2 Mikrotika, EoIP via PPTP = проблемы с маршрутизацией трафика. Как настроить?

Question

[xooler]

Задачи:

1. Выкинуть WinBox роутера 2 на 4G Модеме на Публичный IP 1.1.1.1
2. Прокинуть DHCP с 192.168.60.5 через Relay,что бы сеть была прозрачной для всех клиентов сети.
3. К роутеру в дальнейшем будут подключены 2 IP Камеры по LAN. Их тоже хотелось бы как-то видеть через публичный IP.

Имеем :

Роутер 1.
RB951G-2HnD который подключен к интернету через 1й порт,который по обычаю назван WAN
На 1м WAN порту статический ip от провайдера 1.1.1.1
Поднят DHCP + NAT
Далее сеть формата 192.168.60.x
Поднят PPtP сервер 192.168.60.5 - 192.168.60.115
Поднят EoIP туннель 192.168.60.5 - 192.168.60.115

Роутер 2.
RB951G-2HnD который подключен к интернету через 4G Модем МегаФон М-150 aka Плохойпуть Е3276.
4G по месту дислокации роутера еще нет,однако есть HSPA+ со скоростью 8Mbit Down & 1,2Mbit Up
Используется 2 правила NetWatch :
1.проверяет ping до 8.8.8.8 и если все плохо - запускает скрипт,который передергивают питание 4G USB модема.
2.проверяет ping главного роутера 192.168.60.5 Если пинга нет - выключаем и включаем интерфейс.
Поднят DHCP + NAT
Далее сеть формата 192.168.88.x
Поднят PPtP сервер 192.168.60.115 - 192.168.60.5
Поднят EoIP туннель 192.168.60.115 - 192.168.60.5

При выполнение ping роутеры друг друга видят.

На интерефейсе PPTP только ICMP пинг.
На интерфейсе EoIP проходит только ARP пинг.
Почему так происходит?

Как все правильно настроить и завернуть внутренний трафик из сети 192.168.60 (мы же будет использовать DHCP Relay) со второго роутера в EoIP,а интернет на 4G?

Читал много статей,но у всех разные случаи. Похожих на мой не нашел. Жду советов и линков.

P.S.

Еще наверное будут проблемы с MTU в EoIP из-за 4G модема... Тут тоже потребуются здравые мысли по теме.

Answer 1

[Клёвый Админ]

Уффф, реально каша. Чтобы во всём разобраться - пробуем для начала изложить картину "как надо"

1. Нужно чтобы локальные сети у обоих сайтов были разные.
а. Разные между друг другом
б. Отличались от служебных \ транзитных сетей
2. Не понятно нафига используется и PPTP и EoIP, потому первый выкидываем, оставляем только туннель EoIP и делаем его через стандартные настройки (безопасность IPSec'ом добавим как приправу поверх, но позже)
а. Подняли туннель, подняли на каждом конце адрес из транзитной сети (например 172.16.0.0/30), пропинговали адреса внутри туннеля
3. Подняли маршрутизацию до сайтов через дальние концы туннеля, так для сайта А, где сеть А.А.А.А маршрут до сайта В с сетью В.В.В.В будет такой
В.В.В.В gateway=IP_EOIP_B
И наоборот
A.A.A.A gateway=IP_EOIP_A
4. Исключили такой трафф из НАТА и разрешили в Фильтре, проверили пинги ходят между тачками.
5. Если по непонятной причине нужен ещё и PPTP на каждой площадке - то поднимаем его в _других диапазонах_!
6. IP Sec по вкусу в транспортном режиме (там всё просто) - гуглите.

Comments

[xooler]

2. Научите поднимать EoIP на одном внешнем IP - будет круто. Все же из того,что я прочел без двух внешних IP никак. Когда их нет - поднимают PPTP,L2TP с IPSEC. Что бы поднялся EoIP он же должен видеть между чем подняться...

[Клёвый Админ]

xooler: такс, если у вас один адрес сер, как снег в центре города - то выход поднять l2tp клиент и настроить l2tp сервер на белой стороне. Дальше этот туннель очень легко (в МК это встроенная поддержка) закрывается поверх IPSec.

Принцип тот же. Главное не городить туннель в туннеле и использовать разные сети, чтобы избежать пересечения, петель и бриджевания.

[xooler]

Евгений Быченко: Так я собственно так и сделал, о чем писал в "каше" :) Только вместо L2TP с IPSEC у меня PPTP. Шифрование очень сильно просадит канал,который на 3г висит...

[Клёвый Админ]

xooler: такс, теперь к сути =) Что не так? Что смущает или не работает? Шифрование канал не просадит, там размер данных почти не меняется, а вот процы на девайсах нагрузит, но опят же если канал небольшой то и нагрузка тоже будет небольшая.

[xooler]

Евгений Быченко: Сейчас я хочу один DHCP на всю сеть. Ну и что-бы трафик на роутере с 4Г шел через 4Г,а не в через туннель. Далее очень хочу видеть WinBox "Серого роутера" через белый IP второго. Шифрование я думаю в последнюю очередь поднимать,что бы почувствовать разницу до и после.

[Клёвый Админ]

xooler: один DHCP эт не самая лучшая затея, особенно если связь может разорваться. Как бы нет связи - нет раздачи адресов. По трафику могу сказать только после того как маршруты увижу. В классической схеме - просто должен быть маршрут на шлюз оператора. Для винбокса нужен Dnat на первом роутере.

[xooler]

Евгений Быченко: это с каким ключем роут принт надо сделать? :)

[Клёвый Админ]

xooler: это в терминале у микротика /ip route print
или скриншоты снять.
Или трасерт сделать

Answer 2

[Sergey SA]

каша какая-то.
либо стиль изложения такой.
попробую для начала понять
есть 2 точки с роутерами, задача - сделать общую L2 сеть. (про остальные пока не говорим)
в таком случае, вам нужен eoip тунель между микротиками, на интерфейсы тунеля адреса вешать не нужно.
тунель нужно строить между внешними адресами.
после того как тунель настроень, нужно включить в мост LAN интерфейс (раздающий адреса) и интерфейс тунеля eoip, с другой стороны в мост LAN и eoip тунель.

Comments

[xooler]

Внешний адрес только один. Канал связи 3Г, шифрование не требуется. PPTP поднят только ради того,что бы EoIP поднялся. Я же правильно понимаю,что для прозрачности сети DHCP должен быть один для обоих роутеров?