Весьма странный глюк L2TP

Обсуждение ПО и его настройки
Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

21 дек 2018, 13:34

Бронзу для памятника уже начал готовить ...


Чего не знаем то нагуглим
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

21 дек 2018, 13:52

Если пойти по простому пути:

1) логин рртп/л2тп - привязать к новому интерфейсу (сделать PPTP/L2TP-биндинг)
2) этот биндинг(это уже постоянный интерфейс будет) - уже описать в интерфейс-листах и сделать его скажем как WAN5
3) сделать для WAN5 - все теже мангл-правила что и для остальных WAN'ов
Должно вроде работать.

Напоминаю, что все WAN подключения я поднимаю без создания автоматического шлюза по-умолчанию,
а уже руками их создаю. Возможно, что при поднятии рртр/л2тп сессии тоже нельзя выставлять эту
галочку (add default route) в настройках pptp/l2tp клиентов В ВАШЕМ случаи.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

24 дек 2018, 13:46

Постоянные биндинги для pptp и l2tp у меня разумеется давно существуют.

Ваше предложение понятно, но как то оно не укладывается у меня .... Ведь весь трафик всё равно идет или через WAN1 или через WAN2, зачем WAN5 городить ?
Может можно просто как-то VPN трафик правильно выделить, отмаркировать и направить другим способом (правилами firewall или еще как) ?


Чего не знаем то нагуглим
Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

24 дек 2018, 18:52

Когда поднимается любой Микротик VPN-клиент (скажем pptp-client) то включается интерфейс-биндинг и путь с клиента до сервера прописывается автоматически с нулевой дистанцией без всякой галочки add default root и без МЕТКИ !

Типа dst addr 10.10.50.1 gateway l2tp rechable distance 0 pref source 10.10.50.2 где 10.10.50.1 - Микротик l2tp-сервер, 10.10.50.2 - l2tp-клиент

Может в этом проблема ? Ведь получается что как ни мангли, а метка то нужная автоматом не поставится и между 10.10.50.1 и 10.10.50.2 трафик ходит по главной таблице. Может нужно в rules указывать, что для адресов 10.10.50.0/24 искать все в меченной таблице ?


Чего не знаем то нагуглим
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

24 дек 2018, 21:10

Мне сложно уже понять что у Вас и как.

Я повторюсь:
1) ко мне подключается человек, по рртр/л2тр = интерфейс я не выделяю и даже его не биндю,
я лишь ему жёстко даю сетку /29 и в рамках этой маленькой сети манипулирую, куда как его
заруливать. То есть у меня на эту сетку стоят лимиты и по скорости, и у меня эта сетка привязана
на нужный канал. А почему сетка = потому что он иногда делает 2 сессии на меня или даже бывало
три. Поэтому сетку /29 я и выделил для рртр/л2тр

2) Пробела может быть ещё в том, что Вы инициируете связь с роутера у которого уже два канала,
у которого есть шлюзы, дистанции и роутер при подключении получает шлюз (я про это говорил),
надо подключаться по рртр/д2тр без получения шлюза.
То есть канал между МТ-клиентом и МТ-сервером есть, а уже в ручном или в полу-ручном
режиме сделать нужные Вам маршруты.

3) Формально (если абстрагироваться), мой роутер поднимает ("звонит") на разных провайдеров,
и как по рррое, так и по другим бывают протоколам, естественно я такое подключение
(если я этот канал рассматриваю как канал для Интернета или канал
для маршрутизации глобального трафика) - то я такому подключению делаю
очередной WANX, поэтому я и посоветовал Вам промаркировать и VPN трафик как новый WANX.

И хоть Вы утверждаете, зачем якобы маркировать то, что уже пришло по WAN1 или по WAN2, я
тут не совсем соглашусь, и каждый отдельный канал который используется для глобала - надо
маркировать, даже если он (канал этот) был получен на базе других каналов.
(у меня к примеру есть туннель на работу, туннель используются как доступ в сеть конторы,
но в рамках туннеля у меня ещё описан каждый канал рабочий, и я могу встать на этот
канал(ы), но это всё проходит и сделано по одному провайдеру и по одному каналу).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

24 дек 2018, 22:24

Vlad2, простите, но совсем Вас не понял.

