Mikrotik VPN: почему линк есть, а компов нет?

Question

[Diman89]

Дано:
- Источник: www.youtube.com/watch?v=cHBkf5UeYIQ
- VPN-линк между двумя 951ми микротиками
- выключенный firewall на обоих тиках
-

ip firewall nat add action=masquerade chain=srcnat out-interface=vpn_work

на обоих тиках
- включен proxy-arp на обоих локальных бриджах тика-сервера и тика-клиента
- на каждом тике в свойствах используемого PPP-профиля указан локальный бридж

микротики между собой пингуются, пинги до компов не ходят, хотя в видео пинги есть
- что я сделал лишнего, или не доделал?
- при каких настройках (минимальных) все должно 100% работать?

Comments

[Sergey SA]

лучше бы части конфига в текстовом виде.

Answer 1

[Diman89]

С клиента:

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; allow internet for bridge_lan+bridge_guest
     chain=srcnat action=masquerade out-interface=mts_ipv4 
 1   chain=srcnat action=masquerade out-interface=mts_ipv6 
 2   chain=srcnat action=masquerade out-interface=vpn_comodo 
 3   chain=srcnat action=masquerade out-interface=vpn_work 

interface bridge print  
Flags: X - disabled, R - running 
 1  R name="bridge_local" mtu=1500 l2mtu=1598 arp=proxy-arp 
      mac-address=D4:CA:6D:CC:B9:FF protocol-mode=rstp priority=0x8000 
      auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 

ppp profile print 
Flags: * - default 
 0 * name="default" remote-ipv6-prefix-pool=(unknown) bridge=bridge_local 
     use-ipv6=yes use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=default only-one=default 
     change-tcp-mss=yes address-list=""

С сервера:

ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; Added by webbox
     chain=srcnat action=masquerade out-interface=pppoe_domru 
 1   chain=srcnat action=masquerade out-interface=pppoe_rtcom 
 2   chain=srcnat action=masquerade out-interface=pptp-tunnel

interface bridge print  
Flags: X - disabled, R - running 
 0  R name="bridge-local" mtu=1500 l2mtu=1598 arp=proxy-arp 
      mac-address=D4:CA:6D:BA:BE:F8 protocol-mode=none priority=0x8000 
      auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 

ppp profile print 
Flags: * - default 
 0 * name="default" bridge=bridge-local use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=default only-one=default 
     change-tcp-mss=yes

Answer 2

[kodi]

@Diman89
бридж есть, а "участники" где?
Настройки впн самого?
Зачем Вам НАТ между сетями? специально или просто так?)

Answer 3

[Diman89]

Зачем Вам НАТ между сетями? специально или просто так?)

я же написал, что не знаю как правильно. предыдущие правила вы видите в printе, для каждого интерфейса - свое, тут сделал по аналогии

Настройки впн самого?

На сервере:

ppp profile print 
Flags: * - default 
 0 * name="default" bridge=bridge-local use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=default only-one=default 
     change-tcp-mss=yes 

 1 * name="default-encryption" use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=yes only-one=default 
     change-tcp-mss=yes 

ppp secret print     
Flags: X - disabled 
 #   NAME       SERVICE CALLER-ID      PASSWORD      PROFILE      REMOTE-ADDRESS 
 0   tun1       pptp                   tun1          default      192.168.5.2

На клиенте - не понял как скопировать конфиг, на словах:
PPTP-Client, login+pass из сервера, profile=default, use default route=no, allow=pap, chap, mschap1, mschap2; local address=192.168.5.1

а "участники" где?

Не понял вопроса - вывод какой команды предоставить?

Comments

[kodi]

@Diman89 случайно вспомнил про Ваш вопрос.
Отвечайте пожалуйста по правилам - по веткам. А так получается Вы дали ответ на вопрос сами себе. И указывайте обращение, чтобы ответ отображался в трекере.

[kodi]

@Diman89 посмотрите другие мануалы, Вас запутали. Настраивайте по обычным текстовым, а лучше почитайте несколько и разберитесь. Ваш вопрос - это самое простое и часто настраиваемое. Дольше распутывать Вас, чем настроить заново.

[Diman89]

Я этих мануалов штук 10 минимум пересмотрел, я не понимаю что делать нужно обязательно, а что не обязательно или даже вовсе не нужно (например, маскарадинг)
Если у вас есть годный мануал - поделитесь, буду признателен

[Diman89]

@kodi, и где вы тут вообще правила увидели? Ответ не дан пока я галку "Решение" не поставлю на чьем-либо ответе

Answer 4

[Дмитрий]

Очевидно не хватает маршрутов во внутренние подсети.

