Помощь по GRE+ipSec не все устройства "видятся" с другого конца туннеля

Тема в разделе "Маршрутизация", создана пользователем D.Maksimov, 6 мар 2019.

  1. D.Maksimov

    D.Maksimov Новый участник

    Ребята всем привет.
    Имеем траббл.

    Суть: имеем 2 маршрутизатора RB750Gr3, между ними ГРЕ + айписек (по дефолту)
    На первом адрес ГРЕ (пусть будет) 164.154.100.1/30
    лан: 10.204.125.0/24
    GW 10.204.125.1

    на втором ГРЕ: 164.154.100.2/30
    лан: 10.204.101.0/24
    GW 10.204.101.1
    во второй воткнута точка доступа, подключен передатчик фм по лан, кондей по вафле и т.д.
    если пинговать с компа в этой сети, он видит все (передатчик, кондей и тд) И микрот тоже все видит.

    НО! с 1 микрота видятся все тачки, кроме иных устройств (кондея, передатчика итд). Что делать? как быть?

    1 микрот (route)

    dst: 10.204.101.0/24
    gw: 164.154.100.2 - reachable
    ps: 10.204.125.1

    2 микрот (route)

    dst: 10.204.125.0/24
    gw: 164.154.100.1 - reachable
    ps: 10.204.101.1

    пожалуйста, помогите.
     
    Последнее редактирование: 6 мар 2019
  2. D.Maksimov

    D.Maksimov Новый участник

    p.s. если был бы фаерволл - грешил бы на него. Но его нет)) На фм передатчиках особенно.
     
  3. Pavel N

    Pavel N Участник

    а как подключена точка доступа ко второму микротику
    и какой модели точка доступа ?
    включен ли порт на микротике куда включена точка доступа в бридж ?
     
  4. Pavel N

    Pavel N Участник

    проверь на устройствах которые недоступны что там назначен не только ip адрес но и шлюз по умолчанию и что он указывает на роутер
     
  5. D.Maksimov

    D.Maksimov Новый участник

    tplink 841n.
    подключена так: из микрота один кабель в коммутатор ("тупой", обычный гигабитный длинк) и в него уже все устройства подключены.
    Поэтому тут бридж не нужен..
    Ну вот в 841 нет возможности прописать шлюз..только адрес. включение dhcp сделает только хуже.
    На микроте прописал мак роутера, чтобы тот ему по dhcp адрес с настройками дал - безуспешно( ..адрес не дает так как в роутере уже есть. А этот тплинк как я понял, не может получать по Лан dhcp. Может быть либо сервером, либо просто как коммутатор.
     
  6. Pavel N

    Pavel N Участник

    в таких случаях я делаю так

    1. На TpLink 841 отключить раздачу dhcp
    2. Назначить TpLink 841 ip адрес гарантированно не совпадающий с роутером микротик (можно даже в адресном пространстве сети раздаваемой микротиком)
    3. На микротике DHCP сделать резервацию для ip адреса занятого роутером TPLink чтоб он не раздал адрес кому либо по запросу
    4. На микротике убедится что порт куда будет включен TP link включен в бридж локальной сети микротика
    5. Подключить в микротик порт 1-4 TP Linka Любой из них если нет спец настроек то они равнозначны (НЕ!!!! ПОРТ КУДА ВХОДИТ ИНТЕРНЕТ )

    далее по wifi и проводом можно подключать устройства к TPlink
    DHCP сервером у них должен быть микротик он и раздаст все нужные настройки (даже клиентам подключенным по wifi)
    В такой схеме все должно работать

    TPlink в этом случае превращается в глупую точку доступа которая заменяет медный кабель при подключении к встроенному в него свитчу
     
  7. D.Maksimov

    D.Maksimov Новый участник

    так у меня так и есть!)) но не работает((
     
  8. Pavel N

    Pavel N Участник

    если есть возможность - зайди и глянь какой шлюз получили устройства подключенные по WiFi
    равен он адресу микротика или нет
     
    Последнее редактирование: 8 мар 2019
  9. D.Maksimov

    D.Maksimov Новый участник

    да, равен.
    и напомню, микрот видит устройства в своей сети. а другой микрот (на том конце гре) - уже нет..
     
  10. Pavel N

    Pavel N Участник

    это как раз и не удивительно т.к. сам микротик находится в одном с ними сегменте сети и даже без настройки шлюза по умолчанию он будет видеть устройства в своем сегменте локальной сети
    а вот тот что за GRE будет работать только если шлюз есть
    хорошо - шлюз в порядке этот вариант отброшен - вопрос проверен и закрыт

    а другие устройства из за туннеля видятся ?
    можно например Traceroute проверить на каком шаге рубится доступ из за барьера
    отследить в пакетах на разных интерфейсах например Ping на устройство за WiFi проходят ли туда пакеты в локальную сеть получателя или режутся на другом участке

    Как вариант на время проверки погасить все запрещающие правила в Ip\Firewall\Filters и RAW чтоб исключить блокировку на стороне обоих микротиков