Site to Site VPN через PPPoE

Обсуждение оборудования и его настройки
Dronar
Сообщения: 9
Зарегистрирован: 27 мар 2017, 12:50

Добрый день! Помогите разобраться с проблемой. С оборудованием Mikrotik имею дело чуть ли не в первые и казалось бы простая задача вызвала затруднения. До этого в всех подразделениях стояло оборудование Zyxel, сейчас с целью экономии средств стали покупать Mikrotik. Собственно сама проблема:

В центральном подразделении стоит Zyxel USG100, WAN - статический, белый ip адрес, внутренняя сеть 192.168.0.0/24. В доп. подразделении стоит Mikrotik hEX Lite, WAN - выданный провайдером через PPPoE, белый ip адрес, Внутренняя сеть 192.168.32.0/24.
Я настроил IPSec Site to Site VPN. Согласно инструкции исключил трафик между ними из NAT. Из сети, расположенной за Zyxel, я вижу сеть, расположенную за Mikrotik, в обратном направлении трафик не идет. Точнее хочет идти через шлюз провайдера, который получает интерфейс pppoe-out1. Как при подключении через PPPoE правильно настроить маршрутизацию?

 Конфигурация (настройки firewall не стал постить, т.к. пробовал с отключенным)
# mar/27/2017 16:14:12 by RouterOS 6.38.5
# software id = Y8H1-2REC
#
/interface bridge
add name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-wan max-mru=1492 \
max-mtu=1400 mrru=1500 name=pppoe-out1 password=***** use-peer-dns=yes \
user=*****
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=des lifetime=2h30m pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.32.100-192.168.32.150
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-lan lease-time=8h \
name=dhcp1
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
/ip address
add address=192.168.32.1/24 interface=bridge-lan network=192.168.32.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=ether1-wan
/ip dhcp-server network
add address=192.168.32.0/24 gateway=192.168.32.1
/ip firewall filter

/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/16 dst-address-list=\
192.168.0.0/16 src-address=192.168.32.0/24 src-address-list=\
192.168.32.0/24
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 out-interface=\
pppoe-out1
/ip ipsec peer
add address=5.23.*.*/32 dh-group=modp768 enc-algorithm=des \
generate-policy=port-override hash-algorithm=md5 mode-config=request-only \
secret=******
/ip ipsec policy
set 0 dst-address=192.168.0.0/16 src-address=192.168.32.0/24
/ip route
add distance=1 gateway=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow


Изображение

Изображение

Изображение


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Все просто. Микротик ничего не знает про вашу офисную подсеть.

Добавьте маршрут, что-то вроде

Route 192.168.0.0/24 ip_zyxel_vpn


Dronar
Сообщения: 9
Зарегистрирован: 27 мар 2017, 12:50

Спасибо за быстрый ответ! Только хотел узнать что такое ip_zyxel_vpn? Это WAN ip-адрес zyxel? Или что то другое?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Dronar писал(а): Только хотел узнать что такое ip_zyxel_vpn?

Это шутка такой? Да? Смешно...
ip - (Internet Protocol Address) уникальный идентификатор (адрес) устройства (обычно компьютера), подключённого к локальной сети или интернету, в вашем случае туннель к головному офису
zyxel - Устройство на той стороне туннеля
vpn - (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).

То есть ip_zyxel_vpn - адрес, который имеет устройство zyxel на той стороне вашего туннеля.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Dronar
Сообщения: 9
Зарегистрирован: 27 мар 2017, 12:50

podarok66 писал(а):
Dronar писал(а): Только хотел узнать что такое ip_zyxel_vpn?

Это шутка такой? Да? Смешно...
ip - (Internet Protocol Address) уникальный идентификатор (адрес) устройства (обычно компьютера), подключённого к локальной сети или интернету, в вашем случае туннель к головному офису
zyxel - Устройство на той стороне туннеля
vpn - (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).

То есть ip_zyxel_vpn - адрес, который имеет устройство zyxel на той стороне вашего туннеля.


Спасибо за ответ и за этот шедевральный отсыл с началам сетевого администрирования )
Добавлю такой маршрут: add distance=1 dst-address=192.168.0.0/24 gateway=192.168.0.1
(кстати, ни в одном мануале не нашел информации, что надо добавлять такой маршрут)

Забыл упомянуть один момент - в тот момент, когда поднимается тоннель, Mikrotik перестает пинговаться и вообще перестает быть доступен из его сети. Подключиться к нему удается только по mac-адресу. Это тоже из за отсутствия этого маршрута?

И еще, динамический маршрут к шлюзу провайдера имеет distance=0, это никак не повлияет?
Ни дома, ни на работе нет подключений типа pppoe, нет возможности проверить работоспособность, а попасть в удаленное подразделение есть только в субботу...


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Будет лучше, если вы не будете сами указывать дистанцию. Пусть микротик со всем этим сам разбирается.

Что касается второго вопроса: при правильной настройке микротик должен и будет оставаться доступным по IP адресу из собственной локальной сети. В противном случае на всех клиентах локальной сети пропадет интернет, не говоря уж о доступности VPN ресурсов.


Dronar
Сообщения: 9
Зарегистрирован: 27 мар 2017, 12:50

gmx писал(а):Будет лучше, если вы не будете сами указывать дистанцию. Пусть микротик со всем этим сам разбирается.

Что касается второго вопроса: при правильной настройке микротик должен и будет оставаться доступным по IP адресу из собственной локальной сети. В противном случае на всех клиентах локальной сети пропадет интернет, не говоря уж о доступности VPN ресурсов.


Дистанцию динамического маршрута к шлюзу провайдера нельзя указать вручную, она выставляется автоматически и равна 0. Перестает быть доступен только Mikrotik, доступ в интернет сохраняется. Свою конфигурацию выложил в первом сообщении, буду благодарен, если подскажете что там не так.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Что вот это за хрень?

Код: Выделить всё

/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=ether1-wan
/ip route
add distance=1 gateway=pppoe-out1




PPPoE все получает сам автоматом от BRAS провайдера. И IP и маршруты.

Почитайте пожалуйста viewtopic.php?f=15&t=5972#p29657

Я прошлый раз очень бегло конфиг посмотрел. А тут оказывается хоть все снова начинай. Рекомендую удалить непонятный конфиг начисто. Настроить исключительно PPPoE, по вышеобозначенной инструкции. Убедиться, что все работает. И только потом, очень вдумчиво делать VPN.


Dronar
Сообщения: 9
Зарегистрирован: 27 мар 2017, 12:50

gmx писал(а):Что вот это за хрень?

Код: Выделить всё

/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=ether1-wan
/ip route
add distance=1 gateway=pppoe-out1




PPPoE все получает сам автоматом от BRAS провайдера. И IP и маршруты.

Почитайте пожалуйста viewtopic.php?f=15&t=5972#p29657

Я прошлый раз очень бегло конфиг посмотрел. А тут оказывается хоть все снова начинай. Рекомендую удалить непонятный конфиг начисто. Настроить исключительно PPPoE, по вышеобозначенной инструкции. Убедиться, что все работает. И только потом, очень вдумчиво делать VPN.


Извиняюсь, такой строки как:
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
interface=ether1-wan

нет в конфигурации используемой непосредственно на месте. Просто я сохранял конфигурацию уже подключив роутер дома и включив dhcp-client для интерфейса ether1-wan. DHCP-client был отключен при тестировании на месте.

И да, PPPoE все маршруты и ip-адреса получает автоматически от провайдера.


Dronar
Сообщения: 9
Зарегистрирован: 27 мар 2017, 12:50

Считайте что конфиг выглядел так:

Код: Выделить всё

# mar/27/2017 16:14:12 by RouterOS 6.38.5
# software id = Y8H1-2REC
#
/interface bridge
add name=bridge-lan
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-wan max-mru=1492 \
    max-mtu=1400 mrru=1500 name=pppoe-out1 password=***** use-peer-dns=yes \
    user=*****
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=des lifetime=2h30m pfs-group=none
/ip pool
add name=dhcp_pool0 ranges=192.168.32.100-192.168.32.150
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-lan lease-time=8h \
    name=dhcp1
/interface bridge port
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
/ip address
add address=192.168.32.1/24 interface=bridge-lan network=192.168.32.0
/ip dhcp-server network
add address=192.168.32.0/24 gateway=192.168.32.1
/ip firewall filter

/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.0.0/16 dst-address-list=\
    192.168.0.0/16 src-address=192.168.32.0/24 src-address-list=\
    192.168.32.0/24
add action=masquerade chain=srcnat dst-address=0.0.0.0/0 out-interface=\
    pppoe-out1
/ip ipsec peer
add address=5.23.*.*/32 dh-group=modp768 enc-algorithm=des \
    generate-policy=port-override hash-algorithm=md5 mode-config=request-only \
    secret=******
/ip ipsec policy
set 0 dst-address=192.168.0.0/16 src-address=192.168.32.0/24
/ip route
add distance=1 gateway=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow


Ответить