Mikrotik+bridge+pptp+eoip

Обсуждение оборудования и его настройки
mighty44
Сообщения: 11
Зарегистрирован: 29 сен 2016, 17:39

KARaS'b писал(а):Чот прям трэш. Я бы начал с нуля и для начала попытался бы завязать только один RB850Gx2, а не сразу 5.
Опять таки, опишите цель и условия, подробно, почему выбрали именно EOIP, зачем оно вам, может ваша задача решается более элегантно и правильно.


EoIP предполагалось использовать для защиты канала, чтобы левые не могли приконнектиться к нашей сети.
Почитал одну статью, там написано: "Один бридж — один влан — один тоннель.", то есть я для каждого EoIP должен был использовать отдельные бриджи?
Я понимаю что есть и другие полезные туннели.
Я тут начал понимать что EoIP тут не уместен, что тогда поднять вместо EoIP, что будет более эффективным?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Уже лучше. Если бы к статье вы еще прочли описание самого протокола, на выходе с такой фишкой вы получите единую l2 сеть со всеми своими филиалами, начиная с замечательных плюшек аля работающая wins даже в и из филлиалов и заканчивая неприятными аля общий бродкаст и dhcp и еще много возможных неприятностей, которые вам придется решать. Поэтому и спросил, опишите подробно, что конкретно вам нужно, быть может ваша задача решается иначе и лучше.


mighty44
Сообщения: 11
Зарегистрирован: 29 сен 2016, 17:39

KARaS'b писал(а):Уже лучше. Если бы к статье вы еще прочли описание самого протокола, на выходе с такой фишкой вы получите единую l2 сеть со всеми своими филиалами, начиная с замечательных плюшек аля работающая wins даже в и из филлиалов и заканчивая неприятными аля общий бродкаст и dhcp и еще много возможных неприятностей, которые вам придется решать. Поэтому и спросил, опишите подробно, что конкретно вам нужно, быть может ваша задача решается иначе и лучше.


Мне нужно чтоб работала между офисами общая локалка, никаких DHCP, WINS.
Только сквозная локальная сеть+защищенная сеть.

Напишите пожалуйста лучшее решение :smu:sche_nie:


mighty44
Сообщения: 11
Зарегистрирован: 29 сен 2016, 17:39

KARaS'b писал(а):Уже лучше. Если бы к статье вы еще прочли описание самого протокола, на выходе с такой фишкой вы получите единую l2 сеть со всеми своими филиалами, начиная с замечательных плюшек аля работающая wins даже в и из филлиалов и заканчивая неприятными аля общий бродкаст и dhcp и еще много возможных неприятностей, которые вам придется решать. Поэтому и спросил, опишите подробно, что конкретно вам нужно, быть может ваша задача решается иначе и лучше.


Вроде как все работает с моими конфигурациями, все красиво смотрится, но вот только PPTP-Client'ы периодически отваливаются.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Рисуйте схему, подробную и описывайте все подробно, а пока даже по вашим конфигурациям можно только гадать.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Приветствую!
Сильно конфиг не смотрел, но тоже выскажу пару слов от себя, а также согласен с ответами, которые Вам далее ранее:

1) если провайдер даёт каналы между офисами (кстати, какой уровень, L2/vlan?) то зачем PPTP+IPoE ?
1.1) с прошивки версии 6.30 (кажется) Микротик ввели ipsec поддержку в простые туннели (IPoE или GRE), а это значит что поднимая только туннель IPoE или GRE уже можно сразу сделать его шифрованным (заполнить поле ключа).
2) Так как у нам на Камчатке локальные провайдеры и даже у одного провайдера в рамках города - сеть даёт сбои, каждый филиал/подофис в моём случаи имеет свою сеть, свой роутер со своей сетью,свой выход в интернет,
поэтому я при подключении/создании филиалов делаю разные локальные сети в них, и всё это разруливаю уже на уровне маршрутизации через туннели (L3-layer).
3) Про ВПН и подключения юзеров - сначала надо привести почти к идеалу проводную сеть, маршрутизацию, а потом уже делать ВПН и удалённых пользователей, и тоже подходить к этому вопросу правильно, сделать пул адресов,настроить
профиль PPP-сервера правильно, чтобы айпи раздавались автоматом, маршрут чтобы поднимался/прописывался (если надо), ну и не было перехлёстов.

P.S.
Схему сети сделайте, это Вам очень поможет в понимании и в отслеживании.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
mighty44
Сообщения: 11
Зарегистрирован: 29 сен 2016, 17:39

Схему сети нарисовал (во вложении)

Поднял на одном роутере IPSec:

CCR1009:

Код: Выделить всё

# oct/19/2016 12:27:08 by RouterOS 6.36.3
# software id = W5P5-7SDN
#
/interface bridge
add name=ria-bridge
/interface eoip
add !keepalive mac-address=bl:ab:la:bl:ab:la name=ria-EoIP-A remote-address=192.168.100.3 tunnel-id=513
add !keepalive mac-address=bl:ab:la:bl:ab:la name=ria-EoIP-A remote-address=192.168.100.8 tunnel-id=518
add !keepalive mac-address=bl:ab:la:bl:ab:la name=ria-EoIP-D remote-address=192.168.100.2 tunnel-id=512
add !keepalive mac-address=bl:ab:la:bl:ab:la name=ria-EoIP-L remote-address=192.168.100.7 tunnel-id=517
add !keepalive mac-address=bl:ab:la:bl:ab:la name=ria-EoIP-R remote-address=192.168.100.5 tunnel-id=515
add !keepalive mac-address=bl:ab:la:bl:ab:la name=ria-EoIP-X remote-address=192.168.100.6 tunnel-id=516
add !keepalive mac-address=bl:ab:la:bl:ab:la name=ria-EoIP-Y remote-address=192.168.100.4 tunnel-id=514
/ppp profile
set *0 bridge=ria-bridge dns-server=192.168.100.66,192.168.1.66 local-address=192.168.100.1
/interface bridge port
add bridge=ria-bridge interface=ether2
add bridge=ria-bridge interface=ether3
add bridge=ria-bridge interface=ether4
add bridge=ria-bridge interface=ether5
add bridge=ria-bridge interface=ether6
add bridge=ria-bridge interface=ether7
add bridge=ria-bridge interface=ether8
/interface pppoe-server server
add disabled=no interface=<l2tp> service-name=service1
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
/ip dns
set allow-remote-requests=yes servers=192.168.100.66
/ip firewall filter
add action=accept chain=input dst-address=192.168.100.1 dst-port=1723 in-interface=ether1 protocol=tcp
add action=accept chain=input comment="Allow ping" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment="Accept established connections" connection-state=established
add action=accept chain=forward connection-state=established
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid disabled=yes log=yes
/ip ipsec peer
add address=192.168.100.9/32 nat-traversal=no secret=ytw
/ip ipsec policy
add dst-address=0.0.0.0/24 ipsec-protocols=ah-esp sa-dst-address=192.168.100.9 sa-src-address=192.168.100.1 src-address=0.0.0.0/24 tunnel=yes
/ip route
add distance=1 gateway=192.168.100.66
/ppp secret
add local-address=192.168.100.1 name=ria-D password=ytw remote-address=192.168.100.2 service=pptp
add local-address=192.168.100.1 name=ria-A password=ytw remote-address=192.168.100.3 service=pptp
add local-address=192.168.100.1 name=ria-Y password=ytw remote-address=192.168.100.4 service=pptp
add local-address=192.168.100.1 name=ria-R password=ytw remote-address=192.168.100.5 service=pptp
add local-address=192.168.100.1 name=ria-X password=ytw remote-address=192.168.100.6 service=pptp
add local-address=192.168.100.1 name=ria-L password=ytw remote-address=192.168.100.7 service=pptp
add local-address=192.168.100.1 name=ria-A password=ytw remote-address=192.168.100.8 service=pptp
/system clock
set time-zone-name=Asia/Yakutsk
/system identity
set name=DOP
/system routerboard settings
set protected-routerboot=disabled
/tool graphing interface
add
/tool graphing queue
add
/tool graphing resource
add


RB850Gx2

Код: Выделить всё

# oct/19/2016 12:36:09 by RouterOS 6.36.3
# software id = QU53-9F28
#
/interface bridge
add name=ria-bridge
/interface bridge port
add bridge=ria-bridge interface=ether1
add bridge=ria-bridge interface=ether2
add bridge=ria-bridge interface=ether3
add bridge=ria-bridge interface=ether4
add bridge=ria-bridge interface=ether5
/ip address
add address=192.168.100.9/24 interface=ether2 network=192.168.100.0
/ip dns
set allow-remote-requests=yes servers=192.168.100.66,192.168.100.1
/ip ipsec peer
add address=192.168.100.1/32 nat-traversal=no secret=ytw
/ip ipsec policy
add dst-address=0.0.0.0/0 ipsec-protocols=ah-esp sa-dst-address=192.168.100.1 sa-src-address=192.168.100.9 src-address=0.0.0.0/0 tunnel=yes
/ip route
add distance=1 gateway=192.168.100.1
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yakutsk
/system identity
set name=L-152
/system routerboard settings
set cpu-frequency=533MHz protected-routerboot=disabled


Остальные Mikrotik'и не стал трогать, стендово тестирую на одном, все ли правильно?
CCR1009 не пингуется с RB850Gx2 (L-152)
Скриншоты с CCR1009 и RB850Gx2 (L-152) IPSec (Installed SAs) во вложении.

Подключил комп к RB850Gx2, локалка работает, но интернета нет.
Playlist радио работает, с инета берет :-)


mighty44
Сообщения: 11
Зарегистрирован: 29 сен 2016, 17:39

Схема Изображение

CCR1009 Изображение

RB850Gx2 Изображение


mighty44
Сообщения: 11
Зарегистрирован: 29 сен 2016, 17:39

Vlad-2 писал(а):Приветствую!
Сильно конфиг не смотрел, но тоже выскажу пару слов от себя, а также согласен с ответами, которые Вам далее ранее:

1) если провайдер даёт каналы между офисами (кстати, какой уровень, L2/vlan?) то зачем PPTP+IPoE ?
1.1) с прошивки версии 6.30 (кажется) Микротик ввели ipsec поддержку в простые туннели (IPoE или GRE), а это значит что поднимая только туннель IPoE или GRE уже можно сразу сделать его шифрованным (заполнить поле ключа).
2) Так как у нам на Камчатке локальные провайдеры и даже у одного провайдера в рамках города - сеть даёт сбои, каждый филиал/подофис в моём случаи имеет свою сеть, свой роутер со своей сетью,свой выход в интернет,
поэтому я при подключении/создании филиалов делаю разные локальные сети в них, и всё это разруливаю уже на уровне маршрутизации через туннели (L3-layer).
3) Про ВПН и подключения юзеров - сначала надо привести почти к идеалу проводную сеть, маршрутизацию, а потом уже делать ВПН и удалённых пользователей, и тоже подходить к этому вопросу правильно, сделать пул адресов,настроить
профиль PPP-сервера правильно, чтобы айпи раздавались автоматом, маршрут чтобы поднимался/прописывался (если надо), ну и не было перехлёстов.

P.S.
Схему сети сделайте, это Вам очень поможет в понимании и в отслеживании.


Эээ, а куда вы пропали?
Уже сдались?
vqd, KARaS'b, Vlad-2


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Я просил две вещи -
1) начните с нуля, т.к. в конфиге слишком много сомнительных моментов.
2) Нарисовать подробную схему, с подробным описанием, что бы помогающие могли сразу представлять себе картину происходящего и не спрашивать такие вопросы как - являются ли данные устройства пограничными маршрутизаторами в ваших сетях, т.к. судя по ip они находятся внутри сети и не являются таковыми, но если так, то возникает еще больше вопросов.
А вы вместо этого нарисовали "клубок ниток", без описания и зачем то подняли ipsec...
Если вам просто хочется рандомно тыкать в различные опции микротика, в надежде, что он поле этого сделает то, что вы от него хотите, то непонятно зачем тогда вы пишите сюда и просите помощи, мы тут не практикуем такой подход и уж точно не думаем с вами на одно волне, что бы предугадать, через какое время такой подход принесет положительный результат.


Ответить