Весьма странный глюк L2TP

Обсуждение ПО и его настройки
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 25 дек 2018, 11:17 Всё проверил сто раз. Может в маркировках ошибка где то ?
Можете еще раз выложить сюда ?
Вот тут совсем недавно, дней 5 назад я подробно описал + выложил конфиги
как у меня сделано (привёл человеку примеры).
viewtopic.php?p=58201#p58201

Проверяйте.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо, большое. Буду проверять.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Пипец !

Проблема оказывается была в том, что у меня в маркированных маршрутах в качестве gateway стоял интерфейс (соответствующий WAN), а не адрес шлюза !
Как только поставил реальный адрес роутера-шлюза - всё взлетело !

Спасибо, Вам, огромное и низкий поклон. Что за бред такой ? Какая разница Микротику gateway адрес шлюза или интерфейс - соображать сам должен, "не маленький" уже 6 с гаком футов высотой ... Не первый раз уже на подобных штуках нарываюсь и вот забыл, что так может быть ...

Еще раз спасибо ! Теперь поиграюсь с работой ВПН через разные меченые маршруты.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Фу, я рад что наконец-то мы на одной волне.
И всё работает так...как по идеи в целом примерно и должно было быть.
Всё дело как всегда в мелочах...

P.S.
С Вас виртуальный памятник в бронзе :-) :-) :-)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Вот интересно, можно ли теперь пускать VPN-клиент через определенный WAN-канал с этого роутера и как это правильно сделать ?
Добавить его интерфейс в определенный Ваш список интерфейсов ? Или добавить внешний адрес Микротика VPN-сервера в соответствующий address-list ?
Или так просто не будет работать и нужно маркировать отдельно для VPN ?
Интересно разобраться, т.к. не раз слышал, что якобы ВПН и проброс портов не работают через маркированные маршруты. Но почему ? Должны ведь по идее.

Насчет памятника в бронзе надо подумать как это сделать лучше. А может ну его виртуальный то, да еще в бронзе, может лучше реальное знакомство, чем памятник ? Вы в Москве бываете ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Sertik писал(а): 25 дек 2018, 14:48 Вот интересно, можно ли теперь пускать VPN-клиент через определенный WAN-канал с этого роутера и как это правильно сделать ?
Добавить его интерфейс в определенный Ваш список интерфейсов ? Или добавить внешний адрес Микротика VPN-сервера в соответствующий address-list ?
Вы сегодня почему-то не очень внимательны. Я же описывал как я сделал с подключениями:
а) подключаются просто на роутер (на внешние реальные любые адреса).
б) явно не биндю, не выделяю сессию(и) в маркировку!
в) просто выдаю из пула подключающимся - IP-адресацию определённую (она у меня небольшая, /29)
г) и уже эту сетку я засунул в тот канал, где у меня безлимитный трафик (есть каналы по-мегабайтной оплаты)
д) подключаться ко мне могут на любой мой внешний IP (у меня 3 провайдера, 1-й - помегабайтный, дорогой,
2-й канал, маленький безлимит, зато со статикой и нужен для локальных задач, 3-й = глобал, безлимит, 20-40мегабит,
с динамической адресацией). Не важно куда ко мне подключиться клиент, пул сессий рртр и л2тр один,
и эта сетка привязана уходить всегда в 3-й канал.
Sertik писал(а): 25 дек 2018, 14:48 Или так просто не будет работать и нужно маркировать отдельно для VPN ?
Интересно разобраться, т.к. не раз слышал, что якобы ВПН и проброс портов не работают через маркированные маршруты. Но почему ? Должны ведь по идее.
Писал дважды, не маркирую, пробросы работают. Проблем нету.
Sertik писал(а): 25 дек 2018, 14:48 Насчет памятника в бронзе надо подумать как это сделать лучше. А может ну его виртуальный то, да еще в бронзе, может лучше реальное знакомство, чем памятник ? Вы в Москве бываете ?
Увы, раз в году и то на мгновения...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Да нет, не во внимании дело. Просто для меня это не очень понятно и сильно не вникаю. У меня манглы то не на сервере с белыми IP - а на клиенте, у которого два Вана - два модема (скажем так) сидят с серыми IP.

Насчет того, что Вы не маркируете ВПН - это я понял давно, но в принципе на Вашу схему это навесить можно ? Будет работать или надо отдельно мудрить ?

Жаль, что в Москве бываете редко очень. Ну, всё равно что-нибудь придумаем. Может ещё пригожусь Вам тоже.