1. Вы пишите "ко мне подключается человек" - то есть Вы это pptp-сервер. У меня же на сервере никаких манглов нет и wan там один. У меня Ваши манглы настроены на l2tp-cliente, имеющим два Wan-канала. Понимаю, что принципиально разницы наверное никакой - кто клиент, а кто сервер. Но инициация идет ведь от клиента ?

2.Не понимаю как можно подключиться по VPN (пусть тот же l2tp) без получения шлюза ? Ведь шлюзом является сам l2tp-интерфейс.

3. Про этот пункт мне вообще далеко - я не провайдер.

4. Я не утверждаю, я наоборот cпрашиваю Вашего совета, так как перепробовал кучу вариантов и никак не могу добиться работы. Просто мне кажется, что раз трафик wan1 и wan2 уже промаркирован, то зачем еще отдельно то делать. Я не планирую получать интернет с этого VPN-соединения. Интернет и так с избытком есть на обоих роутерах, VPN этот мне нужен только для соединения роутеров и их локальных сетей между собой.


Если включаю Ваши манглы и смотрю на установившиеся соединения - то вижу, что всё вроде нормально - соединения все идут через wan2-route. (соединение для 1701, для 500 портов), но пинг , например внутри канала (между 10.10.50.1 Микротик-сервер и 10.10.50.2 Микротик-клиент) идет через не маркированный маршрут. Как такое может быть ?

Можете написать как Вы считаете правильно сделать отдельно маркировку для VPN с Вашей схемой манглов ?

И напишите, как правильно исключить вообще VPN-соединение из маркировки (чтобы VPN работал только по главной таблице).


Чего не знаем то нагуглим
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

24 дек 2018, 23:53

Sertik писал(а):
24 дек 2018, 22:24
1. Вы пишите "ко мне подключается человек" - то есть Вы это pptp-сервер. У меня же на сервере никаких манглов нет и wan там один. У меня Ваши манглы настроены на l2tp-cliente, имеющим два Wan-канала. Понимаю, что принципиально разницы наверное никакой - кто клиент, а кто сервер. Но инициация идет ведь от клиента ?
У меня тоже роутер, и он инициирует разные подключения, и на него тоже есть подключения из вне.
Всё в комплексе.
Sertik писал(а):
24 дек 2018, 22:24
2.Не понимаю как можно подключиться по VPN (пусть тот же l2tp) без получения шлюза ? Ведь шлюзом является сам l2tp-интерфейс.
Я имел ввиду шлюз IP. НЕ надо позволять при поднятии рртр/л2тр создавать автоматически в таблице
маршрутов IP шлюз. Я про это имел ввиду. Про галочку "add default route" - что её ставить не надо в настройках.
А то что при подключении по сеансовым протоколом есть интерфейс-шлюз, так и так понятно.
Ещё раз: я при подключении по рррое - НЕ ставлю галочку, НЕ позволяю рррое автоматически что-либо
добавлять в таблицу маршрутизации автоматом.
Sertik писал(а):
24 дек 2018, 22:24
4. Я не утверждаю, я наоборот cпрашиваю Вашего совета, так как перепробовал кучу вариантов и никак не могу добиться работы. Просто мне кажется, что раз трафик wan1 и wan2 уже промаркирован, то зачем еще отдельно то делать. Я не планирую получать интернет с этого VPN-соединения. Интернет и так с избытком есть на обоих роутерах, VPN этот мне нужен только для соединения роутеров и их локальных сетей между собой.
Ну тогда Вы где-то через чур пере-усложнили.
а) у меня все туннели = обычные
б) все соединения между роутерами офиса/друзей обычные
в) я ничего не маркирую, кроме каналов которые используются для получения интернета.
И рртр подключения Я НЕ маркирую. Я у себя сетку (192.168.ххх.ххх/29) которая закреплена для рртр,
лишь её адресацию добавил явно через какой канал её выпускать (безлимитный канал).
Sertik писал(а):
24 дек 2018, 22:24
Если включаю Ваши манглы и смотрю на установившиеся соединения - то вижу, что всё вроде нормально - соединения все идут через wan2-route. (соединение для 1701, для 500 портов), но пинг , например внутри канала (между 10.10.50.1 Микротик-сервер и 10.10.50.2 Микротик-клиент) идет через не маркированный маршрут. Как такое может быть ?
Ну вроде логично всё. Серая сеть, явно не выделена, попала в майн-таблицу маршрутизации!?
Sertik писал(а):
24 дек 2018, 22:24
Можете написать как Вы считаете правильно сделать отдельно маркировку для VPN с Вашей схемой манглов ?
Уже раза 3 написал свою мысль:
а) если канал/туннель/связь/сеансы по рртр/л2тр не используюся для маршрутизации глобального доступа
то их маркировать вообще не надо.
б) если через канал/туннель/сеансы рртр/л2тр надо ещё и глобал подать, то тогда их надо промаркировать,
и описать как отдельный новый WANX
Sertik писал(а):
24 дек 2018, 22:24
И напишите, как правильно исключить вообще VPN-соединение из маркировки (чтобы VPN работал только по главной таблице).
Зачем исключать то, что маркировать и не надо. Зачем делать двойную работу.
Так что не маркируйте.

Проверьте всё ещё раз, кажется Вы пере-усложнили конфигурацию своего роутера на текущий момент :a_g_a:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

25 дек 2018, 00:42

Спасибо !
Если VPN не нужно маркировать отдельно, так и не не нужно. Я использую Вашу схему маркировки для двух WAN, цепочки инпут (соответственно два правила по одному для каждого WAN), аутпут (также два правила) и прероутинг (четыре правила) и форвард (два правила) Всего 10 правил мангл. Всё точно по Вашей схеме.

Но ведь таким образом, трафик VPN попадает у нас в какие-то маркировки верно ? Может всё и не работает из-за того, что скажем трафик инициации VPN попадает в WAN1, a трафик самого тоннеля пытается попасть в WAN2 ?
Ну или не знаю почему не работает.
НО ЕСЛИ ЕГО НЕ НАДО МАРКИРОВАТЬ РАЗВЕ НЕ НУЖНО ЕГО КАК ТО ПРАВИЛАМИ ИСКЛЮЧИТЬ ИЗ МАРКИРОВОК ?
Ведь согласно Вашей схеме маркировок получается, что VPN-трафик маркируется !

ЕЩЁ РАЗ ПОВТОРЮ - без этих манглов VPN работает ! Как только включаю Ваши маркировки и их пути соответственно - всё, привет, обрыв коннектов VPN.

Где перемудрил - не знаю.
Ну как обычно всё, файерволл вообще отключен (всё разрешено, роутер не пограничный да и IP "серый"), ну маскарады на out-интерфейсы и на VPN. Ну какие мудрости ?

Я надеюсь в NAT при настройках маскарада не нужно указывать метки маркировок так ведь ?
Уже не знаю вообще куда смотреть ...


Чего не знаем то нагуглим
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

25 дек 2018, 03:06

Sertik писал(а):
25 дек 2018, 00:42
Спасибо !
Если VPN не нужно маркировать отдельно, так и не не нужно. Я использую Вашу схему маркировки для двух WAN, цепочки инпут (соответственно два правила по одному для каждого WAN), аутпут (также два правила) и прероутинг (четыре правила) и форвард (два правила) Всего 10 правил мангл. Всё точно по Вашей схеме.
Да, так. Но важно их правильная расстановка.
а) сначала идут цепочки INPUT (по порядку, для канала1, для канала2)
б) потом FORWARD + Prerouting (для трафика канала №1)
в) потом FORWARD + Prerouting (для трафика канала №2)
г) OUTPUT (также по порядку, канал1, канал2)
д) Prerouting (для адрес-листов), так же по порядку, канал1, канал2
Sertik писал(а):
25 дек 2018, 00:42
Но ведь таким образом, трафик VPN попадает у нас в какие-то маркировки верно ?
Нет. Как он может попасть? Как по туннелю (по новому интерфейсу, который нигде в манглах не описан)
как он может маркироваться? Для примера, WAN1 = это рррое1, WAN2=это рррое2,
как gre-tun1 суда попадёт? НИКАК. У меня явно описаны каналы WAN и маркируются то, что
является у меня WAN'ом.
Прошу прочитать это 2 раза! Я не маркирую локальные, иные и полу-локальные подключения!
Я маркирую, выделяю только те подключения что являются внешними (хотя это слово и не совсем подходит).
(то есть если мне вышестоящий роутер по GRE будет давать Интернет, я GRE опишу как новый WANх
и буду его использовать) при этом, локальный трафик по этому туннелю я как использовал, так и буду
это делать.
Sertik писал(а):
25 дек 2018, 00:42
Может всё и не работает из-за того, что скажем трафик инициации VPN попадает в WAN1, a трафик самого тоннеля пытается попасть в WAN2 ?
А как такое может быть?
Если я "натягиваю" туннель, я описываю какой адрес на одной стороне и какой адрес на другой,
то есть два микротика знают куда они коннектятся.
Ломиться на соседний адрес микротика другой микротик никак не может...
Sertik писал(а):
25 дек 2018, 00:42
НО ЕСЛИ ЕГО НЕ НАДО МАРКИРОВАТЬ РАЗВЕ НЕ НУЖНО ЕГО КАК ТО ПРАВИЛАМИ ИСКЛЮЧИТЬ ИЗ МАРКИРОВОК ?
Ведь согласно Вашей схеме маркировок получается, что VPN-трафик маркируется !
Ну где у меня маркируется ВПН?
Если я поднимаю туннель, я описываю в туннеле на каких адресах внешних он работает и всё.
Трафик внутри этого туннеля = уже локальный, и поэтому ни туннель (как интерфейс), ни трафик
проходящий по этому туннелю - ну никак у меня не маркируется, является локальным.
И всё разруливается таблицей маршрутизацией.
Sertik писал(а):
25 дек 2018, 00:42
Я надеюсь в NAT при настройках маскарада не нужно указывать метки маркировок так ведь ?
В моём примере/конфиге я не использую НАТ вместе с маркировкой.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Sertik
Сообщения: 971
Зарегистрирован: 15 сен 2017, 09:03

25 дек 2018, 11:17

Порядок правил поставил как у Вас, но это ничего не изменило.

Обнаружил, что когда включаю Ваши маркировки пропадает Интернет вообще (то есть нет пинга через маркированные маршруты до скажем 8.8.8.8) ни с какого канала.

Причем "виноваты" только цепочки input и output (только их отключаю и все работает).

То есть не в ВПН проблема то, а гораздо "раньше", просто роутер через маркированные маршруты в Интернет не выходит, - конечно, он и ВПН не может "поднять".
Когда манглы отключены, то через маршруты без меток пинг до 8.8.8.8 есть через любой канал. Да и вообще всё работает.

В чем засада то ?

Всё проверил сто раз. Может в маркировках ошибка где то ?

Можете еще раз выложить сюда или в личку можно.

И маршруты если можно (просто схематично) я правильно понимаю два не маркированных на каждый ВАН с дистанцией 1 и четыре маркированные с дистанциями 1 и 2 на каждый канал через метки out-rout ?

Простите, что достал уже Вас. Я и так уже Ваш должник ... (за прошлое). Жаль, что так далеко живёте, но может там у Вас и лучше. Подальше от суеты.
Последний раз редактировалось Sertik 25 дек 2018, 12:11, всего редактировалось 2 раза.


Чего не знаем то нагуглим
Ответить