Как прописать маршрут между тремя офисами связанными l2tp туннелями?

Question

[vd2000]

Имеется три роутера mikrotik, между которыми настроены два l2tp туннеля.
1. Центральный офис 192.168.1.1, l2tp 192.168.10.1
2. 1й офис 192.168.2.1, l2tp 192.168.10.2
3. 2й офис 192.168.3.1, l2tp 192.168.10.3
Пинги ходят только из центрального офиса, а между 1ым и 2ым не идут, подскажите, как правильно прописать маршруты?

Answer 1

[Клёвый Админ]

Первый раз меня призвали =)

Нужно разрешить в центральном офисе на файрволе хождение трафика между туннелями \ сетями, а так же добавить в каждом офисе правила маршрутизации на удалённые сети через шлюз = центральный офис (или интерфейс туннеля).

Comments

[Diman89]

разве микротик по-умолчанию что-то запрещает?

[Клёвый Админ]

Diman89: и да и нет. По-умолчанию нет, но в дефолтной конфигурации да. А как настроено конкретно у вас мне не известно. Обязательным условием является разрешение трафика между туннелями, требуется ли в вашем случае что-то дополнительно настраивать или нет - решите сами =)

[vd2000]

все правила файервола отключил, добавил маршруты:
на первом 192.168.2.0/24 -> 192.168.10.2 и 192.168.3.0/24 -> 192.168.10.3
на втором 192.168.2.0/24 -> bridge metric 1 и 192.168.0.0/16 -> 192.168.10.1 metric 0
на третьем 192.168.3.0/24 -> bridge metric 1 и 192.168.0.0/16 -> 192.168.10.1 metric 0
при таком раскладе пинги не ходили, тогда я добавил маскарадинг для ppp во всех маршрутизатораз и пинги пошли, но начились глюки с айпи телефонией...

[Клёвый Админ]

vd2000: такс, а если для начала сделать правило в NAT разрешающее (именно разрешающее) хождение трафика между данными сетями на всех мар-рах (лучше для этого использовать адрес листы). Что-то изменится?

[Клёвый Админ]

vd2000: и не совсем ясно как соотнести правила с названием маршиков, напиши ещё раз, но в той же семантике - на центральном, на первом, на втором. или приложи скрины, где видно и адресацию и маршруты.

[vd2000]

Евгений Быченко: как выглядит такое правило, можно пример?

[vd2000]

маршруты на роутерах:
центрального офиса: 192.168.2.0/24 -> 192.168.10.2 и 192.168.3.0/24 -> 192.168.10.3
1-го офиса: 192.168.2.0/24 -> bridge metric 0 и 192.168.0.0/16 -> 192.168.10.1 metric 1
2-го офиса: 192.168.3.0/24 -> bridge metric 0 и 192.168.0.0/16 -> 192.168.10.1 metric 1
метрику не совсем правильно написал )

[Клёвый Админ]

vd2000:
/ip firewall nat add chain=srcnat action=accept place-before=0 \ src-address=192.168.0.0/16 dst-address=192.168.0.0/16

такс, а у тебя реально маска /16? или ты это агрегацию маршрутов сделал?

[vd2000]

я так сделал, чтобы не прописывать каждый маршрут к каждому маршрутизатору, потому как офисов больше, чем 3... я значит не совсем правильно сделал указав различную дистанцию? попробую сейчас добавить такое правило файервола посмотрю что будет..

[Клёвый Админ]

vd2000: для прототипа нужно делать всё максимально точно, потом уже внесёш агрегацию масок, более правильные фильтры и тыды. Сейчас конструкцию нужно заставить работать =)

[vd2000]

Евгений Быченко: спасибо! это правило помогло устранить проблемы /ip firewall nat add chain=srcnat action=accept place-before=0 \ src-address=192.168.0.0/16 dst-address=192.168.0.0/16

Не понятно лишь для чего нужно добавлять эти правила в нат, почему обычных маршрутов не достаточно?

[Клёвый Админ]

vd2000: потому, что при отстутсвии таких правил, у пакета, после попадания в процессинг, меняется адрес источника и ответ на него не может быть корректно смаршрутизирован через туннель, т.е. пакет доходит до назначения, там на него формируется ответ и этот ответ направляется уже не в туннель, а во внешний интерфейс, так как в источнике пакета был адрес маскировки, а не адрес источника.

Более подробно о механике нужно смотреть вот тут wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6