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Как у Вас на Микротике ВПН-сервере сделано, я теперь понял. Вы не создаете статические бинды и не маркируете , но выдаёте VPN-клиентам определенные адреса, которые заносите в адрес-листы для определенного (ых) каналов. Тогда и эти VPN-соединения при подключении и работе идут через определенный Вами с помощью адресов WAN.
Ясно.
Так может мне попробовать занести скажем адрес конца тоннеля (адрес сервера) в соответствующий адрес-лист определенного Wana - соединение и пойдет через него ? Например, занести внешний адрес Микротика-сервера (белый статический) и его внутренний адрес как VPN-сервера в адрес-лист для Wan-2 ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Попробовал (добавлял внешний адрес Микротика-сервера и его адрес как VPN-сервера в адрес-лист to_ISP2, все равно коннекты идут через не маркированные маршруты), т.е. так не работает. Коннект пока с ним только winbox, т.е. виден established, но почему то с 192.168.Х.1:8291 (см. далее), порт понятно winbox`a.

Роутер VPN-клиент имеет свою LAN подсеть 192.168.Х.0/24 и в ней он сам 192.168.Х.1. Естественно я добавил сеть 192.168.Х.0/24 в адрес-лист LocalNet.
Эта сеть через какой Ван будет ходить по Вашей схеме ? Или она как раз без маркировок идет в Инет ?
Или если нужно, чтобы из нее кто-то (например, сам роутер 192.168.X.1) ходил через WAN2, то как это сделать ?
Или у Вас это не предусмотрено ? Сам роутер вроде как получается ходит всё время через немаркированный путь.

То есть для него надо писать своё правило ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) как я уже раза 3 говорил - для меня ВПН-клиент = это прежде всего его IP-адрес, с помощью адреса я и управляю,
куда я хочу его завернуть.
2) трогать WAN интерфейсы и их пытаться куда-то завернуть = всё равно что пилить сук на дереве, на котором
ты и сидишь. Так делать нельзя. WAN'ы - это как фундамент.....они есть...на базе их и их адресации уже всё делается,
зачем потом их куда-то пытаться завернуть, это бесполезно и очень не правильно.
3) И я так снова не понимаю что Вы опять хотите добиться? Может схему нарисуете?
Кого в какой канал, как и что....Если Вы клиента хотите пустить куда-то, опять же,
мои слова в первом пункте - управляйте клиентом по его адресу, не интерфейсу.

Я пока понял так: что есть Ваш микротик (будем его называть домашний),
там у Вас 2 канала(два провайдера) + и маркировки.
Есть ещё офисный микротик, там просто один канал по-умолчанию, и нет маркировок.
С домашнего микротика Вы подключаетесь к офисному, и у Вас формируется ещё один канал связи,
но что Вы с этим каналом хотите сделать = я так и не понимаю. И кого именно куда Вы хотите
завернуть = тоже уже не понимаю.

И ещё маленький лайфхак (делал пару раз, пишу по-памяти, возможны неточности):
1) когда я натягиваю туннель(связь) между моим микротиком и микротиком друга, то мы
подняли GRE, и описали маршрутизацию, что его сеть может найти мою через GRE его,
а моя сеть может найти его сеть через GRE мой. Просто и со вкусом.
Локальная сеть работает, обмен есть и этого более чем.

НО:

2) Если друг хочет поработать/покачать что-то за счёт моих каналов, то:
а) на его роутере уже делается маркировка(и) каналов (соответственно WAN1 - его провайдер,
WAN2 - провайдер я для него в виде GRE-интерфейса)
б) на GRE интерфейсы руками установили адресацию (и у него и у меня, обычно хватает маски /30)
в) И уже на его роутере, он выбирает (настраивает) какой комп из своих компов в сети своей
закинуть в мой канал) -по GRE (с его роутера), сделав перед выходом в мою сторону
НАТ от промежуточной сети /30 (которую мы на GRE поставили).
То есть, пакеты, которые адресованы для глобала, перед выходом ко мне,
НАТяться и ко мне приходят уже единообразно.
Я уже принимая эти пакеты от этой сети(адресации) я уже на своём роутере
(это же мой роутер и мои каналы) уже я тут решаю, в какой канал его
зарулить.

Мне кажется примерно Ваша схема.
Прочитайте ещё раз, подумайте, постарайтесь не усложнять задачу и её сущность.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить