protocol=802.11 wmm-support=enabled
/ip neighbor discovery
set WAN1 discover=no
set ether7 discover=no
set ether8 discover=no
set ether9 discover=no
set ether10 discover=no
set sfp1 discover=no
set wlan1 discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys wpa2-pre-shared-key=******
/ip pool
add name=dhcp_pool1 ranges=172.16.1.100-172.16.1.200
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=localnet lease-time=3d \
name=dhcp1
/port
set 0 name=serial0
/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 connect-to=\
10.251.1.163 default-route-distance=1 dial-on-demand=no disabled=no \
keepalive-timeout=disabled max-mru=1450 max-mtu=1450 mrru=1600 name=pptp1 \
password=****** profile=default user=******
/ip neighbor discovery
set pptp1 discover=no
/system logging action
set 2 remember=yes
set 3 src-address=0.0.0.0
/interface bridge port
add bridge=localnet interface=LAN1-Master
add bridge=localnet interface=wlan1
/ip address
add address=172.16.1.1/24 interface=LAN1-Master network=172.16.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=WAN1
/ip dhcp-server lease
/ip dhcp-server network
add address=172.16.1.0/24 dns-server=8.8.8.8,10.251.0.1 gateway=172.16.1.1
/ip dns
set allow-remote-requests=yes servers=10.251.0.1
/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" \
connection-state=invalid
add chain=input comment="Allow Established connections" connection-state=\
established
add chain=input comment="IP TV" disabled=yes protocol=igmp
add chain=input comment="Allow UDP" protocol=udp
add chain=input comment="Allow ICMP" protocol=icmp
add chain=input comment="Allow access to router from known network" \
src-address=172.16.1.0/24
add action=drop chain=input comment="Drop anything else"
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid protocol=tcp
add chain=forward comment="allow already established connections" \
connection-state=established
add chain=forward comment="allow related connections" connection-state=\
related
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \
log-prefix=DROP_ protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \
protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \
protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \
protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \
protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
udp
add chain=icmp comment="drop invalid connections" icmp-options=0:0 protocol=\
icmp
add chain=icmp comment="allow established connections" icmp-options=3:0 \
protocol=icmp
add chain=icmp comment="allow already established connections" icmp-options=\
3:1 protocol=icmp
add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="deny all other types"
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=pptp1 passthrough=\
no src-address=172.16.1.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pptp1 src-address=\
172.16.1.0/24
add action=dst-nat chain=dstnat dst-port=47587 in-interface=pptp1 protocol=\
udp to-addresses=172.16.1.193
add action=dst-nat chain=dstnat dst-port=47587 in-interface=pptp1 protocol=\
tcp to-addresses=172.16.1.193
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip route
add distance=1 gateway=pptp1 routing-mark=pptp1
/ip service
set telnet disabled=yes
set ftp address=172.16.1.0/24 disabled=yes
set www address=172.16.1.0/24 disabled=yes
set ssh address=172.16.1.0/24 disabled=yes
set www-ssl address=172.16.1.0/24 certificate=cert1_local_https disabled=no
set api disabled=yes
set winbox address=172.16.1.0/24
set api-ssl disabled=yes
/ip traffic-flow
set cache-entries=1k
/ip upnp
set allow-disable-external-interface=no enabled=yes
/lcd
set default-screen=stats-all time-interval=hour
/lcd interface
set sfp1 disabled=yes
set ether7 disabled=yes
set ether8 disabled=yes
set ether9 disabled=yes
set ether10 disabled=yes
/lcd interface pages
set 0 interfaces=LAN1-Master,WAN1,wlan1
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 disabled=yes interface=WAN1 upstream=yes
add disabled=yes interface=localnet
/snmp
set trap-community=public
/system clock manual
set time-zone=+03:00
/system logging
add topics=e-mail
add topics=firewall
add topics=system
/system ntp client
set enabled=yes primary-ntp=91.226.136.136 secondary-ntp=88.147.254.234
/tool graphing interface
add interface=WAN1
add interface=pptp1
add interface=localnet
/tool graphing queue
add
/tool graphing resource
add
/tool traffic-monitor
add interface=WAN1 name=tmon1 threshold=0 trigger=always

