Настройка сети между 2мя Mikrotik vpn

Обсуждение оборудования и его настройки
Ответить
hijack8213
Сообщения: 4
Зарегистрирован: 21 июн 2018, 14:01

Добрый день.
Поменялся провайдер и пришлось ставить свое оборудование, остановился на Mikrotik.
Есть 2 "белых" адреса. На них сидят mikrotik RB2011iL и HEX lite.
2 маршрутизатора Mikrotik объединены с помощью L2TP + IPSec
На первом Mikrotik RB2011iL поднят L2TP сервер. На втором HEX lite клиент.
Первый Mikrotik RB2011iL раздает адреса 192.168.1.0/24 , второй HEX lite раздает 192.168.2.0/24
С компа, подключенного к HEX lite проходят пинг до компа подключенного к RB2011iL, так же проходит соединение по rdp и проходит соединение telnet по открытым портам.
Возникла проблема с работой ПО R-keeper 7.
"Сервер" подключен к RB2011iL и имеет адрес 192.168.1.251 , "клиент" (касса) подключена к HEX lite и имеет адрес 192.168.2.252. Соединение не проходит (Изменения, вносимые на сервере не отображаются на стороне клиента).
Другая касса, подключенная к RB2011iL с адресом 192.168.1.252 работает (подхватывает изменения, внесенные на стороне сервера)
На стороне клиента все настройки сводятся к указанию в .ini файле адреса и порта сервера.
[TCPDNS]
RK7SRV=192.168.1.251:3639
Сервер пингуется, по rdp могу на него зайти, telnet'ом на 3639 тоже заходит.
Никак не могу понять в чем проблема, в сети или в ПО?
Подскажите пожалуйста в чем проблема?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Хоть и более-менее подробно описано, но вопросы есть:

1) связь между микротиками (L2TP) - она бывает что обрывается?
2) маршруты прописаны в таблице маршрутизации?
3) при возникновении проблем в п1., может так происходить, что при
переподключении - старый маршрут будет не рабочий, поэтому вопрос:
Вы соединению L2TP делали биндинг ? Ну и соответственно уже при-"биндингому"
интерфейсу создавали через него маршрут(изацию)?
4) Что у нас с файрволами?
5) И частая ошибка - у Вас НАТ(маскарайдинг) как описан? Общим правилом или явно/конкретно?
(Вы можете за-НАТИТЬ работу между сетями, в Вашем случаи это не надо).

Я лишь написал "грубые" или частые моменты, которые вспомнил, проверьте их.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
hijack8213
Сообщения: 4
Зарегистрирован: 21 июн 2018, 14:01

Спасибо за ответ.
1) Не замечал что связь рвется, по крайней мере в логах ничего такого нет.
2) Маршруты прописаны. Если пинги ходят и и соединение по другим портам проходит(3389, 3639), значит маршрутизация работает? (поправьте пожалуйста если ошибаюсь)
"Сервер"
MikroTik-server] > ip route print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 212.46.253.97 1
1 ADC 10.50.0.11/32 10.50.0.10 RemoteUser1 0
2 ADC 192.168.1.0/24 192.168.1.1 bridge1 0
3 A S 192.168.2.0/24 10.50.0.10 10.50.0.11 1
4 S 192.168.2.0/24 10.50.0.11 1
5 ADC 212.46.253.96/30 212.46.253.98 ether1 0
"Касса"
MikroTik-kassa] > ip route print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 212.46.253.161 1
1 ADC 10.50.0.10/32 10.50.0.11 l2tp-to-office 0
2 A S 192.168.1.0/24 10.50.0.11 10.50.0.10 1
3 X S 192.168.1.0/24 l2tp-to-office 1
4 ADC 192.168.2.0/24 192.168.2.1 bridge1 0
5 ADC 212.46.253.160/30 212.46.253.162 ether1
3) Для l2tp пользователя создавал интерфейс и в поле type указал l2tp server binding
4) Файервол
"Сервер"
0 X chain=input action=drop protocol=udp src-address=82.99.219.38 log=no log-prefix=""

1 X chain=input action=drop src-address=151.106.13.158 log=no log-prefix=""

2 chain=input action=accept protocol=udp src-port="" dst-port=1701 log=no log-prefix=""

3 chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""

4 chain=input action=accept protocol=udp dst-port=4500 log=no log-prefix=""

5 chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
"Касса"
MikroTik-kassa] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=drop src-address=82.99.219.38 log=no log-prefix=""

1 chain=input action=drop src-address=151.106.13.158 log=no log-prefix=""

2 chain=input action=accept protocol=udp dst-port=500 log=no log-prefix=""

3 chain=input action=accept protocol=udp dst-port=4500 log=no log-prefix=""

4 chain=input action=accept protocol=ipsec-esp log=no log-prefix=""
5) Nat на обоих mikrotik прописан chain=srcnat action=masquerade out-interface-list=WAN

Даже поставил ftp server на "сервер", c адресом 192.168.1.251, попробовал достучаться клиентом с "кассы" с адреса 192.168.2.252. Все получилось, соединение установилось.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну если пинги есть, другие сервисы работают - то да, можно предположить что у Вас всё правильно.
Тогда или касса виновата, или её ПО почему-то не всегда видит сервер.
Ещё возможно надо поиграться с MTU ? (по пути прохождения пакета, от кассы до роутера
нет умных свитчей или ещё какой-то активки?)

(бредовая мысль 1: попробуйте отключить шифрование в туннеле, и/или временно использовать другой
вид туннеля?)
(менее-бредовая мысль 2 (но она уже из практики и это реально работает): сделайте EoIP туннель между кассой и сервером,
так как у Вас с двух сторон микротик, это реально можно сделать и касса будет вообще в той IP-сети(в IP-сети офиса где сервер расположен).
Если трафик не ахти(не много), то EoIP не тяжёлый будет для роутеров.

P.S.
Мне (лично) правила Маскарайдинга такие не очень нравяться, добавьте явно, src-addres, то есть
чтобы правило работало когда пакет из локальной (явной) сети идёт наружу.
(я обычно делаю адрес-лист и его уже привязываю к правилу, при возникновении/расширении
сети, добавлю сеть в адрес-лист и всё, так проще).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить