IP PPTP провайдера совпадает с IP шлюза локальной сети!

Обсуждение ПО и его настройки
Ответить
efx
Сообщения: 4
Зарегистрирован: 17 май 2013, 19:01

17 май 2013, 19:10

Так получилось что у нас в офисе уже 50 компьютеров работают со вбитыми статическими настройками, и так получилось что IP-адрес PPTP сервера нашего нового провайдера совпадает с основным шлюзом нашей локальной сети указанным в настройках каждого из 50 компьютеров.

Проблема: когда поднимаешь PPTP соединение на роутере при IP-адресе 192.168.88.1 на порту №2, все хорошо. Как только этот адрес меняется на тот самый злосчастный IP-адрес 10.х.х.1, так роутер пытается подсоединиться не к серверу 10.х.х.1 находящемуся в локальной сети провайдера, а к самому себе! В итоге VPN соединение не устанавливается совсем!

Задача: сделать так чтобы Mikrotik RB750 раздавал Интернет в нашей локальной сети по офису NAT полученный от провайдера с таким IP-адресом 10.х.х.1 его PPTP-сервера не меняя провайдера и настроек локальной сети на каждом компьютере офиса.

Подскажите, пожалуйста, как сие можно осуществить на указанной железке?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

17 май 2013, 19:50

Никак. Не может быть такого, что бы на двух интерфейсах у шлюза была одна и та же сеть. Меняйте свои сетевые настройки и уходите от статики на dhcp.


efx
Сообщения: 4
Зарегистрирован: 17 май 2013, 19:01

17 май 2013, 22:21

похоже я не достаточно понятно все объяснил, попробую в виде картинки:
Изображение
Не может быть такого, что бы на двух интерфейсах у шлюза была одна и та же сеть.

И не сеть одна и та же у шлюза, а просто совпадение IP-адресов находящихся в совершенно разных сегментах.
Mikrotik RB750 должен соединяться к Интернету точно также как раньше это делал на его месте D-Link DIR-320 по PPTP, при этом на порте №2 который подсоединен к локальной сети должен быть IP-адрес 10.40.40.1 и чтобы менять всю корпоративную сетку из-за провайдера я даже обосновать это начальнику по IT не смогу - у нас и OpenVPN сервера завязанны на эту сеть и 1C-ки крутятся уже лет 10 все в одной сети.

Все же прошу помощи: какими средствами можно запретить PPTP-клиенту коннектиться на IP в интерфейсе №2 и заставить его искать сервер в интерфейсе №1.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

17 май 2013, 23:55

вы поймите простую вещь - у микротика есть задача присоединится к адресу 10.40.40.1. для выполнения этой задачи он должен знать маршрут к этому адресу, при просмотре своей таблицы маршрутизации он видит что путь к нему лежит через интерфейс 2. даже если вы добавите свой маршрут, его приоритет будет меньше, так как маршрут на 2ом интерфейсе имеет статус connected с наибольшим весом. все на этом ваши догадки заканчиваются. никакими натами и прочим вы этой проблемы не решите. не можете объяснить начальнику, попробуйте придумать свой протокол маршрутизации =) ну либо, поставьте еще один мтик, для соединения с провайдером, а этот оставьте для офиса.


Аватара пользователя
podarok66
Модератор
Сообщения: 3828
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

18 май 2013, 08:01

А машины перенастроить у себя что, никак?
Ну даже если и 50 машин, ничего страшного. Выделите для офиса другое адресное пространство. Если выделить для этого лишь один рабочий день, все настройки можно сменить. Даже если обходить их ножками.
Наши админы обычно тянут спички, кому остаться в ночь для такой работы, шеф пишет приказ по конторе не выключать компы по окончании рабочего дня, и назавтра основная масса компов уже перенастроена. Несколько машин, к которым ночной допуск затруднен или невозможен, настраиваются днем. На все про все сутки достаточно.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

18 май 2013, 08:04

простите , а зачем тогда придумали DHCP ?
а статические - можно резервировать .... ну серверам понятно адреса приколотить можно\нужно.


efx
Сообщения: 4
Зарегистрирован: 17 май 2013, 19:01

18 май 2013, 08:16

А зачем придумали вообще сервера?
Смена статических айпи адресов это 1% от всей работы которую необходимо проделать. Остальные 99% - это перенастройка всяких 1С'ок, PSI-шек (jabber-клиентов), почтовых клиентов, FreeBSD серверов на которых крутятся OpenVPN сервера на которые логинятся юзеры с других городов, которые используют их для входа в нашу сеть, различные торговые программы, прокси сервера на операторских машинах, я даже еще и 50% нашей инфраструктуры в офисе не перечислил. И все это не решить DHCP-сервером, и никогда так ничего не решалось.
Окей, спасибо за подсказку за вариант со вторым роутером, но 2 железки на мой взгляд это неправильно.

Кстати (хоть мысль еще не доведена до ума), но наши заграничные собратья думают иначе: http://forum.mikrotik.com/viewtopic.php ... 2&p=369188


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

18 май 2013, 12:03

вы вольны верить кому угодно, для общей информации почитайте хотя бы документацию микротика:
http://wiki.mikrotik.com/wiki/Manual:IP ... _selection

в двух словах, то что вам "заграничные собратья" предлагают идёт в разрез логики создателей микротик, т.к. в предложеном варианте будет два маршрута из двух разных таблиц маршрутов (с маркой и без марки) и среди них будет выбран тот у кого distance меньше, а меньше тот у кого статус connected он равен 0.
и кстати, мне одному кажется, или вам предлагают метить пакеты на цепочке prerouting, а не на цепочке output? вы как бы в этом тоже разберитесь, потому что локальные процессы самого микротика, а соединение с пптп сервером именно это, никак не попадают в цепочку prerouting (http://wiki.mikrotik.com/wiki/%D0%A0%D1 ... 0.BC.D0.B0)
увидеть их можете так:

Код: Выделить всё

system logging add topics=firewall action=memory disabled=no
ip firewall mangle add chain=output action=log place-before=0

и идите в лог микротика, наблюдайте за пакетами

Окей, спасибо за подсказку за вариант со вторым роутером, но 2 железки на мой взгляд это неправильно.

мне кажется это не самое страшное в вашем офисе.


efx
Сообщения: 4
Зарегистрирован: 17 май 2013, 19:01

18 май 2013, 12:31

мне кажется это не самое страшное в вашем офисе.

:)
благодарю за развернутое объяснение, сейчас буду изучать пакеты


Ответить