Answer 5

[Diman89]

маршруты добавил на сервере и клиенте - бестолку
методом тыка нашел такую багу/фичу: на клиенте в IP/ARP добавляю руками mac+ip машины с другой подсети - пинги появляются, шара с нее открывается, все как надо; если на сервере добавлю руками на клиентскую машину - не работает
но ведь не правильно, что руками добавлять надо?
может быть, дело в разных версиях ROS? на сервере 5,25, на клиенте 6,9

Answer 6

[mormotcattery]

на первом микротике

/routing ospf network
add area=backbone network=сетка локалка на первом микротике
add area=backbone network=впн сетка

на втором микротике
/routing ospf network
add area=backbone network=сетка локалка на втором микротике
add area=backbone network=впн сетка

после этого микротики будут знать где какая сетка... а сейчас они у тебя ответы на покеты приходящие из удаленной локалки отправляют не в тунель на дефолтный шлюз...

Answer 7

[Diman89]

сделал:
на первом микротике (который сервер)

/routing ospf network
add area=backbone network=192.168.1.0/24
add area=backbone network=192.168.5.0/24

на втором микротике (который клиент)

/routing ospf network
add area=backbone network=192.168.0.1/24
add area=backbone network=192.168.5.0/24

бестолку :)

Answer 8

[kodi]

@Diman89
1. на первом роутере поднимаете pptp сервер
2. на втором поднимаете pptp клиент
3. на первом роутере прописываете постоянный маршрут к подсети за вторым роутером через pptp-ip-адрес второго роутера
4. на втором роутере прописываете постоянный маршрут к подсети за первым роутером через pptp-ip-адрес первого роутера

p.s. в обоих сетях роутеры являются шлюзами по-умолчанию?

Вкратце такая схема. Вы знаете как эти пункты реализовать?

Comments

[Diman89]

@kodi, по вашей инструкции попробую в понедельник, когда выйду на работу
да, в обоих случаях роутеры являются шлюзами по умолчанию
да, как реализовать знаю
но, маршруты я уже добавлял на оба роутера
т.е. получается что ваши советы уже реализованы, остается удалить маскарадинг на обоих роутерах и удалить routing ospf network

[kodi]

@Diman89 да, удаляйте. по-хорошему - все сбросить, мало ли где и что еще настроили и забыли.

[Diman89]

@kodi
Все сбрасывать не вариант, на сервере во всяком случае, дома еще могу подвинуться, но не на работе
Попробовал - снова бестолку :( - между роутерами внутри туннеля пинги есть, до компов - нет

[kodi]

@Diman89 если хотите могу подключиться к Вашему роутеру и посмотреть/подкрутить.

Answer 9

[dannyzubarev]

Выключите masquerade для VPN, потому что он вам не нужен для общения между сетями. Вполне логично, что клиенты не пингуются, т.к. они находятся за NAT.

Например, сеть #1 – 192.168.1.0/24, а сеть #2 – 192.168.2.0/24. Представим ситуацию, что вы делаете пинг с компьютера в сети #1 (192.168.1.2) на компьютер в сети #2 (192.168.2.2). Если очень грубо, то пакет улетает на роутер #1, который смотрит маршрут и отправляет этот пакет на роутер #2, который в свою очередь отправляет его получателю. Да, сейчас все правильно, но есть одно важное но. Т.к. у вас стоит маскарадинг, то компьютер #2 отправляет ответ на свой роутер #2, который в свою очередь из-за masquerdae меняет адрес источника с 192.168.2.2 на 192.168.2.1 и дальше по цепочке к компьютеру в сети #1.Только вот этот компьютер не примет этот пакет, так как он ждет пакета с источником 192.168.2.2, а прилетает ему с адресом 192.168.2.1. Вот где загвоздка и получается.

Решением может быть простое отключение masquerade или можно банально вписать в правило маскарадинга не преобразовывать адрес транзитных пакетов отправленных в соседнюю сеть.

/ip firewall nat add chain=srcnat action=masquerade dst-address=!192.168.0.0/16 out-interface=vpn_work

192.168.0.0/16 замените на вашу подсеть

Comments

[Diman89]

Спасибо, попробую, если kodi не поймет

[Diman89]

@dannyzubarev стоп - я же пробовал отключать маскарадинг в самом начале - это не дало эффекта

Answer 10

[MihaelSA]

Столкнулся с полностью аналогичной проблемой.
У меня стоят модели 2001UiAS.

В итоге решил её так:
1. Сбрасываем настройки роутера на дефолтные
2. Заходим на микротик через winbox по MACу
3. Нажимаем кнопку очистить дефолтную конфигурацию
4. И настраиваем всё полностью с чистого листа. В помощь этот гайд - spw.ru/solutions/razumnaya_nastrojka_rb2011
5. Дальше создаём PPtP соединение согласно вики или тому видео
6. На других роутерах всё делам аналогично

Никаких proxy-arp, ничего не надо. Всё начинает работать.

Похоже в дефолной конфигурации есть какая то загвоздка.

Единственное на что стоит обратить внимание, на моих роутерах 10 порт с поддержкой PoE и его (PoE) надо отключить, иначе скорость на порту режется до 10Мбит/с