Задать вопрос

Mikrotik VPN: почему линк есть, а компов нет?

Дано:
- Источник: www.youtube.com/watch?v=cHBkf5UeYIQ
- VPN-линк между двумя 951ми микротиками
- выключенный firewall на обоих тиках
-
ip firewall nat add action=masquerade chain=srcnat out-interface=vpn_work
на обоих тиках
- включен proxy-arp на обоих локальных бриджах тика-сервера и тика-клиента
- на каждом тике в свойствах используемого PPP-профиля указан локальный бридж

микротики между собой пингуются, пинги до компов не ходят, хотя в видео пинги есть
- что я сделал лишнего, или не доделал?
- при каких настройках (минимальных) все должно 100% работать?
  • Вопрос задан
  • 20813 просмотров
Подписаться 3 Оценить 1 комментарий
Пригласить эксперта
Ответы на вопрос 10
Diman89
@Diman89 Автор вопроса
С клиента:
ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; allow internet for bridge_lan+bridge_guest
     chain=srcnat action=masquerade out-interface=mts_ipv4 
 1   chain=srcnat action=masquerade out-interface=mts_ipv6 
 2   chain=srcnat action=masquerade out-interface=vpn_comodo 
 3   chain=srcnat action=masquerade out-interface=vpn_work 

interface bridge print  
Flags: X - disabled, R - running 
 1  R name="bridge_local" mtu=1500 l2mtu=1598 arp=proxy-arp 
      mac-address=D4:CA:6D:CC:B9:FF protocol-mode=rstp priority=0x8000 
      auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 

ppp profile print 
Flags: * - default 
 0 * name="default" remote-ipv6-prefix-pool=(unknown) bridge=bridge_local 
     use-ipv6=yes use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=default only-one=default 
     change-tcp-mss=yes address-list=""

С сервера:
ip firewall nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; Added by webbox
     chain=srcnat action=masquerade out-interface=pppoe_domru 
 1   chain=srcnat action=masquerade out-interface=pppoe_rtcom 
 2   chain=srcnat action=masquerade out-interface=pptp-tunnel

interface bridge print  
Flags: X - disabled, R - running 
 0  R name="bridge-local" mtu=1500 l2mtu=1598 arp=proxy-arp 
      mac-address=D4:CA:6D:BA:BE:F8 protocol-mode=none priority=0x8000 
      auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 

ppp profile print 
Flags: * - default 
 0 * name="default" bridge=bridge-local use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=default only-one=default 
     change-tcp-mss=yes
Ответ написан
Комментировать
@kodi
@Diman89
бридж есть, а "участники" где?
Настройки впн самого?
Зачем Вам НАТ между сетями? специально или просто так?)
Ответ написан
Комментировать
Diman89
@Diman89 Автор вопроса
Зачем Вам НАТ между сетями? специально или просто так?)

я же написал, что не знаю как правильно. предыдущие правила вы видите в printе, для каждого интерфейса - свое, тут сделал по аналогии
Настройки впн самого?

На сервере:
ppp profile print 
Flags: * - default 
 0 * name="default" bridge=bridge-local use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=default only-one=default 
     change-tcp-mss=yes 

 1 * name="default-encryption" use-mpls=default use-compression=default 
     use-vj-compression=default use-encryption=yes only-one=default 
     change-tcp-mss=yes 

ppp secret print     
Flags: X - disabled 
 #   NAME       SERVICE CALLER-ID      PASSWORD      PROFILE      REMOTE-ADDRESS 
 0   tun1       pptp                   tun1          default      192.168.5.2

На клиенте - не понял как скопировать конфиг, на словах:
PPTP-Client, login+pass из сервера, profile=default, use default route=no, allow=pap, chap, mschap1, mschap2; local address=192.168.5.1

а "участники" где?

Не понял вопроса - вывод какой команды предоставить?
Ответ написан
plin2s
@plin2s
IT, инженер
Очевидно не хватает маршрутов во внутренние подсети.
Ответ написан
Комментировать
Diman89
@Diman89 Автор вопроса
маршруты добавил на сервере и клиенте - бестолку
методом тыка нашел такую багу/фичу: на клиенте в IP/ARP добавляю руками mac+ip машины с другой подсети - пинги появляются, шара с нее открывается, все как надо; если на сервере добавлю руками на клиентскую машину - не работает
но ведь не правильно, что руками добавлять надо?
может быть, дело в разных версиях ROS? на сервере 5,25, на клиенте 6,9
Ответ написан
Комментировать
@mormotcattery
на первом микротике

/routing ospf network
add area=backbone network=сетка локалка на первом микротике
add area=backbone network=впн сетка

на втором микротике
/routing ospf network
add area=backbone network=сетка локалка на втором микротике
add area=backbone network=впн сетка

после этого микротики будут знать где какая сетка... а сейчас они у тебя ответы на покеты приходящие из удаленной локалки отправляют не в тунель на дефолтный шлюз...
Ответ написан
Комментировать
Diman89
@Diman89 Автор вопроса
сделал:
на первом микротике (который сервер)
/routing ospf network
add area=backbone network=192.168.1.0/24
add area=backbone network=192.168.5.0/24

на втором микротике (который клиент)
/routing ospf network
add area=backbone network=192.168.0.1/24
add area=backbone network=192.168.5.0/24

бестолку :)
Ответ написан
Комментировать
@kodi
@Diman89
1. на первом роутере поднимаете pptp сервер
2. на втором поднимаете pptp клиент
3. на первом роутере прописываете постоянный маршрут к подсети за вторым роутером через pptp-ip-адрес второго роутера
4. на втором роутере прописываете постоянный маршрут к подсети за первым роутером через pptp-ip-адрес первого роутера

p.s. в обоих сетях роутеры являются шлюзами по-умолчанию?

Вкратце такая схема. Вы знаете как эти пункты реализовать?
Ответ написан
dannyzubarev
@dannyzubarev
Выключите masquerade для VPN, потому что он вам не нужен для общения между сетями. Вполне логично, что клиенты не пингуются, т.к. они находятся за NAT.

Например, сеть #1 – 192.168.1.0/24, а сеть #2 – 192.168.2.0/24. Представим ситуацию, что вы делаете пинг с компьютера в сети #1 (192.168.1.2) на компьютер в сети #2 (192.168.2.2). Если очень грубо, то пакет улетает на роутер #1, который смотрит маршрут и отправляет этот пакет на роутер #2, который в свою очередь отправляет его получателю. Да, сейчас все правильно, но есть одно важное но. Т.к. у вас стоит маскарадинг, то компьютер #2 отправляет ответ на свой роутер #2, который в свою очередь из-за masquerdae меняет адрес источника с 192.168.2.2 на 192.168.2.1 и дальше по цепочке к компьютеру в сети #1.Только вот этот компьютер не примет этот пакет, так как он ждет пакета с источником 192.168.2.2, а прилетает ему с адресом 192.168.2.1. Вот где загвоздка и получается.

Решением может быть простое отключение masquerade или можно банально вписать в правило маскарадинга не преобразовывать адрес транзитных пакетов отправленных в соседнюю сеть.
/ip firewall nat add chain=srcnat action=masquerade dst-address=!192.168.0.0/16 out-interface=vpn_work

192.168.0.0/16 замените на вашу подсеть
Ответ написан
@MihaelSA
Столкнулся с полностью аналогичной проблемой.
У меня стоят модели 2001UiAS.

В итоге решил её так:
1. Сбрасываем настройки роутера на дефолтные
2. Заходим на микротик через winbox по MACу
3. Нажимаем кнопку очистить дефолтную конфигурацию
4. И настраиваем всё полностью с чистого листа. В помощь этот гайд - spw.ru/solutions/razumnaya_nastrojka_rb2011
5. Дальше создаём PPtP соединение согласно вики или тому видео
6. На других роутерах всё делам аналогично

Никаких proxy-arp, ничего не надо. Всё начинает работать.

Похоже в дефолной конфигурации есть какая то загвоздка.

Единственное на что стоит обратить внимание, на моих роутерах 10 порт с поддержкой PoE и его (PoE) надо отключить, иначе скорость на порту режется до 10Мбит/с
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы