Страница 2 из 2
Re: Помощь в настройке L2TP+IPsec site to site для корпоративной сети
Добавлено: 27 мар 2023, 18:39
NoobAdmin
xvo писал(а): ↑27 мар 2023, 17:30
Так а на что вы его там изменяли?
Учитывали, что там у вас pppoe, а не ether1?
Действительно, по невнимательности указал для ether1. Переделал на pppoe от ростелекома, конфиг теперь:
/ip firewall nat
add action=masquerade chain=srcnat out-interface=rostelecom
Интернет на хостах заработал. Однако первоначальная проблема сохраняется, пинги из сети GW1 на хосты GW2 не идут, обратно пингуется всё, кроме веб-сервера, по днс именам пинги не проходят никуда.
Re: Помощь в настройке L2TP+IPsec site to site для корпоративной сети
Добавлено: 27 мар 2023, 18:51
xvo
По доменным именам доступа никогда и не будет - сети то разные.
Почему не пингуется сеть второго микротика - проверяйте ещё раз firewall'ы на самих машинах.
Если с одной стороны все нормально пингуется и NAT поправили - то проблема не в туннелях или маршрутизации, а именно в разрешении на доступ.
Re: Помощь в настройке L2TP+IPsec site to site для корпоративной сети
Добавлено: 28 мар 2023, 07:05
NoobAdmin
xvo писал(а): ↑27 мар 2023, 18:51
По доменным именам доступа никогда и не будет - сети то разные.
Почему не пингуется сеть второго микротика - проверяйте ещё раз firewall'ы на самих машинах.
Если с одной стороны все нормально пингуется и NAT поправили - то проблема не в туннелях или маршрутизации, а именно в разрешении на доступ.
Спасибо, создал правило в брандмауэре на входящие пинги (протокол ICMP), пинги пошли. В настройки веб сервера (сеть GW1) у меня нет доступа, поэтому там ничего изменить не смогу. Из сети GW2 он недоступен, неужели нет способа к нему достучаться?
По домену получается нужно создавать второй контроллер домена в сети GW2 и настраивать репликацию чтобы домен там заработал?
Re: Помощь в настройке L2TP+IPsec site to site для корпоративной сети
Добавлено: 28 мар 2023, 10:21
xvo
NoobAdmin писал(а): ↑28 мар 2023, 07:05
По домену получается нужно создавать второй контроллер домена в сети GW2 и настраивать репликацию чтобы домен там заработал?
Не совсем так.
Если надо, чтобы заработало "сетевое окружение" и все компы автоматом видели друг друга, тогда да, нужен сервер WINS во второй сети.
А если достаточно, чтобы можно было просто использовать доменные имена - то достаточно либо сделать, чтобы вторая сеть тоже использовала DNS сервер домена.
Ну либо можно и руками какие-то записи на микротике создать.
NoobAdmin писал(а): ↑28 мар 2023, 07:05
Из сети GW2 он недоступен, неужели нет способа к нему достучаться?
Не, ну так то можно - сделать избирательный src-nat (макскарад) при обращении к этому серверу на GW1.
Но сервер тогда будет видеть все подключения, как-будто они приходят от самого GW1.
Так что правильнее конечно попасть на сервер и настроить там политики доступа.
Re: Помощь в настройке L2TP+IPsec site to site для корпоративной сети
Добавлено: 28 мар 2023, 11:48
NoobAdmin
xvo писал(а): ↑28 мар 2023, 10:21
NoobAdmin писал(а): ↑28 мар 2023, 07:05
По домену получается нужно создавать второй контроллер домена в сети GW2 и настраивать репликацию чтобы домен там заработал?
Не совсем так.
Если надо, чтобы заработало "сетевое окружение" и все компы автоматом видели друг друга, тогда да, нужен сервер WINS во второй сети.
А если достаточно, чтобы можно было просто использовать доменные имена - то достаточно либо сделать, чтобы вторая сеть тоже использовала DNS сервер домена.
Ну либо можно и руками какие-то записи на микротике создать.
NoobAdmin писал(а): ↑28 мар 2023, 07:05
Из сети GW2 он недоступен, неужели нет способа к нему достучаться?
Не, ну так то можно - сделать избирательный src-nat (макскарад) при обращении к этому серверу на GW1.
Но сервер тогда будет видеть все подключения, как-будто они приходят от самого GW1.
Так что правильнее конечно попасть на сервер и настроить там политики доступа.
В целом ясно, спасибо за помощь!