Коллеги, всем доброго времени суток!
Бьюсь вот уже несколько дней с проблемой доступности локальной сети за пределами VPN туннеля, но никак не могу её самостоятельно решить, надеюсь вы мне поможете советом.
Сразу оговорюсь, что опыт работы админом у меня очень маленький, буквально полгода, до этого работал эникеем около 2-х лет, занимался совершенно другими задачами, поэтому если действительно желаете помочь, то проявите терпение)
Преамбула:
Открыли филиал в другом городе. Для соединения локалок (с доменом) решил использовать VPN туннель на основе L2TP + Ipsec site to site с 2 микротиками hAP ac lite. Вот упрощенная схема, ниже даю пояснения:
https://ibb.co/r7M4Y0j
В головном офисе (GW1) интернет настроен через статику, предоставляемую провайдером, а в филиале (GW2) через PPPoe (со статическим ip).
На обоих роутерах подняты DHCP сервера, настроен Firewall с маскарадом.
Параметры DHCP сервера на GW1:
https://ibb.co/0Xhfc6z
https://ibb.co/j874BYn
https://ibb.co/S0mxKyF
Параметры DHCP сервера на GW2:
https://ibb.co/s1CzJvr
https://ibb.co/qC33Cfh
https://ibb.co/yRqyCP5
Параметры правил Firewall приводить не буду, так как проблема 100% не в этом, поскольку она остается даже при выключенных правилах на обоих роутерах.
NAT GW1:
https://ibb.co/TPhFcvm
NAT GW2:
https://ibb.co/cNvdPxV
Параметры бриджа GW1:
https://ibb.co/M1zcMf8
https://ibb.co/r563dTk
Параметры бриджа GW2:
https://ibb.co/c3LSkzZ
https://ibb.co/jLZDFs2
Параметры DNS GW1:
https://ibb.co/j3PwP6K
Параметры DNS GW2 (динамические, прилетают автоматически от провайдера):
https://ibb.co/xHSJcph
Между роутерами создан VPN туннель, со следующими параметрами:
GW1:
https://ibb.co/hWzsGNq
https://ibb.co/FK4BTPY
https://ibb.co/gZM05nD
https://ibb.co/ZHVgD6d
GW2:
https://ibb.co/6nZg9yt
https://ibb.co/xfVwhvK
Для туннеля созданы маршруты
Маршруты на GW1:
https://ibb.co/ySCghWz
Маршруты на GW2:
https://ibb.co/h2kRjdH
P.S
На мой взгляд основные параметры привел, если нужно что-то еще, то обязательно дополню.
Суть проблемы:
И так, а теперь описание самой ситуации. С такой конфигурацией подключение клиента к серверу произошло буквально сразу. В состоянии подключения видно, что шифрование по ipsec работает, а пакеты мало по мало передаются.
https://ibb.co/mbZXR71
https://ibb.co/q1dzXR0
Пинги от роутеров друг к другу ходят исправно, трассировка показывает один прыжок прямиком от роутера к роутеру.
https://ibb.co/Jm64PzW
И вот дальше начинается непонятная для меня ситуация. Если попытаться пропинговать с роутера в головном офисе (GW1) хост PC3 (192.168.2.247) то пинги не проходят, а в встроенной утилите Torch мы видим следующее:
https://ibb.co/ck6Wwxg
https://ibb.co/j4cdPdz
На роутере филиала (GW2) в утилите Torch картина такая:
https://ibb.co/2qQ943Z
https://ibb.co/chq3W5V
Т.е. прием пакетов на GW 2 осуществляется, а дальше он передается на бридж и тут он как бы замыкается (поправьте если не так).
Всё бы ничего, если бы данная ситуация применялась ко всем хостам, однако если пинговать с GW1 хост PC2 (192.168.2.246), то картина уже совершенно иная
На роутере GW1 мы видим:
https://ibb.co/mtKmZgg
https://ibb.co/ZNqKDHc
На GW2:
https://ibb.co/m5SWMwG
https://ibb.co/VVT8BtX
Таким образом получается, что второй хост в сети пингуется. Пинги с хостов сети GW1 на хосты GW2 идут по тому же принципу.
Если же пинговать сеть GW1 из сети GW2 то тут становится еще интересней. Роутер GW1, контролер домена(DC) и почти все хосты, отлично пингуются с любого хоста из сети GW2.
Хост PC 3 из сети GW2 пингует хосты сети GW1:
https://ibb.co/2sK4XgS
Отслеживаем трафик в GW1:
https://ibb.co/C0wH4T4
Но вот веб-сервер (192.168.1.139) пинги не принимает.
Хост PC 3 из сети GW2 пингует веб-сервер в сети GW1:
https://ibb.co/rfJbMLr
Трафик в GW2:
https://ibb.co/HDcwNtv
Трафик в GW1:
https://ibb.co/F4D1Hyj
И вишенка на торте... как следствие неправильной работы сетевого уровня, не работает домен в сети GW2.
p.p.s
Черт возьми, никак не могу включить отображение картинок, пришлось добавить ссылки, искренне надеюсь на понимание...
Помощь в настройке L2TP+IPsec site to site для корпоративной сети
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Проблема в том, что часть хостов пингуется, а часть нет?
На тех, которые не пингуются настраивайте/отключайте firewall.
На тех, которые не пингуются настраивайте/отключайте firewall.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 23 мар 2023, 12:14
Резюмирую проблему актуальную на текущий момент.
1)Хосты, которые сидят в сети GW1 не видят хостов в сети GW2. Но маршрутизатор GW2 пингуется.
2)Хосты из сети GW2 видят хосты сети GW1, но веб-сервер недоступен, он не пингуется (он доступен только в сети GW1).
3)Не доступен контроллер домена из сети GW2, хотя по адресу он пингуется.
Так ведь ничего не включено (ни в брандмауре, ни в firewall микротиков), антивирус и тот отключил, хотя он согласно настройкам не блокирует icmp протокол.На тех, которые не пингуются настраивайте/отключайте firewall.
Последний раз редактировалось NoobAdmin 27 мар 2023, 08:32, всего редактировалось 1 раз.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Посмотрел побольше из ваших картинок: у вас NAT неправильно настроен - он в том числе и на туннели работает.
Единственным условием на маскарадах должен быть out-interface=wan_интерфейс (ну либо out-interface-list=WAN если используется).
Единственным условием на маскарадах должен быть out-interface=wan_интерфейс (ну либо out-interface-list=WAN если используется).
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 23 мар 2023, 12:14
Настроил данное правило NAT на обоих роутерах. В результате, хосты сети GW1 доступ к сайтам имеют, а на хостах сети GW2 сайты не грузят. Гугловские днс c хостов сети GW2 не пингуются. Перезагружать роутер нужно?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Конфиги приложите вместо картинок.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 23 мар 2023, 12:14
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
На втором NAT так и не изменен.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 23 мар 2023, 12:14
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Так а на что вы его там изменяли?
Учитывали, что там у вас pppoe, а не ether1?
Учитывали, что там у вас pppoe, а не ether1?
Telegram: @thexvo