По первому пункту:
Правила NAT 10.20.0.0/24 (подсеть) -> 192.168.0.0/24 (подсеть), и на втором роутере в обратную сторону вполне достаточно.
Это и есть маршрут: подсеть в подсеть, больше ничего городить не нужно.
Именно так у меня все благополучно работает.
По второму пункту:
Вопрос скорее не по теме, и требует более подробного рассмотрения в отдельной теме...
Какое оборудование, как выходят в сеть роутеры?..
IPIP, IPSec между двумя сетями через инет ("для чайников")
- pubuser
- Сообщения: 62
- Зарегистрирован: 14 мар 2014, 18:14
Почему то в NAT мне оказалось недостаточно маршрута, пинги не проходят. Добавил в Routes и пошло все четко ну да не в этом дело.
Насчет интернета.
1) Оба роутера получают серый ip на своем WAN порту, из сетки 10.0.0.0/8
2) Оба девайса по этим серым ip пингуются без проблем. Во втором настроено L2TP соединение с интернетом, получает правда оно тоже серый ip и инет идет через NAT провайдера но это не влияет на суть дела.
3) Если я ко второму роутеру с инетом цепляюсь дополнительно по PPTP\L2TP - инет появляется на первом роутере, достаточно прописать роут 0.0.0.0/0 или автоматический дефолт роут поставить - инет есть.
4) Как бы получить инет на первом роутере, не цепляясь никакими PPP ко второму роутеру?
5) Они оба соединены через Ipsec, подсети локальные обоих - 192.168.0.0/20 видны и пингуются.
6) Пытался шлюзом основным в первом роутере (192.168.1.1) для 0.0.0.0/0 сделать серый локальный ip второго роутера (192.168.2.1) или серый ip (10.50.95.10) получаемый его WAN портом - не прокатывает(
Подозреваю что дело как то в NAT завязано но сообразить не могу. Одного роута с указанием ip основного шлюза мало, видимо какое то правило нат нужно во второй железке чтобы оно отдавало инет первой.
Насчет интернета.
1) Оба роутера получают серый ip на своем WAN порту, из сетки 10.0.0.0/8
2) Оба девайса по этим серым ip пингуются без проблем. Во втором настроено L2TP соединение с интернетом, получает правда оно тоже серый ip и инет идет через NAT провайдера но это не влияет на суть дела.
3) Если я ко второму роутеру с инетом цепляюсь дополнительно по PPTP\L2TP - инет появляется на первом роутере, достаточно прописать роут 0.0.0.0/0 или автоматический дефолт роут поставить - инет есть.
4) Как бы получить инет на первом роутере, не цепляясь никакими PPP ко второму роутеру?
5) Они оба соединены через Ipsec, подсети локальные обоих - 192.168.0.0/20 видны и пингуются.
6) Пытался шлюзом основным в первом роутере (192.168.1.1) для 0.0.0.0/0 сделать серый локальный ip второго роутера (192.168.2.1) или серый ip (10.50.95.10) получаемый его WAN портом - не прокатывает(
Подозреваю что дело как то в NAT завязано но сообразить не могу. Одного роута с указанием ip основного шлюза мало, видимо какое то правило нат нужно во второй железке чтобы оно отдавало инет первой.
- pubuser
- Сообщения: 62
- Зарегистрирован: 14 мар 2014, 18:14
Еще по ходу дела возник вопросик - если 1 роутер имеет статик ip белый а второй из за ната провайдера, возможно между ними установить связь? Если инициатором (Active) сделать тот что за натом сидит.
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32
Так попробовать же не долго, раз уж все настроено... Тут вопрос не настройки роутеров, а конкретно Вашей ситуации...
-
- Сообщения: 7
- Зарегистрирован: 17 сен 2014, 13:35
Здравствуйте,
помогите пожалуйста, по-прежнему борюсь с VPN на mikrotik.
Структура:
в центральном офисе CCR1009-8G-1S
в 3 других RB2011UiAS-RM
Поднят ipsec точно так, как описано здесь. На центральном галочки passive не стоит, на остальных - стоят.
Внутренние сети периодически нерестают быть видны с центрального (не все, то одна отваливается, то другая). Обычно раз в сутки, иногда реже - закономерностей пока что не уяснил. Помогает перезагрузка удаленного роутера. При этом они по вшешнему адресу доступны, сети маршрутизируют - падает только VPN.
Прошивки несколько дней назад обновил везде до 6.22.
Не помогло.
Куда копать?
помогите пожалуйста, по-прежнему борюсь с VPN на mikrotik.
Структура:
в центральном офисе CCR1009-8G-1S
в 3 других RB2011UiAS-RM
Поднят ipsec точно так, как описано здесь. На центральном галочки passive не стоит, на остальных - стоят.
Внутренние сети периодически нерестают быть видны с центрального (не все, то одна отваливается, то другая). Обычно раз в сутки, иногда реже - закономерностей пока что не уяснил. Помогает перезагрузка удаленного роутера. При этом они по вшешнему адресу доступны, сети маршрутизируют - падает только VPN.
Прошивки несколько дней назад обновил везде до 6.22.
Не помогло.
Куда копать?
-
- Сообщения: 75
- Зарегистрирован: 09 окт 2014, 16:46
serrom писал(а):Здравствуйте,
помогите пожалуйста, по-прежнему борюсь с VPN на mikrotik.
Структура:
в центральном офисе CCR1009-8G-1S
в 3 других RB2011UiAS-RM
Поднят ipsec точно так, как описано здесь. На центральном галочки passive не стоит, на остальных - стоят.
Внутренние сети периодически нерестают быть видны с центрального (не все, то одна отваливается, то другая). Обычно раз в сутки, иногда реже - закономерностей пока что не уяснил. Помогает перезагрузка удаленного роутера. При этом они по вшешнему адресу доступны, сети маршрутизируют - падает только VPN.
Прошивки несколько дней назад обновил везде до 6.22.
Не помогло.
Куда копать?
Пожалуйста, в с студию схему сетей с указанием имен сетей и белых интерфейсов, конфиги и кто куда должен доступ получить...
Не ясновидящие мы, увы...
-
- Сообщения: 7
- Зарегистрирован: 17 сен 2014, 13:35
vviz писал(а):Пожалуйста, в с студию схему сетей с указанием имен сетей и белых интерфейсов, конфиги и кто куда должен доступ получить...
Не ясновидящие мы, увы...
Ok.
В центре роутер CCR1009-8G-1S:
Внешний: 172.28.22.10
Внутренний: адрес 192.168.0.11, сеть 192.168.0.0/24
Второй роутер RB2011UiAS-RM:
Внешний: 172.28.22.70
Внутренний: адрес 192.168.20.1, сеть 192.168.20.0/24
Третий роутер RB2011UiAS-RM:
Внешний: 172.28.22.140
Внутренний: адрес 192.168.30.1, сеть 192.168.30.0/24
Пользователи сети 192.168.0.0/24 должны получать доступ к сетям 192.168.20.0/24 и 192.168.30.0/24
Пользователи сетей 192.168.20.0/24 и 192.168.30.0/24 - к 192.168.0.0/24
-
- Сообщения: 12
- Зарегистрирован: 14 авг 2014, 20:32
Уберите галочки passive на всех роутерах для начала. Тогда инициатором сможет выступать каждый из них.
И надо разобраться с lifetime ключа и соседства. Попробуйте поменять на другие значения.
И надо разобраться с lifetime ключа и соседства. Попробуйте поменять на другие значения.
-
- Сообщения: 63
- Зарегистрирован: 25 авг 2017, 08:13
Парни, гляньте, плиз, чего не хватает для полного счастья?
Installed SA есть (две строки - навстречу и обратно удаленной точке).
На одном конце pfSense. Но даже он по локальному адресу, и другие компы в его LAN net не пингуются. Словно не видит он условий в Policies , чтобы пускать пакеты в туннель.
В NAT правило 0 логируется, в логе видно, что иногда байтики растут при пинге с локалки микротика.
Со шлюза pfSense тоже на компы локальной сети микротика не идут.
Сеть микротика - 192.168.10.0/24
Сеть pfSense - 192.168.0.0/24
Я настройки в спойлер положил.
Installed SA есть (две строки - навстречу и обратно удаленной точке).
На одном конце pfSense. Но даже он по локальному адресу, и другие компы в его LAN net не пингуются. Словно не видит он условий в Policies , чтобы пускать пакеты в туннель.
В NAT правило 0 логируется, в логе видно, что иногда байтики растут при пинге с локалки микротика.
Со шлюза pfSense тоже на компы локальной сети микротика не идут.
Сеть микротика - 192.168.10.0/24
Сеть pfSense - 192.168.0.0/24
Я настройки в спойлер положил.
-
- Сообщения: 63
- Зарегистрирован: 25 авг 2017, 08:13
Пускаю пинг с локалки микротика -
в НАТ (правило 0 )пробегает 1 пакетик,
А вот эти
/ip firewall filter
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.10.0/24 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.0.0/24
- тут вообще тишина, байты как были 0, так и остались. Т.е. пакеты в туннель не идут, видимо.
в НАТ (правило 0 )пробегает 1 пакетик,
А вот эти
/ip firewall filter
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.10.0/24 src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related \
dst-address=192.168.0.0/24
- тут вообще тишина, байты как были 0, так и остались. Т.е. пакеты в туннель не идут, видимо.