vpn и интернет

Обсуждение оборудования и его настройки
vnikolaev
Сообщения: 100
Зарегистрирован: 14 окт 2015, 17:30

железка 1100AHx2

На железке настроил PPTP для доступа удаленной локалки. И вижу что весь трафик уходит через этот PPTP
Как мне сделать, чтобы для выхода в инет трафик не уходил в тунель?


Конфиг небольшой:
-висит статика + дефолтный роут (для инета)
-dhcp сервер, который я пока не понимаю куда мне натить? либо на int PPTP адреса, либо на адрес Инета

В общем необходимо, чтобы локалка была доступна через pptp, а интернет был доступен через мой изначальный дефолтный шлюз... Хелп


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

vnikolaev писал(а):железка 1100AHx2
На железке настроил PPTP для доступа удаленной локалки. И вижу что весь трафик уходит через этот PPTP
Как мне сделать, чтобы для выхода в инет трафик не уходил в тунель?
Конфиг небольшой:
-висит статика + дефолтный роут (для инета)
-dhcp сервер, который я пока не понимаю куда мне натить? либо на int PPTP адреса, либо на адрес Инета
В общем необходимо, чтобы локалка была доступна через pptp, а интернет был доступен через мой изначальный дефолтный шлюз... Хелп

Ну всё же логично.(если я правильно понял постановку задачи)
1) в РРТР подключении уберите галочку "Add default route" - то есть при поднятии РРТР не будет роутер
создавать данное подключение по-умолчанию и не будет туда засовывать весь трафик.
2) Тогда Основный интернет как был так и будет идти через статику (до поднятия РРТР)
3) А чтобы сеть удалённая была доступна через РРТР - её надо явно статически прописать,
то есть надо указать микротику, что при запросе такой то сети, уходить в РРТР туннель.
(это делается в таблице маршрутизации, в IP-Route)

P.S.
На счёт DHCP не понял вопроса.
Вообще сначала роутер настраивают, логику, адресацию, файрволл, безопасность,
настраивают службы для работы в сети, то есть DNS,DHCP и так далее, а уже
потом начинают расширенную/статическую маршрутизацию делать.
Вы по DHCP что хотите получить в итоге?

И на счёт НАТа = натят то, что хотят обычно выпустить в Интернет, локальную сеть,
или сеть раздающую по DHCP и надо НАТить. Это тоже же логично. Иначе Интернета не будет у них.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vnikolaev
Сообщения: 100
Зарегистрирован: 14 окт 2015, 17:30

Vlad-2 писал(а):
vnikolaev писал(а):железка 1100AHx2
На железке настроил PPTP для доступа удаленной локалки. И вижу что весь трафик уходит через этот PPTP
Как мне сделать, чтобы для выхода в инет трафик не уходил в тунель?
Конфиг небольшой:
-висит статика + дефолтный роут (для инета)
-dhcp сервер, который я пока не понимаю куда мне натить? либо на int PPTP адреса, либо на адрес Инета
В общем необходимо, чтобы локалка была доступна через pptp, а интернет был доступен через мой изначальный дефолтный шлюз... Хелп

Ну всё же логично.(если я правильно понял постановку задачи)
1) в РРТР подключении уберите галочку "Add default route" - то есть при поднятии РРТР не будет роутер
создавать данное подключение по-умолчанию и не будет туда засовывать весь трафик.
2) Тогда Основный интернет как был так и будет идти через статику (до поднятия РРТР)
3) А чтобы сеть удалённая была доступна через РРТР - её надо явно статически прописать,
то есть надо указать микротику, что при запросе такой то сети, уходить в РРТР туннель.
(это делается в таблице маршрутизации, в IP-Route)

P.S.
На счёт DHCP не понял вопроса.
Вообще сначала роутер настраивают, логику, адресацию, файрволл, безопасность,
настраивают службы для работы в сети, то есть DNS,DHCP и так далее, а уже
потом начинают расширенную/статическую маршрутизацию делать.
Вы по DHCP что хотите получить в итоге?

И на счёт НАТа = натят то, что хотят обычно выпустить в Интернет, локальную сеть,
или сеть раздающую по DHCP и надо НАТить. Это тоже же логично. Иначе Интернета не будет у них.



Я раздаю на микротике сеть ДХЦП 10.1.1.0/24, которая натилась на 89.255.1.1(условно)
Адрес VPN я получаю 172.19.1.252/24 (адрес сервера 172.19.1.1) .Через VPN мне должна быть доступна локалка 192.168.2.0/23
Получается, чтобы доступна была сеть 192.168.2.0/23, мне нужно натить адреса моего dhcp на адрес полученный по vpn, то есть на 172.19.1.252.. И весь трафик, уходит через тунель
А мне нужно, чтобы Инет как работал через адрес 89.255.1.1, так и работал, и при этом чтобы через тунель уходили только запросы на сеть 192.168.2.0/23

Я пробовал писать правила нат:
src=10.1.1.0/24 dst=10.1.1.0/24 to-address=172.19.1.252
src=10.1.1.0/24 dst=0.0.0.0/0 to-address=89.255.1.1

и не работает


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

vnikolaev писал(а):Я раздаю на микротике сеть ДХЦП 10.1.1.0/24, которая натилась на 89.255.1.1(условно)
Адрес VPN я получаю 172.19.1.252/24 (адрес сервера 172.19.1.1) .Через VPN мне должна быть доступна локалка 192.168.2.0/23
Получается, чтобы доступна была сеть 192.168.2.0/23, мне нужно натить адреса моего dhcp на адрес полученный по vpn, то есть на 172.19.1.252.. И весь трафик, уходит через тунель
А мне нужно, чтобы Инет как работал через адрес 89.255.1.1, так и работал, и при этом чтобы через тунель уходили только запросы на сеть 192.168.2.0/23
Я пробовал писать правила нат:
src=10.1.1.0/24 dst=10.1.1.0/24 to-address=172.19.1.252
src=10.1.1.0/24 dst=0.0.0.0/0 to-address=89.255.1.1
и не работает

Всё правильно почти мыслите, но почему то ошибаетесь в практике:
1) зачем в нате правило со своей сети на свою сеть? Что правило будет делать?
Вот ваше правило: src=10.1.1.0/24 dst=10.1.1.0/24 to-address=172.19.1.252
Я его читаю так, что если пакет пришёл с сети 10.1.1.0/24 и хочет уйти на 10.1.1.0/24
то его проНАТить от адреса 172.19.1.252
Но это правило не сработает, во первых сеть исходящая и входящая = одинаковая,
и взаимодействие сети с одинаковой маской происходит напрямую, поэтому это правило
в таком в виде бесполезно вообще. Оно "холостое".
Вы должны сделать такое правило:
что если приходит пакет с Вашей сети (10.1.1.0/24) и хочет уйти в сеть удалённую (это у нас 192.168.2.0/23)
то в таком случаи выпустить через (проНАТить) 172.19.1.252 (если адрес ВПН меняется, использовать Маскарадинг)
(и это правило должно быть выше Вашего основного правила для Интернета)

2) Ну вторым правилом делаете выход в Интернет, тоже почти самое, что если
сеть с адресацией (10.1.1.0/24) и хочет уйти в Интернет (то есть куда угодно) то выпускать
через адрес 89.255.1.1(проНАТИТь значит) и для надёжности (и так как у Вас статика) явно лучше задать
исходящий внешний интерфейс. (так как у Вас статика, то лучше использовать SRC-NAT)
И так как это правило более обобщённое по отношению к первому, это правило должно быть ниже (позже) по логике.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vnikolaev
Сообщения: 100
Зарегистрирован: 14 окт 2015, 17:30

Vlad-2 писал(а):
vnikolaev писал(а):Я раздаю на микротике сеть ДХЦП 10.1.1.0/24, которая натилась на 89.255.1.1(условно)
Адрес VPN я получаю 172.19.1.252/24 (адрес сервера 172.19.1.1) .Через VPN мне должна быть доступна локалка 192.168.2.0/23
Получается, чтобы доступна была сеть 192.168.2.0/23, мне нужно натить адреса моего dhcp на адрес полученный по vpn, то есть на 172.19.1.252.. И весь трафик, уходит через тунель
А мне нужно, чтобы Инет как работал через адрес 89.255.1.1, так и работал, и при этом чтобы через тунель уходили только запросы на сеть 192.168.2.0/23
Я пробовал писать правила нат:
src=10.1.1.0/24 dst=10.1.1.0/24 to-address=172.19.1.252
src=10.1.1.0/24 dst=0.0.0.0/0 to-address=89.255.1.1
и не работает

Всё правильно почти мыслите, но почему то ошибаетесь в практике:
1) зачем в нате правило со своей сети на свою сеть? Что правило будет делать?
Вот ваше правило: src=10.1.1.0/24 dst=10.1.1.0/24 to-address=172.19.1.252
Я его читаю так, что если пакет пришёл с сети 10.1.1.0/24 и хочет уйти на 10.1.1.0/24
то его проНАТить от адреса 172.19.1.252
Но это правило не сработает, во первых сеть исходящая и входящая = одинаковая,
и взаимодействие сети с одинаковой маской происходит напрямую, поэтому это правило
в таком в виде бесполезно вообще. Оно "холостое".
Вы должны сделать такое правило:
что если приходит пакет с Вашей сети (10.1.1.0/24) и хочет уйти в сеть удалённую (это у нас 192.168.2.0/23)
то в таком случаи выпустить через (проНАТить) 172.19.1.252 (если адрес ВПН меняется, использовать Маскарадинг)
(и это правило должно быть выше Вашего основного правила для Интернета)

2) Ну вторым правилом делаете выход в Интернет, тоже почти самое, что если
сеть с адресацией (10.1.1.0/24) и хочет уйти в Интернет (то есть куда угодно) то выпускать
через адрес 89.255.1.1(проНАТИТь значит) и для надёжности (и так как у Вас статика) явно лучше задать
исходящий внешний интерфейс. (так как у Вас статика, то лучше использовать SRC-NAT)
И так как это правило более обобщённое по отношению к первому, это правило должно быть ниже (позже) по логике.



Не заметил, что ошибся в теме))) сорри.
Все верно, я так и делалю
src=10.1.1.0/24 dst=192.168.2.0/23 to-address=172.19.1.252
и второе правило
src=10.1.1.0/24 dst=0.0.0.0/0 to-address=89.255.1.1

И неработет(

Мне, при этих правилах, оставлять два дефолтных шлюза?
Один основной для инета и второй для vpn который? Или правильней прописать роут dst=192.168.2.0/23 gw=172.19.1.1?


vnikolaev
Сообщения: 100
Зарегистрирован: 14 окт 2015, 17:30

В общем разобрался. Мой косяк был, то, что я при указании дефолтного шлюза для инета ставил 0.0.0.0, а не 0.0.0.0/0
И я прописал роут для впн dst=192.168.2.0/23 gw=172.19.1.1.
Спасибо за помощь!!!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

vnikolaev писал(а):Не заметил, что ошибся в теме))) сорри.
Все верно, я так и делалю
src=10.1.1.0/24 dst=192.168.2.0/23 to-address=172.19.1.252
и второе правило
src=10.1.1.0/24 dst=0.0.0.0/0 to-address=89.255.1.1
И неработет(

Нули можно в правилах явно не задавать..
Счётчики правил с нуля дёрнулись?
Покажите уже трасеровку...
Но сначала со шлюзами разберитесь...
vnikolaev писал(а):Мне, при этих правилах, оставлять два дефолтных шлюза?

