Поднят L2TP между 2 микротиками, но работает странно

Обсуждение оборудования и его настройки
Ответить
Empty
Сообщения: 2
Зарегистрирован: 18 апр 2018, 15:24

Подскажите, пожалуйста, знатоки микротиков. У меня такая проблема: между офисами поднял VPN l2tp и у меня почему-то не все хосты видят друг друга. То есть есть rdp сервер data он видит всех в другой подсети, его тоже видят, nat работает, с тонкого клиента на него заходят без проблем, есть еще rdp сервер data2 вот он никого из другого офиса не видит и на него также зайти не возможно (только если через внешний адрес).
Трассировка с Data выглядит следующим образом:
C:\Users\tracert 192.168.66.249
Трассировка маршрута к 192.168.66.249 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.0.33
2 16 ms 16 ms 16 ms 192.168.6.2
3 17 ms 21 ms 19 ms 192.168.66.249
Трассировка завершена.
Трассировка с Data2 выглядит следующим образом:
D:\Users\zernov>tracert 192.168.66.249
Трассировка маршрута к 192.168.66.249 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.0.33
2 1 ms 1 ms 1 ms 10.95.255.190
3 * * * Превышен интервал ожидания для запроса.

В чем причина, никак не могу понять? Почему другой сервак лезет не на айпишник поднятого впна, а лезет на remote addresess провайдера?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Empty писал(а): 18 апр 2018, 15:40 В чем причина, никак не могу понять? Почему другой сервак лезет не на айпишник поднятого впна, а лезет на remote addresess провайдера?
Потому что нет маршрута!
Либо на ближайшем маршрутизаторе этого сервера надо маршрут прописать, либо на самом сервере,
а так, как сейчас нету маршрута, то всё по-умолчанию и уходит на провайдера.

То есть если сказать иначе:
сеть А и маршрутизатор отвечающий за сеть А должен знать где искать и как дойти до сети В,
и также всё это справедливо и для сети В и для его маршрутизатора, с их стороны они тоже знать
должны как найти и дойти до сети А



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Vlad-2 писал(а): 18 апр 2018, 15:56 Потому что нет маршрута!
Либо на ближайшем маршрутизаторе этого сервера надо маршрут прописать, либо на самом сервере,
Все верно дело в маршруте. Настройка на сервере ничего не даст. Настраивать надо на 192.168.0.33


Александр
Empty
Сообщения: 2
Зарегистрирован: 18 апр 2018, 15:24

Кэпы, это понятно, что нет маршрута. Но дело в том что одни хосты находят маршрут в это подсеть, а другие не находят. Хотя все правила пишутся не на отдельные хосты, а на всю подсеть.
Устранил я проблему добавлением правила в фаерволе. Но так всеравно не понял, как так выходит, что одни хосты в одной подсети пингуются и натятся из другой подсети, а другие нет.

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Empty писал(а): 19 апр 2018, 07:17 Изображение
За данные на этой картинки надо в угол :-)
Ну хотите Вы адрес задать, задавайте, зачем сеть задавать?

На счёт маршрутов и доступов.
Связь между двумя узлами/сетями/офисами делается так:
а) маршрутизация, это когда обе сети знают где искать другую и через какие маршрутизаторы
б) когда одна сеть может достучаться до узлов другой сети, спрятавшись за одним адресом из той сети.

В вашем случаи надо делать обычную маршрутизацию, БЕЗ ната, НАТ в этой ситуации портит Вам картину.

Поэтому офис1, сеть А работает через роутер1, на всех компах шлюз указан это адрес
локальный роутера1, комп(ы) при хождении в интернет, шлют запрос,
и согласно маршруту по-умолчанию выходят уже наружу, но если в адресе
назначения пакета стоит адрес сети В, то роутер должен эти пакеты завернуть
на другой роутер и при этом (частая ошибка начинающих) не сделать для этих
пакетов НАТ.
Также всё это справедливо и с другой стороны.

Поэтому чертите от руки 2 офиса, 2 сети, два роутера, связь между ними и делайте
маршрутизацию, без условного НАТа всего и вся.
И всё заработает.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить