Роутинг между двумя сетями, соед. по VPN (L2TP или PPTP)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
hempy80
Сообщения: 7
Зарегистрирован: 27 янв 2013, 14:38

Здравствуйте, коллеги.
Совсем недавно приобрели 1100х2 в головной офис и 751G в удаленный филиал. На 1100х2 был поднят L2TP сервер, на 751G соответственно клиент. На обоих микротиках прописаны статические маршруты в обе подсети. Все работает, пакеты ходят, но есть проблема. Удаленный офис сидит на хреновеньком ADSL, периодически канал падает, после подключения VPN восстанавливается, но маршрут в сеть филиала на 1100х2 не поднимается, приходится ручками указывать шлюз.

1100x2 (в момент, когда все работает)
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 XX.XXX.XX.XX 1
1 ADC XX.XXX.XX.XX/XX XX.XXX.XX.XX/XX ether2 0
2 ADC 192.168.0.0/24 192.168.0.1 ether1 0
3 ADC 192.168.0.10/32 192.168.0.1 <l2tp-ples> 0
4 A S 192.168.5.0/24 192.168.0.1 <l2tp-ples> 1

1100x2 (после падения канала и последующего восстановления)
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 XX.XXX.XX.XX 1
1 ADC XX.XXX.XX.XX/XX XX.XXX.XX.XX/XX ether2 0
2 ADC 192.168.0.0/24 192.168.0.1 ether1 0
3 ADC 192.168.0.10/32 192.168.0.1 <l2tp-ples> 0
4 S 192.168.5.0/24 192.168.0.1 (unknown) 1

Уважаемые гуру, подскажите, как решить эту проблему?


hempy80
Сообщения: 7
Зарегистрирован: 27 янв 2013, 14:38

Решил =), сам дурак называется. При VPN, статические маршруты лучше не прописывать, а указывать их в PPP Secrets Routes.
http://wiki.mikrotik.com/wiki/Manual:In ... -Site_L2TP


t332
Сообщения: 95
Зарегистрирован: 21 сен 2012, 00:32

Странно, а у меня почему-то ни в какую не работает "проталкивание" маршрута с сервера.
Вот вроде прям один-в-один картинка как в мануале, но требуемый маршрут на роутере-клиенте не появляется, и пока вручную не пропишешь, нифига не работает, соответственно.
Где-то хитрость какая-то?


hempy80
Сообщения: 7
Зарегистрирован: 27 янв 2013, 14:38

t332 писал(а):Странно, а у меня почему-то ни в какую не работает "проталкивание" маршрута с сервера.
Вот вроде прям один-в-один картинка как в мануале, но требуемый маршрут на роутере-клиенте не появляется, и пока вручную не пропишешь, нифига не работает, соответственно.
Где-то хитрость какая-то?


Все правильно, на микротике-клиенте маршрут действительно статический, а на микротике-сервере маршрут в подсеть клиента динамический, а чтобы он поднимался, необходимо в PPP/Secrets/Имя_профиля/Routes добавить нужный маршрут

[admin@MikroTik_1100x2] > ppp secret print detail
Flags: X - disabled
0 name="ples" service=any caller-id="" password="*******"
profile=default-encryption local-address=172.16.1.1
remote-address=172.16.1.2 routes="192.168.5.0/24 172.16.1.2 1"
limit-bytes-in=0 limit-bytes-out=0


t332
Сообщения: 95
Зарегистрирован: 21 сен 2012, 00:32

Да, так все нормально.
Ну, значит там в мануале ошибка.


Аватара пользователя
Barvinok
Сообщения: 104
Зарегистрирован: 28 фев 2012, 23:21

В русском мануале есть ещё такие слова:
Для правильной идентификации подключившегося клиента целесообразно создать для него "собственный PPTP сервер":

Код: Выделить всё

/interface l2tp-server add name=filial user=newuser
Вероятно, именно эта магия позволяет верно определять L2TP-интерфейс после разрыва.
А в твоём случае получается "unknown".

У меня в ppp secret маршрут не прописан (routes=""), но три филиала прекрасно работают уже несколько месяцев.
Хотя... Может это было бы правильнее, чем статические маршруты.


kadet
Сообщения: 0
Зарегистрирован: 22 июл 2013, 08:47

всем доброго времени суток. все что выше было описана использовал. но причина осталась.
опишу саму проблему
есть 2 микротика 450г. поднят впн на l2tp по инструкции выше.

не ходят пинги в одну сторону. т.е. из головного офиса в филиал. из филиала в головной офис все нормально. маршруты настроены др др по аналогии.
помогите разобраться


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

kadet писал(а):всем доброго времени суток. все что выше было описана использовал. но причина осталась.
опишу саму проблему
есть 2 микротика 450г. поднят впн на l2tp по инструкции выше.

не ходят пинги в одну сторону. т.е. из головного офиса в филиал. из филиала в головной офис все нормально. маршруты настроены др др по аналогии.
помогите разобраться



В интефейсе которая смотрит в локальную сеть ARP стоит proxy-arp ?


еще такой вопрос у тебя внешние ip динамические ? или статика?


kadet
Сообщения: 0
Зарегистрирован: 22 июл 2013, 08:47

да стоит.

ипишники статические


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

Разобрались .. Локальная сеть филиала была в диапазоне 192.168.131.х такая же сеть была у провайдера


Ответить