У Вас должен быть 1 шлюз дефолтный. ОДИН! тот что завязан на Интернет.
vnikolaev писал(а):Один основной для инета и второй для vpn который? Или правильней прописать роут dst=192.168.2.0/23 gw=172.19.1.1?

ВЫ должны поднять ВПН без создания шлюза по-умолчанию, я же Вам в своём первом сообщении это написал?
Вы сделали эти настройки, убрали галочку "Add default route" ? ЭТО Важно!
Если опять невнимательны или не сделали, у Вас и будут два шлюза и полный бардак на микротике.

Ещё раз - ВПН для нас не канал по-умолчанию, поднимаете его, прописываете маршрут сети 192.168.2.0/23
и всё....ВПН сессия НЕ должна быть по-умолчанию шлюзом.
Проверяйте, много у Вас ошибок и невнимательности...не хочется по два-три раза повторять то что я уже написал.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vnikolaev
Сообщения: 100
Зарегистрирован: 14 окт 2015, 17:30

Vlad-2 писал(а):
vnikolaev писал(а):Не заметил, что ошибся в теме))) сорри.
Все верно, я так и делалю
src=10.1.1.0/24 dst=192.168.2.0/23 to-address=172.19.1.252
и второе правило
src=10.1.1.0/24 dst=0.0.0.0/0 to-address=89.255.1.1
И неработет(

Нули можно в правилах явно не задавать..
Счётчики правил с нуля дёрнулись?
Покажите уже трасеровку...
Но сначала со шлюзами разберитесь...
vnikolaev писал(а):Мне, при этих правилах, оставлять два дефолтных шлюза?

У Вас должен быть 1 шлюз дефолтный. ОДИН! тот что завязан на Интернет.
vnikolaev писал(а):Один основной для инета и второй для vpn который? Или правильней прописать роут dst=192.168.2.0/23 gw=172.19.1.1?

ВЫ должны поднять ВПН без создания шлюза по-умолчанию, я же Вам в своём первом сообщении это написал?
Вы сделали эти настройки, убрали галочку "Add default route" ? ЭТО Важно!
Если опять невнимательны или не сделали, у Вас и будут два шлюза и полный бардак на микротике.

Ещё раз - ВПН для нас не канал по-умолчанию, поднимаете его, прописываете маршрут сети 192.168.2.0/23
и всё....ВПН сессия НЕ должна быть по-умолчанию шлюзом.
Проверяйте, много у Вас ошибок и невнимательности...не хочется по два-три раза повторять то что я уже написал.


доступность сети через VPN:
Трассировка маршрута к MFP07368791 [192.168.3.8]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 10.1.1.254
2 1 ms <1 мс <1 мс 172.19.1.1
3 1 ms 1 ms 1 ms vostok.obltelecom.ru
4 * 1 ms 1 ms MFP07368791 [192.168.3.8]

Инет:
Трассировка маршрута к google-public-dns-a.google.com [8.8.8.8]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 10.1.1.254
2 6 ms <1 мс 1 ms junmx80.msk [89.255.95.1]
3 1 ms 1 ms 1 ms msk-ix-gw3.google.com [195.208.208.250]
4 1 ms 1 ms 1 ms 108.170.250.129
5 1 ms 1 ms 1 ms 216.239.41.93
6 1 ms 2 ms 2 ms google-public-dns-a.google.com [8.8.8.8]

Счетчики с нулей сдвинулись.
Последний раз редактировалось vnikolaev 21 ноя 2017, 11:07, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Поздравляю...!
Всё легко же...не так ли :-) :co_ol:
Последний раз редактировалось Vlad-2 21 ноя 2017, 11:08, всего редактировалось 1 раз.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
vnikolaev
Сообщения: 100
Зарегистрирован: 14 окт 2015, 17:30

Vlad-2 писал(а):Поздравляю...!


Благодарю!)


Ответить