Вопрос по настройке.

Обсуждение оборудования и его настройки
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

а транспортные какие?


Есть интересная задача и бюджет? http://mikrotik.site
dsharm
Сообщения: 11
Зарегистрирован: 04 апр 2014, 09:56

vqd писал(а):а транспортные какие?

Я не совсем понимаю что подразумевается под транспортными адресами, ведь для настройки канала L2TP IPsec между двумя микротиками используется их внешние адреса и указываются локальные подсети.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

конфиги выкладывайте тогда

И
/ip route print


Есть интересная задача и бюджет? http://mikrotik.site
dsharm
Сообщения: 11
Зарегистрирован: 04 апр 2014, 09:56

Офис-1
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.10.1 1
1 ADC 192.168.10.0/24 192.168.10.4 TTK 0
2 ADC 192.168.0.0/24 192.168.0.1 bridge-local 0

 
# apr/04/2014 13:06:42 by RouterOS 5.26
# software id = V08L-0BPD
#
/interface bridge
add admin-mac=00:00:00:00:22:00 auto-mac=no l2mtu=1598 name=bridge-local \
protocol-mode=rstp
/interface wireless
set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=\
no distance=indoors frequency=2467 ht-rxchains=0,1 ht-txchains=0,1 l2mtu=\
2290 mode=ap-bridge tx-power=2 tx-power-mode=card-rates wireless-protocol=\
802.11
/interface ethernet
set 0 name=TTK
set 1 name=ether2-master-local speed=1Gbps
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
/interface pptp-server
add name=pptp-in1 user=admin
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=00000000 \
wpa2-pre-shared-key=00000000
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.0.10-192.168.0.254
add name=VPNpool ranges=10.10.10.2-10.10.10.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=default
/ppp profile
add address-list=vpn bridge=bridge-local change-tcp-mss=yes dns-server=\
192.168.0.1 local-address=10.10.10.1 name=Anlim only-one=yes \
remote-address=VPNpool use-encryption=yes
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.0.1/24 comment="default configuration" interface=wlan1
/ip dhcp-client
add comment="default configuration" disabled=no interface=TTK
/ip dhcp-server network
add address=192.168.0.0/24 comment="default configuration" dns-server=\
192.168.0.1 gateway=192.168.0.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment=VPN dst-port=1723 protocol=tcp
add chain=input comment=WinBox dst-port=8291 protocol=tcp
add chain=input comment=Kanal dst-port=500 protocol=udp
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=TTK
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=\
invalid
/ip firewall nat
add chain=srcnat comment=IPSek dst-address=192.168.1.0/24 src-address=\
192.168.0.0/24
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=TTK to-addresses=0.0.0.0
/ip ipsec peer
add address=192.168.10.4/32 dh-group=modp768 enc-algorithm=des \
generate-policy=yes secret=123456789
/ip ipsec policy
add dst-address=192.168.10.4/32 sa-dst-address=192.168.1.0 sa-src-address=\
192.168.0.0 src-address=192.168.20.4/32 tunnel=yes
/ip neighbor discovery
set TTK disabled=yes
set wlan1 disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
/ppp secret
add name=admin password=123456789 profile=Anlim service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Drive
/system leds
set 0 interface=wlan1
/system ntp client
set enabled=yes mode=unicast primary-ntp=128.138.141.172
/tool mac-server
add disabled=no interface=ether2-master-local
add disabled=no interface=ether3-slave-local
add disabled=no interface=ether4-slave-local
add disabled=no interface=ether5-slave-local
add disabled=no interface=wlan1
add disabled=no interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local


Офис-2
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.20.1 1
1 ADC 192.168.20.0/24 192.168.20.4 TTK 0
2 ADC 192.168.1.0/24 192.168.1.1 bridge-local 0

 
# apr/04/2014 13:13:02 by RouterOS 5.26
# software id = V08L-0BPD
#
/interface bridge
add admin-mac=00:00:00:00:00:11 auto-mac=no l2mtu=1598 name=bridge-local \
protocol-mode=rstp
/interface wireless
set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above country=russia disabled=\
no distance=indoors frequency=2466 ht-rxchains=0,1 ht-txchains=0,1 l2mtu=\
2290 mode=ap-bridge tx-power=2 tx-power-mode=card-rates wireless-protocol=\
802.11
/interface ethernet
set 0 name=TTK
set 1 name=ether2-master-local speed=1Gbps
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
/interface pptp-server
add name=pptp-in1 user=admin
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=00000000 \
wpa2-pre-shared-key=00000000
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5 pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.1.10-192.168.1.254
add name=VPNpool ranges=10.10.20.2-10.10.20.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=default
/ppp profile
add address-list=vpn bridge=bridge-local change-tcp-mss=yes dns-server=\
192.168.1.1 local-address=10.10.20.1 name=Anlim only-one=yes \
remote-address=VPNpool use-encryption=yes
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.1.1/24 comment="default configuration" interface=wlan1
/ip dhcp-client
add comment="default configuration" disabled=no interface=TTK
/ip dhcp-server network
add address=192.168.1.0/24 comment="default configuration" dns-server=\
192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment=VPN dst-port=1723 protocol=tcp
add chain=input comment=WinBox dst-port=8291 protocol=tcp
add chain=input comment=Kanal dst-port=500 protocol=udp
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=TTK
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=\
invalid
/ip firewall nat
add chain=srcnat comment=IPSek dst-address=192.168.0.0/24 src-address=\
192.168.1.0/24
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=TTK to-addresses=0.0.0.0
/ip ipsec peer
add address=192.168.20.4/32 dh-group=modp768 enc-algorithm=des \
generate-policy=yes secret=123456789
/ip ipsec policy
add dst-address=192.168.20.4/32 sa-dst-address=192.168.0.0 sa-src-address=\
192.168.1.0 src-address=192.168.10.4/32 tunnel=yes
/ip neighbor discovery
set TTK disabled=yes
set wlan1 disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
/ppp secret
add name=admin password=123456789 profile=Anlim service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Drive
/system leds
set 0 interface=wlan1
/system ntp client
set enabled=yes mode=unicast primary-ntp=128.138.141.172
/tool mac-server
add disabled=no interface=ether2-master-local
add disabled=no interface=ether3-slave-local
add disabled=no interface=ether4-slave-local
add disabled=no interface=ether5-slave-local
add disabled=no interface=wlan1
add disabled=no interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

таблицу маршрутизации полностью надо


Есть интересная задача и бюджет? http://mikrotik.site
dsharm
Сообщения: 11
Зарегистрирован: 04 апр 2014, 09:56

vqd писал(а):таблицу маршрутизации полностью надо


это все что выдали роутеры по команде /ip route print


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

А причем тут l2tp Я чет его у вас не увидел

Попробуйте proxy-arp в настройках бриджей включить


Есть интересная задача и бюджет? http://mikrotik.site
dsharm
Сообщения: 11
Зарегистрирован: 04 апр 2014, 09:56

vqd писал(а):А причем тут l2tp Я чет его у вас не увидел

Попробуйте proxy-arp в настройках бриджей включить


настраивал канал через IP - IPsec. да видимо l2tp тут не причем. Так как тогда сделать так чтоб пользователи подключающиеся к офису-1
по pptp имели доступ к локальной сети офиса-2?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

я такой подобным образом это решение не собирал ибо оно мне не нравится.

Вообще, подключайтесь по пптп, пускайте пинг во вторую сеть и смотрите где оно у вас теряется. Ну и прокси-арп включите


Есть интересная задача и бюджет? http://mikrotik.site
dsharm
Сообщения: 11
Зарегистрирован: 04 апр 2014, 09:56

vqd писал(а):я такой подобным образом это решение не собирал ибо оно мне не нравится.

Вообще, подключайтесь по пптп, пускайте пинг во вторую сеть и смотрите где оно у вас теряется. Ну и прокси-арп включите


Подключился проверил пинги не идут, при снятии трейса запрос идет в инет.

Подскажите пожалуйста как создать правило или маршрут, чтоб при обращении к адресу 192.168.1.0 маршрут или правило заруливало трафик в IPsec.


Ответить