Здравствуйте!
Помогите, пожалуйста, разобраться с маршрутизацией. (Схема сети и описание во вложении)
Имеется роутер с белым ip-адресом (tp-link), на нем настроен проброс порта до vpn-сервера (mikrotik). Объединяются два локальных офиса.
Компьютеры одного из офисов пингуют компьютеры другого офиса только если на pptp-сервере (mikrorik) включить Nat. Компьютеры другого офиса пингуют и без NAT.
Объясните, пожалуйста, как это всё происходит?
Проброс портов на PPTP- сервер
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
В маршрутах на Микротиках шлюзами интерфейсы стоят или адреса ?
pref. sourse указаны везде ?
маску /30 вообще лучше выкинуть на фиг и заменить всё что с ней на маску /24
авось и заработает, т.к. по настройкам вроде как ошибок то и нет ...
Ответ "накалякан"
Ждем в гости Гуру IT ...
ps. Учитель ! Если Вы сюда забредёте (а это уж наверняка ...) проверьте личку нашей переписки, плиз ...
pref. sourse указаны везде ?
маску /30 вообще лучше выкинуть на фиг и заменить всё что с ней на маску /24
авось и заработает, т.к. по настройкам вроде как ошибок то и нет ...
Ответ "накалякан"
Ждем в гости Гуру IT ...
ps. Учитель ! Если Вы сюда забредёте (а это уж наверняка ...) проверьте личку нашей переписки, плиз ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 36
- Зарегистрирован: 21 мар 2019, 13:07
В маршрутах стояли адреса, поставил интерфейсы - ситуация не поменялась. Без NAT пингуется только из одной подсети (192.168.0.0/24).
А 30 маска там нигде не указана, только local address, remote address (192.168.87.1, 192.168.87.2). Вроде в pptp- сервере невозможно указать маску. Это я так, на схеме для наглядности указал что всего два адреса.
А 30 маска там нигде не указана, только local address, remote address (192.168.87.1, 192.168.87.2). Вроде в pptp- сервере невозможно указать маску. Это я так, на схеме для наглядности указал что всего два адреса.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Схема красивая (кстати в чём рисовали?) но:
1) Не совсем понял такое (мож не так увидел), но сетка 192.168.0.0/24 описывается на Р1
как шлюзом 87.2, хотя этот адрес стоит на самом этом же Р1, зачем так?
Надо по идеи указывать шлюз удалённого роутера, то есть 87.1
1.1) При поднятии РРТР - Вы сделали Биндинг-интерфейса? И уже к этому биндингу
сделали маршрут? Иначе если Вы сделали маршрут к рртр подключению, который
при каждом подключении является новым(динамическим), то фактически Вы не
описали маршрут как бы.
(хотя у Вас и приведён пример трассировки и что мы дошли до 87.1, но дальше тишина,
отключаете НАТ и вперёд)
2) Отключите НАТ везде, и сделайте ещё раз тесты (надеюсь на компах файрволы убраны).
3) Смотрите утилитой ТОРЧ (на Р2) = что (вернее какой пакет приходит с компа 15.ххх и что у этого пакета
в качестве DST ?) И уже смотрите, Р2 видит значение DST (то есть может роутер сам для начала дойти до DST назначения?)
НИ раз мне тут приходилось и чуть ли не требовать:
ОТКЛЮЧАЙТЕ НАТЫ и изучайте логику прохода пакета....если не идёт, значит или не правильно
отсылаем, или не правильно получаем (не с того интерфейса/адреса).
Главное смотреть откуда вышел пакет и какой (с каким адресом он идёт).
1) Не совсем понял такое (мож не так увидел), но сетка 192.168.0.0/24 описывается на Р1
как шлюзом 87.2, хотя этот адрес стоит на самом этом же Р1, зачем так?
Надо по идеи указывать шлюз удалённого роутера, то есть 87.1
1.1) При поднятии РРТР - Вы сделали Биндинг-интерфейса? И уже к этому биндингу
сделали маршрут? Иначе если Вы сделали маршрут к рртр подключению, который
при каждом подключении является новым(динамическим), то фактически Вы не
описали маршрут как бы.
(хотя у Вас и приведён пример трассировки и что мы дошли до 87.1, но дальше тишина,
отключаете НАТ и вперёд)
2) Отключите НАТ везде, и сделайте ещё раз тесты (надеюсь на компах файрволы убраны).
3) Смотрите утилитой ТОРЧ (на Р2) = что (вернее какой пакет приходит с компа 15.ххх и что у этого пакета
в качестве DST ?) И уже смотрите, Р2 видит значение DST (то есть может роутер сам для начала дойти до DST назначения?)
НИ раз мне тут приходилось и чуть ли не требовать:
ОТКЛЮЧАЙТЕ НАТЫ и изучайте логику прохода пакета....если не идёт, значит или не правильно
отсылаем, или не правильно получаем (не с того интерфейса/адреса).
Главное смотреть откуда вышел пакет и какой (с каким адресом он идёт).
-
- Сообщения: 36
- Зарегистрирован: 21 мар 2019, 13:07
Рисовал в Dia. Спасибо большое за развернутый ответ! Буду разбираться.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Напишите потом, а то есть ряд (особенно сильно начинающие),
которые не до конца ничего не доводят и молчат.
Просто интересно, получилось или нет.
Тем более подача материала у Вас хорошая и наглядная.
И ещё, между микротиками нельзя связь (временно) сделать
на другом уровне, скажем IPIP туннель?
Просто может взяв другой тип туннеля, у Вас заработает, значит
есть момент того, что в РРТР не так что-то до-настроили?
P.S.
Я понимаю что на роутерах Интернет есть, и он нужен, но лучше на 5-7 минут
отключить ВЕСЬ полный НАТ, чтобы проверить...заработала ли локальная
маршрутизация, бывает в этом проблема, мы уверены что всё отключили,
а на деле не всё так.
-
- Сообщения: 36
- Зарегистрирован: 21 мар 2019, 13:07
Обязательно отвечу, но позже, убегаю на собеседование ) С микротиками только начал работать, уровень MTCNA, поэтому много чего недопонимаю, а на MTCRE чувствую рано идти. Про IPIP туннель не знаю, знаю только про PPP - туннели. Буду разбираться, спасибо.Vlad-2 писал(а): ↑22 мар 2019, 11:25Напишите потом, а то есть ряд (особенно сильно начинающие),
которые не до конца ничего не доводят и молчат.
Просто интересно, получилось или нет.
Тем более подача материала у Вас хорошая и наглядная.
И ещё, между микротиками нельзя связь (временно) сделать
на другом уровне, скажем IPIP туннель?
Просто может взяв другой тип туннеля, у Вас заработает, значит
есть момент того, что в РРТР не так что-то до-настроили?
P.S.
Я понимаю что на роутерах Интернет есть, и он нужен, но лучше на 5-7 минут
отключить ВЕСЬ полный НАТ, чтобы проверить...заработала ли локальная
маршрутизация, бывает в этом проблема, мы уверены что всё отключили,
а на деле не всё так.
-
- Сообщения: 36
- Зарегистрирован: 21 мар 2019, 13:07
Там 87.1, на схеме ошибся, на роутере всё верно.Vlad-2 писал(а): ↑22 мар 2019, 08:08 Схема красивая (кстати в чём рисовали?) но:
1) Не совсем понял такое (мож не так увидел), но сетка 192.168.0.0/24 описывается на Р1
как шлюзом 87.2, хотя этот адрес стоит на самом этом же Р1, зачем так?
Надо по идеи указывать шлюз удалённого роутера, то есть 87.1
-
- Сообщения: 36
- Зарегистрирован: 21 мар 2019, 13:07
1.1) При поднятии РРТР - Вы сделали Биндинг-интерфейса? И уже к этому биндингу
сделали маршрут? Иначе если Вы сделали маршрут к рртр подключению, который
при каждом подключении является новым(динамическим), то фактически Вы не
описали маршрут как бы.
Подскажите, пожалуйста, как это сделать? Не делал. Добавляю интерфейс pptp-server binding, а дальше не понял что нужно.
сделали маршрут? Иначе если Вы сделали маршрут к рртр подключению, который
при каждом подключении является новым(динамическим), то фактически Вы не
описали маршрут как бы.
Подскажите, пожалуйста, как это сделать? Не делал. Добавляю интерфейс pptp-server binding, а дальше не понял что нужно.
-
- Сообщения: 36
- Зарегистрирован: 21 мар 2019, 13:07
Навешиваю на него IP адрес 192.168.87.1? он становится красным.gleb2201 писал(а): ↑22 мар 2019, 11:53 1.1) При поднятии РРТР - Вы сделали Биндинг-интерфейса? И уже к этому биндингу
сделали маршрут? Иначе если Вы сделали маршрут к рртр подключению, который
при каждом подключении является новым(динамическим), то фактически Вы не
описали маршрут как бы.
Подскажите, пожалуйста, как это сделать? Не делал. Добавляю интерфейс pptp-server binding, а дальше не понял что нужно.