Суть такова….. плохо знаю, то есть вообще не знаю Cisco, более-менее знаю Mikrotik.
Основным шлюзом стоит Циска. Через нее подключаются по VPN региональные сети и получают доступ к ресурсам головного офиса. Через нее головной офис получает Инет. Ставлю Asterisk в локальной сети головного офиса… регистрация у провайдера через Циску валится. Хочет – работает, хочет – не работает. Так и не нашел в чем проблема. Забил на Циску и поставил второй маршрутизатор – Mikrotik. На оборудовании провайдера попросил зеркало портов – дали.
Итак… схема прилагается
Cisco имеет белый IP – 178.16.10.218
Mikrotik (HQ) имеет белый IP – 178.16.10.219
Mikrotik (Regional) белый IP – 91.161.10.10
Настройки Циски не трогаем, ибо работает и никак не влияет на проблему.
Между Циской и Микротиком (регион) настроен IPSec. Между Микротом Головным и Региональным поднят IPIP туннель
Из головного офиса, через Микротик IPIP туннель, есть ping и traceroute от источника 192.168.101.13 до целевого сервера – 192.168.102.98. Обратно – нет. То есть, от 192.168.102.98 пингуется вход/выход IPIP тунеля 172.16.30.1 и 172.16.30.2. Дальше, до 192.168.101.13 идти отказывается. Где теряется маршрут?
С настройками Mikrotik (HQ) еще проще – поднят IPIP туннель и все
По сути, задача сводится к тому, что бы два сервера работали исключительно через IPIP туннель, поднятый на микротиках. В одну сторону работает, а в другую...... Какие есть мысли?
Одностроннее прохождение маршрута. Путаница с IPSec и IPIP туннелями
-
- Сообщения: 13
- Зарегистрирован: 27 июл 2020, 12:20
Да! ... маршрут от HQ до Regional ессно прописан тоже - иначе бы не работало вообще .
/ip route
add distance=1 gateway=178.16.10.217
add distance=1 dst-address=192.168.102.98/32 gateway=ipip-tunnel1
/ip route
add distance=1 gateway=178.16.10.217
add distance=1 dst-address=192.168.102.98/32 gateway=ipip-tunnel1
-
- Сообщения: 13
- Зарегистрирован: 27 июл 2020, 12:20
Самое смешное, ну для меня видимо, что Traceroute с обеих Микротиков работает исправно - показвает по два хопа
HQ (IP 192.168.101.3):
Traceroute to 192.168.102.98
1 172.16.30.2
2 192.168.102.98
Regional (IP 192.168.102.1)
Traceroute to 192.168.101.13
1 172.16.30.1
2 192.168.101.13
HQ (IP 192.168.101.3):
Traceroute to 192.168.102.98
1 172.16.30.2
2 192.168.102.98
Regional (IP 192.168.102.1)
Traceroute to 192.168.101.13
1 172.16.30.1
2 192.168.101.13
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
tracert 192.168.102.98 c 192.168.101.13
и
с 192.168.101.13 до 192.168.102.98
хотелось бы увидеть. Трафик в тунель вообще заворачивает и где обрывается.
и
с 192.168.101.13 до 192.168.102.98
хотелось бы увидеть. Трафик в тунель вообще заворачивает и где обрывается.
-
- Сообщения: 132
- Зарегистрирован: 11 янв 2019, 14:48
Если с микротиков трасировки показывают правильное движение трафика значит с тунелем всё ок.
Надо смотреть таблицу маршрутизации в микротиках, шлюзы на компах и лок таблицы маршрутизации на компах.
Надо смотреть таблицу маршрутизации в микротиках, шлюзы на компах и лок таблицы маршрутизации на компах.
-
- Сообщения: 54
- Зарегистрирован: 04 сен 2016, 01:10
На всякий случай, на обоих микротах используете маскардинг для выхода в интернет пользователей? На всякий случай создали правило для трафика между сетями?
-
- Сообщения: 13
- Зарегистрирован: 27 июл 2020, 12:20
Прошу прощения.... Спасибо, что натолкнули на правильную мысль.
В настройках Микротиков никакой ошибки не было. Ошибка с сетевыми настройками была на оконечном хосте.
.... тема закрыта. )))
В настройках Микротиков никакой ошибки не было. Ошибка с сетевыми настройками была на оконечном хосте.
.... тема закрыта. )))
-
- Сообщения: 13
- Зарегистрирован: 27 июл 2020, 12:20
Очень важное дополнение! .... в попыхах забыл указать
В маршрутах роутера необходимо(!) указать Perf. Source. На головном микротике один туннель и на нем все работало, а на удаленном 2 туннеля. А так как не был указан адрес источника, то в заголовок IP пакета вставлялась всякая левая фигня - микротик подставлял наиболее "правильный" IP отправителя. И получалось, что головной микротик пытался отвечать по адресу через WAN... в заголовке стоял источник белого адреса регионального шлюза. Соответственно, пакеты терялись
Вот теперь тема закрыта.
В маршрутах роутера необходимо(!) указать Perf. Source. На головном микротике один туннель и на нем все работало, а на удаленном 2 туннеля. А так как не был указан адрес источника, то в заголовок IP пакета вставлялась всякая левая фигня - микротик подставлял наиболее "правильный" IP отправителя. И получалось, что головной микротик пытался отвечать по адресу через WAN... в заголовке стоял источник белого адреса регионального шлюза. Соответственно, пакеты терялись
Вот теперь тема закрыта.