Тогда еще вопросик. Возможно ли мониторить, либо логинг посмотреть, что и где дропится и на каком этапе ?
Спасибо.
VPN Tunnel L2TP/IpSec
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Интересно, а может промежуточных шлюз провайдера резать пакеты, вот что было замечено:
PS C:\> tracert -d 10.47.1.204
Tracing route to 10.47.1.204 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 14 ms 2 ms 15 ms 10.83.255.126
3 * * * Request timed out.
4 * * * Request timed out.
5 * * PS C:\>
PS C:\> tracert -d 10.47.1.202
Tracing route to 10.47.1.202 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 PS C:\>
PS C:\> tracert -d 10.47.1.201
Tracing route to 10.47.1.201 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 * * PS C:\>
PS C:\> tracert -d 10.47.1.204
Tracing route to 10.47.1.204 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 * * * Request timed out.
3 * * * Request timed out.
4 * * PS C:\> 5GTYEELY
PS C:\> tracert -d 10.47.1.204
Tracing route to 10.47.1.204 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 14 ms 2 ms 15 ms 10.83.255.126
3 * * * Request timed out.
4 * * * Request timed out.
5 * * PS C:\>
PS C:\> tracert -d 10.47.1.202
Tracing route to 10.47.1.202 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 PS C:\>
PS C:\> tracert -d 10.47.1.201
Tracing route to 10.47.1.201 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 * * PS C:\>
PS C:\> tracert -d 10.47.1.204
Tracing route to 10.47.1.204 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms 192.168.1.1
2 * * * Request timed out.
3 * * * Request timed out.
4 * * PS C:\> 5GTYEELY
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
в Трассеровке шлюз провайдера не должно быть.....
почему? почему при запросе сети 10.47 у вас уходить на шлюз?
Так,
а) какие маршруты и как прописаны ?
б) маршруты серых своих сетей на провайдеров убрали(2 раза просил сделать)...
Ну хватить вокруг да около....
При трассеровки вы должны видеть айпи туннелей и свои сети...всё остальное (особенно провайдеровское) при взаимодействии между
филиалами не должно видно быть...в этом и сущность туннелей....филиалы думают что они рядом...
Вот Вам пример маршрута! (у меня на кореша прописан маршрут,чтобы я до его домашней сети (192.168.88.0/24) со своей доходил)
Вот как работает трасерт (провайдера и в помине нету)
P.S. (добавил примеры)
почему? почему при запросе сети 10.47 у вас уходить на шлюз?
Так,
а) какие маршруты и как прописаны ?
б) маршруты серых своих сетей на провайдеров убрали(2 раза просил сделать)...
Ну хватить вокруг да около....
При трассеровки вы должны видеть айпи туннелей и свои сети...всё остальное (особенно провайдеровское) при взаимодействии между
филиалами не должно видно быть...в этом и сущность туннелей....филиалы думают что они рядом...
Вот Вам пример маршрута! (у меня на кореша прописан маршрут,чтобы я до его домашней сети (192.168.88.0/24) со своей доходил)
Код: Выделить всё
add check-gateway=arp comment="DEYMOS-homenet via GRE-tunl" distance=1 dst-address=192.168.88.0/24 gateway="gre-tun03-to-PP-DEYMOS (L-via-RTK)" pref-src=192.168.25.2
Код: Выделить всё
C:\>tracert -d 192.168.88.1
Трассировка маршрута к 192.168.88.1 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.25.2
2 1 ms 1 ms 1 ms 192.168.88.1
Трассировка завершена.
Вот как работает трасерт (провайдера и в помине нету)
P.S. (добавил примеры)
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Первый Роутер
/ip ipsec peer
add address=188.187.63.63/32 local-address=0.0.0.0 nat-traversal=no
/ip ipsec policy
add dst-address=192.168.1.0/24 ipsec-protocols=ah-esp sa-dst-address=\
188.187.63.63 sa-src-address=85.143.190.70 src-address=10.47.0.0/22 tunnel=\
yes
/ip route
add check-gateway=ping distance=1 gateway=85.143.190.1
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1
Второй роутер
dd address=85.143.190.70/32 dpd-interval=1m enc-algorithm=aes-256,aes-128,3des local-address=0.0.0.0 nat-traversal=no policy-template-group=vpn
/ip ipsec policy
set 0 disabled=yes dst-address=10.47.1.0/24 group=vpn src-address=192.168.1.0/24
add dst-address=10.47.0.0/22 ipsec-protocols=ah-esp sa-dst-address=85.143.190.70 sa-src-address=188.187.63.63 src-address=192.168.1.0/24 tunnel=yes
/ip route
add distance=1 dst-address=10.47.0.0/22 gateway=pppoe-out1
/ip ipsec peer
add address=188.187.63.63/32 local-address=0.0.0.0 nat-traversal=no
/ip ipsec policy
add dst-address=192.168.1.0/24 ipsec-protocols=ah-esp sa-dst-address=\
188.187.63.63 sa-src-address=85.143.190.70 src-address=10.47.0.0/22 tunnel=\
yes
/ip route
add check-gateway=ping distance=1 gateway=85.143.190.1
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1
Второй роутер
dd address=85.143.190.70/32 dpd-interval=1m enc-algorithm=aes-256,aes-128,3des local-address=0.0.0.0 nat-traversal=no policy-template-group=vpn
/ip ipsec policy
set 0 disabled=yes dst-address=10.47.1.0/24 group=vpn src-address=192.168.1.0/24
add dst-address=10.47.0.0/22 ipsec-protocols=ah-esp sa-dst-address=85.143.190.70 sa-src-address=188.187.63.63 src-address=192.168.1.0/24 tunnel=yes
/ip route
add distance=1 dst-address=10.47.0.0/22 gateway=pppoe-out1
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
cobion писал(а):Первый Роутер
/ip route
add check-gateway=ping distance=1 gateway=85.143.190.1
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1
Вот нафига, нафига Вы гоните на провайдера свою сеть?(жирным выделил) Воооот я понять не могу? Вам что провайдер делает соединение филиалов?
НУ уже 5й раз пытаюсь объяснить..и прошу убрать данный маршрут...Нафига я всё пишу...????
Мы(вы) поверх вашего соединения, поверх связи существующей натягиваем (вы натянули связь)
сделали это через туннель, туннель это отдельный интерфейс, почему почему вы загоняете свою сеть в чужую (ether1) дырку?
Вот так примерно должно быть:
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ИМЯ_ТУННЕЛЯ должно быть НО НЕ провайдера!!!!!!!!!!!!!!!!!!!!!!!!!!!
cobion писал(а):Второй роутер
/ip route
add distance=1 dst-address=10.47.0.0/22 gateway=pppoe-out1
Тут тоже, нафига провайдеру ваша 10.47.ххххх ? Он пакеты от неё грохает...
Вот так примерно должно быть:
add distance=1 dst-address=10.47.0.0/22 gateway=ИМЯ_ТУННЕЛЯ
или вместо имени ИМЯ_ТУННЕЛЯ IP-адрес противоположного узла этого туннеля!
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
тут я немного запутался IWR тунеля .
У меня два интерфейса на каждом из роутеров
На первом
pppoe-out1 0 это 188.187.63.63
ether2-master 192.168.1.1
На втором
Ether1 85.143.190.70
Ether2-master 10.47.1.99
Какой из них ставить ?
У меня два интерфейса на каждом из роутеров
На первом
pppoe-out1 0 это 188.187.63.63
ether2-master 192.168.1.1
На втором
Ether1 85.143.190.70
Ether2-master 10.47.1.99
Какой из них ставить ?
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Имя туннеля где мне посмотреть то ?
У меня тунель между роутерами настроен через IpSec. Где мне это имя туннеля взять, я непойму ? Я создал статический роутинг в противоположную подсеть. Как мне выходить впротивоположную подсетку, через внешний интерфейс же , нет ?
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1 - это с роутера из сети 10.47.0.0. Мне же нужен маршрут до 192.168.1.0/24 правильно ?
Можете объяснить ?
У меня тунель между роутерами настроен через IpSec. Где мне это имя туннеля взять, я непойму ? Я создал статический роутинг в противоположную подсеть. Как мне выходить впротивоположную подсетку, через внешний интерфейс же , нет ?
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1 - это с роутера из сети 10.47.0.0. Мне же нужен маршрут до 192.168.1.0/24 правильно ?
Можете объяснить ?
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
cobion писал(а):тут я немного запутался IWR тунеля .
У меня два интерфейса на каждом из роутеров
На первом
pppoe-out1 0 это 188.187.63.63
ether2-master 192.168.1.1
На втором
Ether1 85.143.190.70
Ether2-master 10.47.1.99
Какой из них ставить ?
Туннель это ваше L2TP соединение....или ваш IPSec или что у вас поднято?
(кроме внешнего соединения с провайдером, кроме локального адресов у роутеров, у вас должен быть туннель(интерфейс) или соединение, вот его и надо использовать.
В теме у вас написано туннель L2TP...значит я понимаю что вы поднимали и он у вас есть в наличии?
-
- Сообщения: 28
- Зарегистрирован: 19 мар 2017, 21:11
Может быть неправильно сформулировал, я поднял просто IPsec и все! L2TP я не поднимал!
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
cobion писал(а):Может быть неправильно сформулировал, я поднял просто IPsec и все! L2TP я не поднимал!
давайте пока не будем трогать L2TP, коли поднят IPSec
прямо щас создайте самый простой туннель IPIP
просто сделай его и маршруты через туннель IPIP пропишите на серые сети противоположных сетей...