Не смог вывести все маршруты в терминале, написал сам.
 "ip route"
add distance=1 Dst.Addres=0.0.0.0/0 gateway=pptp1 routing-mark=pptp1
add distance=1 Dst.Addres=0.0.0.0/0 gateway=10.251.114.254 reachable WAN1
add distance=1 Dst.Addres=0.0.0.0/0 gateway=213.219.200.3 reachable pptp1
add distance=0 Dst.Addres=10.251.114.0/24 gateway=WAN1 reachable Pref.Soure=10.251.114.76
add distance=0 Dst.Addres=172.16.1.0/24 gateway=localnet reachable Pref.Soure=172.16.1.1
add distance=0 Dst.Addres=213.219.200.3 gateway=pptp1 reachable Pref.Soure=(внеший ip)

Если есть решение для данной проблемы прошу Вас подсказать как её решить. Заранее Спасибо!


RouterBOARD 2011UiAS-2HnD-IN
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну да

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=pptp1 passthrough=\
 no src-address=172.16.1.0/24


Добавьте исключение в это правило для вашей же сети


Есть интересная задача и бюджет? http://mikrotik.site
lsjoin
Сообщения: 7
Зарегистрирован: 10 ноя 2014, 17:25
Откуда: Russia

Не совсем понимаю как добавить исключение, если в правиле уже указана локальная сеть как src-address=172.16.1.0/24


RouterBOARD 2011UiAS-2HnD-IN
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

У вас все запросы из вашей сети заруливаются на шлюз провайдера и там естественно теряются.
добавьте dst-address=!172.16.1.0/24


Есть интересная задача и бюджет? http://mikrotik.site
lsjoin
Сообщения: 7
Зарегистрирован: 10 ноя 2014, 17:25
Откуда: Russia

Спасибо огромное, работает!
Если не сложно подскажите пожалуйста, как заставить микротик использовать маршрут через интерфейс pptp1. А то он не видет внешнего мира, только локальную сеть и сеть провайдера.


RouterBOARD 2011UiAS-2HnD-IN
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну если вам внутренняя сеть оператора не нужна то просто в маршрутах пропишите путь до ВПН сервера на стороне оператора и головным маршрутом сделайте ваш туннель

Если же сеть нужна то узнайте у техподдержки эти самые сети и опять же пропишите маршруты. А так микротик будет ломится по основному маршруту который судя по всему смотрит у вас во внутреннюю сеть оператора


Есть интересная задача и бюджет? http://mikrotik.site
lsjoin
Сообщения: 7
Зарегистрирован: 10 ноя 2014, 17:25
Откуда: Russia

Вообщем что-то не получается у меня прописать правильный маршрут и выставить дистанс.
Прописывал маршрут до vpn сервера, не помогло, на форуме читал подобную тему, но тоже не получилось настроить по описанию.

Код: Выделить всё

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 3 A S  10.251.1.163/32                    10.251.114.254            1

Любые манипуляции с дистанс на маршрутах интерфейса wan1 и pptp1 приводят или к нерабочему инету или вообще нет соединения по pptp

Мой роут лист, с ним работает инет, пингуется сеть провайдера, как из локалки так и с самого микротика, только вот микротик не видит внешний мир, проверяю пингом.

Код: Выделить всё

#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          pptp1                     1
 1 ADS  0.0.0.0/0                          10.251.114.254            0
 2  DS  0.0.0.0/0                          213.219.200.3             0
 3 ADC  10.251.114.0/24    10.251.114.76   WAN1                      0
 4 ADC  172.16.1.0/24      172.16.1.1      localnet                  0
 5 ADC  213.219.200.3/32   95.XXX.XXX.XXX  pptp1                     0


RouterBOARD 2011UiAS-2HnD-IN
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

вангую дхцп клиент с установленной галкой default route
1 ADS 0.0.0.0/0 10.251.114.254 0


Есть интересная задача и бюджет? http://mikrotik.site
lsjoin
Сообщения: 7
Зарегистрирован: 10 ноя 2014, 17:25
Откуда: Russia

Спасибо большое!
Удалит default route на dhcp для wan1 и прописал /ip route add dst-address=10.251.1.163/32 gateway=10.251.114.254
После pptp переконектился и все заработало :-):
Еще раз спасибо за помощь!


RouterBOARD 2011UiAS-2HnD-IN
Ответить