Как правильно сделать маршрутизацию в микротик?

Question

[Шамиль]

В общем, есть 2 офиса с внешними ip, на них поднят pptp сервер.
Купил сегодня домой hex lite, для общего развития., но пока что-то ни в какую ))
Впн от меня к офису поднимается, но я не могу пинговать внутренние ip микротиков (пингуются только ip vpn - т.е. vpn ip - 10.1.1.1 внутренний 192.168.0.121).
Если запускать впн подключение в винде - то все стартует нормально, и я вижу все локальные ресурсы, а вот через микротик ни в какую (пингую в самом микротике).
Чую что проблема в маршрутах, так как при трассировке адреса 192.168.0.121 - у меня трафик идет через моего провайдера, и дальше тупо гибнет.
может кто подскажет, а то у меня уже мыслей даже нет

Answer 1

[Sergei E.]

Во-первых необходимо прописать маршрут к офису, PPTP не умеет выдавать их динамически, поэтому добавить нужно ручками:

# имя интерфейса может отличатся
/ip route add dst-address=192.168.0.0/24 gateway=pptp-out1

после чего должен пинговатся удаленный роутер и устройства за ним.

Во-вторых, чтобы устройства сидящие за hEX lite получили доступ к офисной сети без вмешательства в конфигурацию роутера удаленной стороны, необходимо настроить NAT:

# имя интерфейса может отличатся
/ip firewall nat
add action=masquerade chain=srcnat dst-address-list=192.168.0.0/24 out-interface=pptp-out1

Для второго подключения — аналогично.

Comments

[Шамиль]

Без nat тоже заработало (ну там были дефолтные правила, видимо поэтому). Большое спасибо

Answer 2

[Maksim]

Так мысли правильные - маршрутизация, попробуйте разобраться сами (для общего развития)

Вкратце:

Каждая из сторон должна знать сети друг друга (если не используется NAT)

Плюс совет рисуйте для себя (в первую очередь) топологию того что хотите сделать...а там же уже и ответ почти готов

Comments

[Шамиль]

у меня в маршрутах появляется динамический маршрут, который создает pptp тоннель, но он почему-то не срабатывает

[Maksim]

Шамиль: давай попробуем, еще раз прочитать что я написал выше...КАЖДАЯ ИЗ СТОРОН ДОЛЖНА ЗНАТЬ СЕТИ ДРУГ ДРУГА.

У вас так?

[Шамиль]

Maksim: нет, с той стороны я настроек не делал.. но ведь если в винде делаю впн соединение - то все работает, без лишних настроек

[Maksim]

Шамиль: все верно...потому что в винде ты имеешь IP который знает удаленная сторона :)

когда ты подключаешься микротик он как раз таки (сам микротик лично) может получать доступ ко всему (имеется виду на сервере PPTP) но когда ты через свой микротик пытаешья попасть в другую сеть (через свой же микротик который везде имеет доступ) у тебя то айпишник другой (удаленная сторона про него нечего не знает (конечно если ты не используешь NAT на своей стороне)

Поэтому у тебя два пути:

1.На удаленной стороне прописать что подсеть (с которой ты приходить со своего компа) находится вот на этом PPTP клиенте.
2.Сделать у тебя правило NAT (на своем микротике).

Попытайтесь нарисовать то что хотите (повторяюсь), это сущ. облегчим вам задачу

Answer 3

[Шамиль]

прилагаю схему, чтоб было понятнее

Maksim

Comments

[Шамиль]

блин, у Office1 ip 10.1.0.1

[Sergei E.]

Шамиль: у обоих офисов одинаковые подсети 192.168.0.0/24?

[Шамиль]

Sergei E.: Да, там все машины в одной сети

[Maksim]

Шамиль: Шамиль схема больше нужна вам (вы же хотите поднатаскаться).

1.В разных офисах одинаковые сети - явно плохая идея.
2.Ниже Сергей в принципе расписал ответ (хотя для вас лучше было самому...)
3.Ну можете попробовать еще без NAT....

[Шамиль]

Maksim: странно. я вроде писал уже такое правило.. видимо под вечер устал

[Maksim]

Шамиль: Возможно