Одна сеть, два Mikrotik, EoIP, vpn клиент первого микротика не видит компьютеры за вторым микротиком?

Question

[Константин]

Добрый день. Прошу помощи в такой ситуации.
Существует два филиала на одном микротик и на другом, у обоих белые IP
Настроен туннель EoIP. Туннель с локальным интерфейсом в бридже, локальная сеть одна 192.168.10.0/24 У первого маршрутизатора IP 192.168.10.250 у второго 192.168.10.251
первый раздает адреса в диапазоне 2-100 а второй 101-200.
Все компьютеры видят друг друга и у каждого филиала свой маршрутизатор шлюз для интернет.
Но возникла необходимость поднятия PPTP сервера на первом микротике, что бы человек с любой точки мира смог заходить и видеть компьютеры обеих филиалов.
Но получается что vpn клиент не видит компьютеры находящиеся за вторым микротиком.
Поднимать впн сервер на втором маршрутизаторе не выход.
Подскажите как сделать все красиво? Заранее благодарен.

Answer 1

[MrPurrPurr]

Вероятно проблема в том, что второй маршрутизатор ничего не знает о сети, из которой раздает адреса PPTP сервер. Маршрут нарисовать надо. Ну или дайте больше сведений, если это не поможет (хотя бы таблицу маршрутов с обоих маршутизаторов).

Comments

[Константин]

Скорей всего вы правы! pptp сервер первого микротика дает ip закрепленный за учетной записью там у меня локальный 10.11.1.1 удаленный 10.11.1.2 и при соединении клиента, маршрут прописывается автоматически. а второй роутер про это ничего не знает.Вопрос как правильно прописать маршрут в такой ситуации?

[MrPurrPurr]

На втором маршрутизаторе прописать:
ip route add dst-address=10.11.1.0/24 gateway=192.168.10.250
Если все ip, которые раздает pptp сервер из этой сети (10.11.1.0/24).
Можно конечно пойти длинным путем и настроить OSPF между маршрутизаторами, но в данном конкретном случае это избыточно.

[Ivan]

Можно как вариант VPN-ам выдавать IP из LAN, в определенном диапазоне, вкл. proxy-arp.

[Константин]

MrPurrPurr: Я пробовал такой маршрут но результата почему то нет.Что мне еще предоставить кроме таблицы маршрутов что бы понять в чем дело?

[MrPurrPurr]

Константин: еще бы на правила файрвола посмотреть.

[Константин]

Ivan: Я задавал VPN-ам IP из Lan результата не было, но я не включал proxy-arp.. Подскажите как его правильно включить?

[Ivan]

Константин: wiki.mikrotik.com/wiki/Manual:Interface/PPTP, "At this point (when PPTP client is successfully connected) if you try to ping any workstation form the laptop, the ping will time out because the Laptop is unable to get ARPs from workstations. The solution is to set up proxy-arp on the local interface.

/interface ethernet set Office arp=proxy-arp"

[Ivan]

Константин: А на клиентах 2-го default прописан? Т.е сами клиенты знают куда отвечать на адреса 10.11.1.0/24? Как вариант можно еще NAT попробовать сделать из ppp в LAN. заработает или нет?

[Константин]

MrPurrPurr: Больше сведений:

spoiler

Первый маршрутизатор
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S ;;; MainGW
0.0.0.0/0 Internet1-pptp 1
1 S ;;; RsrvGW
0.0.0.0/0 Internet2-pppoe 2
2 ADC 10.11.1.2/32 10.11.1.1 pptp-in1 0 удаленный vpn клиент
3 ADC 10.12.1.2/32 10.12.1.1 l2tp-in1 0 на этом строится еще один EoIP
4 ADC 10.14.1.2/32 10.14.1.1 l2tp-in2 0 на этом дублирующий EoIP со вторым микротиком
5 ADC 172.29.1.5/32 194.135.33.22 Internet2-pppoe 0
6 ADC 173.31.20.0/24 173.31.20.1 wlan2 0
7 ADC 192.168.30.0/24 192.168.10.250 bridge-local 0
8 ADC 192.168.103.0/24 192.168.103.108 ether1 0
9 A S 192.168.117.0/24 192.168.103.1 1
10 ADC 195.66.139.21/32 237.135.0.104 Internet1-pptp 0

Второй маршрутизатор
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S ;;; MainGW
0.0.0.0/0 Internet1-pptp 1
1 S ;;; RsrvGW
0.0.0.0/0 Internet2-pppoe 2
2 A S 10.11.1.0/24 192.168.30.250 1
3 ADC 10.14.1.1/32 10.14.1.2 OfficeKT 0
4 ADC 10.201.0.1/32 10.201.25.87 Internet2-pppoe 0
5 ADC 172.33.60.0/24 172.33.60.1 wlan2 0
6 ADC 192.168.30.0/24 192.168.10.251 bridge-local 0
7 A S 192.168.117.0/24 192.168.138.1 1
8 ADC 192.168.138.0/24 192.168.138.189 ether1 0
9 ADC 195.66.139.21/32 238.145.0.148 Internet1-pptp 0

ip firewall address-list
add address=0.0.0.0/8 list=bogons
add address=10.0.0.0/8 disabled=yes list=bogons
add address=127.0.0.0/16 list=bogons
add address=169.254.0.0/16 list=bogons
add address=172.16.0.0/12 list=bogons
add address=192.168.0.0/16 disabled=yes list=bogons
add address=192.0.2.0/24 list=bogons
add address=192.88.99.0/24 list=bogons
add address=198.18.0.0/15 list=bogons
add address=198.51.100.0/24 list=bogons
add address=203.0.113.0/24 list=bogons
add address=224.0.0.0/4 list=bogons
ip firewall filter
add action=drop chain=input comment="\C7\E0\F9\E8\F2\E0 RouterOS" \
connection-state=invalid
add action=drop chain=input comment="Dropping port scanners" in-interface=\
!bridge-local src-address-list=Port_Scanner
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input comment=DNS dst-port=53 protocol=udp
add chain=input comment=VPN protocol=gre
add chain=input dst-port=1701,4500,500 protocol=tcp
add chain=input dst-port=1701,4500,500 protocol=udp
add chain=input dst-port=1723 protocol=tcp src-address-list=!Port_Scanner
add chain=input comment=WinBox dst-port=8291 protocol=tcp
add action=drop chain=input
add action=drop chain=forward connection-state=invalid
add chain=forward connection-state=established
add chain=forward connection-state=related
add action=drop chain=forward src-address-list=bogons
add action=drop chain=forward dst-address-list=bogons
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=tcp dst-port=69 protocol=tcp
add action=drop chain=tcp dst-port=111 protocol=tcp
add action=drop chain=tcp dst-port=135 protocol=tcp
add action=drop chain=tcp dst-port=137-139 protocol=tcp
add action=drop chain=tcp dst-port=445 protocol=tcp
add action=drop chain=udp dst-port=69 protocol=udp
add action=drop chain=udp dst-port=111 protocol=udp
add action=drop chain=udp dst-port=135 protocol=udp
add action=drop chain=udp dst-port=137-139 protocol=udp
add action=drop chain=udp dst-port=2049 protocol=udp
add action=drop chain=udp dst-port=3133 protocol=udp
add chain=icmp icmp-options=0:0 protocol=icmp
add chain=icmp icmp-options=3:0 protocol=icmp
add chain=icmp icmp-options=3:1 protocol=icmp
add chain=icmp icmp-options=4:0 protocol=icmp
add chain=icmp icmp-options=8:0 protocol=icmp
add chain=icmp icmp-options=11:0 protocol=icmp
add chain=icmp icmp-options=12:0 protocol=icmp
add action=drop chain=icmp

[Константин]

Ivan: Я так и не понял куда поставить proxy-arp, на bridge-local первого?
На клиентах второго шлюз это IP второго, на втором так же пытался прописать маршрут в сеть vpn но ничего не вышло. Я человек не очень опытный в RouterOS и некоторых функций не понимаю, так что пожалуйста подскажите подробней что пробовать и как?

[MrPurrPurr]

Константин: Не очень понятны маршруты:
7 ADC 192.168.30.0/24 192.168.10.250 bridge-local 0
с первого и
6 ADC 192.168.30.0/24 192.168.10.251 bridge-local 0
со второго.
Компы получается все-таки получают адреса из 192.168.30.0/24?
Я так понимаю, что эту строку на втором микроте:
2 A S 10.11.1.0/24 192.168.30.250 1
вы добавили по моей рекомендации, а если ее поменять на "10.11.1.0/24 192.168.10.250 1" ничего ли не изменится?

[Константин]

MrPurrPurr: Прошу прощения за путаницу, мне тут по ходу пришлось менять диапазон локальной сети из за этого что то не сросталось. Сейчас все перепроверил сделал маршрут по вашей рекомендации и все заработало! Большое спасибо за помощь.

[MrPurrPurr]

Константин: Не забудьте пометить вопрос решенным.

[Ivan]

Константин: Proxy-ARP на интерфейс где у вас висит 192.168.10.ххх.

[Константин]

Ivan: Спасибо учту и эту полезную информацию.