LINUX.ORG.RU
ФорумAdmin

Microtik 2 офиса PPTP тунель

 , ,


0

1

Приветствую!

Второй день пытаюсь решить довольно простую задачу по объединению двух офисов. Делаю все согласно документации ( http://wiki.mikrotik.com/wiki/Russian/Объединяем_офисы_с_помощью_Mikrotik#.D0... )

Дано :

- Microtik RB1100 OfficeA - Microtik 750G OfficeB - Router OS 6.1 - Схема

https://www.dropbox.com/s/bxkr5pkwgy3sqzk/Screen%20Shot%202013-07-23%20at%209.49.25.png

Клиент подключается к серверу, пакеты ходят только между роутерами. С маршрутизаторов видно компьютеры в сети, но сами компьютеры друг друга не видят. Пробовал обратную схему, OfficeA - клиент OfficeB - сервер. Результат такой же.

- Microtik 750G OfficeB 

 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          81.200.1.33               2
 1 A S  10.12.0.0/16       10.14.5.1       10.14.5.2                 1
 2 ADC  10.14.5.2/32       10.14.5.1       lam-in                    0
 3 ADC  81.200.1.33/32     81.200.1.51     ether1-gateway            0
 4 ADC  172.20.9.0/24      172.20.9.1      ether2-master-l...        0
 5 ADC  172.21.9.5/32      172.20.9.1      <pptp-support>            0

- Microtik RB1100 OfficeA 

  #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          94.127.219.1              1
 1   S  0.0.0.0/0                          77.232.0.1                2
 2 ADC  10.12.0.0/16       10.12.1.1       LAN                       0
 3 ADC  10.12.2.249/32     10.12.1.1       <pptp-support>            0
 4 ADC  10.14.5.1/32       10.14.5.2       lam-out                   0
 5 ADC  77.232.0.0/24      77.232.0.9      ISP2                      0
 6 ADC  94.127.219.0/27    94.127.219.2    ISP1                      0
 7 ADC  172.10.2.0/24      172.10.2.1      GuestNetwork              0
 8 A S  172.20.9.0/24      10.14.5.2       10.14.5.1                 1

Прошу помочь понять что и где не так. Если есть возможность подключиться по Teamviewer и тыкнуть где ошибка, буду признателен. Спасибо в виде небольшого кол-ва Bitcoin )


Вы уверены, что проблема в настройке маршрутизаторов? На клиентских машинах этих сетей указан маршут к другой сети (или маршрут по умолчанию) через Microtik?

И что показывает traceroute (tracert) с одного клиентского компьютера на другой?

mky ★★★★★
()

А Микротик, вроде бы, ethernet поверх ip умеет. Это не интереснее ли будет ? Или хочется маршрутизацию ?

AS ★★★★★
()
Ответ на: комментарий от mky

Компьютер из офиса B 

traceroute to 10.12.1.1 (10.12.1.1), 64 hops max, 52 byte packets
 1  (172.20.9.1)  2.973 ms  0.921 ms  0.868 ms
*
*
*
*

Путь идет до локального роута, а он в свою очередь должен посылать все через 10.14.5.2

shur1k
() автор топика
Ответ на: комментарий от mky 
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; default configuration
     chain=input action=accept connection-state=established 

 1   ;;; default configuration
     chain=input action=accept connection-state=related 

 2   ;;; input VPN
     chain=input action=accept protocol=tcp in-interface=ether1-gateway 
     dst-port=1723 

 3   ;;; default configuration
     chain=input action=accept protocol=icmp 

 4   ;;; default configuration
     chain=input action=drop in-interface=ether1-gateway

и officeA

Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; Allow PPTP
     chain=input action=accept protocol=gre dst-address=94.127.219.2 in-interface=ISP1 

 1   ;;; Allow PPTP
     chain=input action=accept protocol=tcp dst-address=94.127.219.2 in-interface=ISP1 dst-port=1723 

 2   ;;; microtik openvpn
     chain=input action=accept protocol=tcp dst-address=94.127.219.2 in-interface=ISP1 dst-port=1194 

 3   chain=input action=accept protocol=tcp dst-port=443 

 4   ;;; snmp from checkers
     chain=input action=accept protocol=udp src-address=90.156.151.234 dst-address=94.127.219.2 
     dst-port=161 

 5   ;;; default configuration
     chain=input action=accept protocol=icmp 

 6   ;;; default configuration
     chain=input action=accept connection-state=established in-interface=ISP1 

 7   chain=input action=accept connection-state=established in-interface=ISP2 

 8   chain=input action=accept protocol=tcp dst-address=10.12.1.1 dst-port=22 

 9   ;;; Allow established connections
     chain=input action=accept connection-state=established 

10   ;;; Allow related connections
     chain=input action=accept connection-state=related
shur1k
() автор топика
Ответ на: комментарий от shur1k

Это только цепочка input ведь? А остальные? (/ip firewall print или ip firewall filter print, ip firewall nat print, ip firewall mangle print) А то не понятно какая политика в forward, включён ли NAT.

mky ★★★★★
()
Ответ на: комментарий от mky

officeB

[support@MikroTik] > ip firewall export 
# jan/02/1970 15:24:42 by RouterOS 6.1
# software id = 5PVG-XG8Q
#
/ip firewall filter
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add chain=input comment="input VPN" dst-port=1723 in-interface=ether1-gateway \
    protocol=tcp
add chain=input comment="default configuration" protocol=icmp
add action=drop chain=input comment="default configuration" in-interface=\
    ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=ether1-gateway to-addresses=0.0.0.0

officeA 

[admin@MikroTik] > ip firewall export 
# jan/02/1970 19:26:11 by RouterOS 6.1
# software id = RPT2-GHID
#
/ip firewall address-list
add address=94.127.219.2 list=isp
add address=77.232.0.9 list=isp
/ip firewall filter
add chain=input comment="Allow PPTP" dst-address=94.127.219.2 in-interface=ISP1 protocol=gre
add chain=input comment="Allow PPTP" dst-address=94.127.219.2 dst-port=1723 in-interface=ISP1 protocol=\
    tcp
add chain=input comment="microtik openvpn" dst-address=94.127.219.2 dst-port=1194 in-interface=ISP1 \
    protocol=tcp
add chain=input dst-port=443 protocol=tcp
add chain=input comment="snmp from checkers" dst-address=94.127.219.2 dst-port=161 protocol=udp \
    src-address=90.156.151.234
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established in-interface=ISP1
add chain=input connection-state=established in-interface=ISP2
add chain=input dst-address=10.12.1.1 dst-port=22 protocol=tcp
add chain=input comment="Allow established connections" connection-state=established
add chain=input comment="Allow related connections" connection-state=related
add chain=input comment="Allow UDP" protocol=udp
add chain=input comment="Allow ICMP Ping" protocol=icmp
add chain=input comment="Access to router only from local network" src-address=10.12.0.0/16
add chain=forward comment="Access to internet from local network" in-interface=LAN src-address=\
    10.12.0.0/16
add action=drop chain=input comment="All other inputs drop" in-interface=ISP1
add action=drop chain=input comment="All other inputs drop" in-interface=ISP2
/ip firewall mangle
add action=mark-packet chain=prerouting in-interface=GuestNetwork new-packet-mark=Guest-in
add action=mark-packet chain=postrouting new-packet-mark=Guest-out out-interface=GuestNetwork
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ISP1
add action=masquerade chain=srcnat out-interface=ISP2
add action=dst-nat chain=dstnat comment=\
    "forwarding ssh to inner mikrotik interface & inner server interface" dst-address=94.127.219.2 \
    dst-port=22 in-interface=ISP1 protocol=tcp to-addresses=10.12.1.1 to-ports=22
add action=dst-nat chain=dstnat dst-address=77.232.0.9 dst-port=22 in-interface=ISP2 protocol=tcp \
    to-addresses=10.0.1.1 to-ports=22
add action=dst-nat chain=dstnat dst-address=94.127.219.2 dst-port=222 in-interface=ISP1 protocol=tcp \
    to-addresses=10.12.1.2 to-ports=22
add action=dst-nat chain=dstnat dst-address=77.232.0.9 dst-port=222 in-interface=ISP2 protocol=tcp \
    to-addresses=10.12.1.2 to-ports=22
add action=dst-nat chain=dstnat comment="SSH to openvpn server" dst-address=94.127.219.2 dst-port=223 \
    in-interface=ISP1 protocol=tcp to-addresses=10.12.1.105 to-ports=22
add action=dst-nat chain=dstnat dst-address=77.232.0.9 dst-port=5900 in-interface=ISP2 protocol=tcp \
    src-address=84.21.235.134 to-addresses=10.12.1.2 to-ports=5900
add action=dst-nat chain=dstnat dst-address=94.127.219.2 dst-port=5666 in-interface=ISP1 protocol=tcp \
    src-address=83.222.30.187 to-addresses=10.12.1.2 to-ports=5666
add action=dst-nat chain=dstnat dst-address=77.232.0.9 dst-port=5666 in-interface=ISP2 protocol=tcp \
    src-address=90.156.151.234 to-addresses=10.12.1.2 to-ports=5666
add action=dst-nat chain=dstnat dst-address=77.232.0.9 dst-port=5666 in-interface=ISP2 protocol=tcp \
    src-address=83.222.30.187 to-addresses=10.12.1.2 to-ports=5666

shur1k
() автор топика
Ответ на: комментарий от shur1k

А, вроде, ещё есть политики (POLICY) цепочек input и forward или их в данной версии нет? Вроде как они должны выводится командой «ip firewall print».

И попробуйте traceroute icmp пакетами (опция -I), может что изменится. Из сети 10.12.0.0/16 в сеть 172.20.9.0/24 тоже пинги не ходят? А то как-то много правил в офисеA, может там входящие из ppp-тунеля рубятся.

Если есть желание, попробуйте настроить связку «/tool sniffer»+wireshark, тогда можно будет понять где именно и какие пакеты теряются.

mky ★★★★★
()
Ответ на: комментарий от mky

Разобрался, был включен L2TP туннель, он перекрывал правила. My fail.

Спасибо за помощь!

shur1k
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin