Маршруты через VPN

Тема в разделе "Маршрутизация", создана пользователем Dmitry_S, 6 окт 2015.

  1. Dmitry_S

    Dmitry_S Участник

    Добрый день!
    Не могу понять, почему не пингуется 192.168.9.6 c адреса 192.168.55.36?
    Схема такая (частичная, только касаемо вопроса):
    Pptp-rem-offoce.jpg
    Маршруты на микротике (маркером выделил относящиеся к вопросу):
    Routes.jpg
    Трассировка с микротика на 192.168.55.36 проходит без проблем:
    trace_55.36.JPG
    А вот на 192.168.9.6 ни в какую:
    trace_9.6.JPG
    При этом, трассировка и пинг с компьютера 192.168.9.6 на 192.168.55.36 идет без проблем:
    ping_55.36.JPG
    А в обратную сторону затык на адресе физ.порта микротика. При чем до узла 172.18.9.2 трассировка доходит (это адрес VPN клиента)
    tracert_9.6.JPG

    Помогите разобраться, что я упустил?

    PS: брандмауэры на компьютерах настроены (оба вин 7 x64)
    На файерволе всё разрешено в обе стороны, НАТа нет
    На компе 192.168.9.6 включена маршрутизация (через реестр)
     
    Последнее редактирование: 6 окт 2015
  2. vasilevkirill

    vasilevkirill Участник

    Если с 192.168.9.6 на 192.168.55.36 идет без проблем и вы не используете маркировку маршрутов, то смотрите файрвол на 192.168.9.6
     
  3. Dmitry_S

    Dmitry_S Участник

    Сейчас остановил службу брандмауэра и перезагрузил комп - не помогло, к сожалению. Других файерволов, антивирусов и т.п. там нет
     
  4. vasilevkirill

    vasilevkirill Участник

    Поставьте на бесконечный пинг и смотрите тогда по интерфейсам трафик icmp
     
  5. Dmitry_S

    Dmitry_S Участник

    А чем его можно смотреть и что мне это даст?
     
  6. vasilevkirill

    vasilevkirill Участник

    Чудес небывает, если с одной стороны пингуется а с другой нет, может быть несколько вариантов

    Вы используете в цепочке гдето NAT
    Есть блокирующее правило фаервола.
     
  7. Dmitry_S

    Dmitry_S Участник

    нет ни того ни другого - 100%
    если смотреть от микротика, то комп 192.168.55.36 подключен к физическому порту (через файервол), а комп 192.168.9.6 находится уже за VPNом (PPTP)
    Может на микротике еще какие маршруты для VPN должны быть?

    Еще непонятный момент - почему при трассировке до 192.168.9.6 (это локальный интерфейс подключившегося компа) ответ такой:
    trace_192.168.9.6.JPG
    А если на несуществующий адрес этой же сети (192.168.9.50), то ответ уже:
    trace_192.168.9.50.JPG
    Что это означает?
     
  8. vasilevkirill

    vasilevkirill Участник

    Покажите таблицу маршуртизации на 192.168.9.6
     
  9. Dmitry_S

    Dmitry_S Участник

    вот:
    Route-print.jpg
    192.168.9.1 - это адрес компа, подключенного к интернету (шлюзом по умолчанию он НЕ является). На него прописан только один маршрут на 46.228.* что бы через интернет подключиться к серверу PPTP (данный микротик)
     
  10. vasilevkirill

    vasilevkirill Участник

    добавте в таблицу маршрут 192.168.55.0/24
     
  11. Dmitry_S

    Dmitry_S Участник

    Но ведь пакеты в сеть 192.168.55.0/24 сейчас и так идут через дефолтовый шлюз 172.18.9.2
    Разве что-то изменится, если я пропишу явно route add 192.168.55.0 MASK 255.255.255.0 172.18.9.2
    Или вы что-то другое имели ввиду?

    UPD: маршрут добавил как написал выше, ничего не изменилось
     
  12. vasilevkirill

    vasilevkirill Участник

    Покажите c 192.168.9.6
    tracert -d 8.8.8.8
    tracert -d 192.168.55.36

    также с 192.168.55.36
    tracert -d 8.8.8.8
    tracert -d 192.168.9.6
     
  13. Dmitry_S

    Dmitry_S Участник

    Пожалуйста:

    с 192.168.9.6:
    tracert_from_9.6.JPG

    с 192.168.55.36
    tracert_from_55.36.JPG
     
  14. vasilevkirill

    vasilevkirill Участник

    всё очень странно
    для начало на винде сделайте правило в файрволе разрешающие с любого адреса ICMP трафик (отключение файрвола не приведёт к результату)
    если не поможет, посмотрите Torch на интерфейсе Private трафик уходит ли?
     
  15. Dmitry_S

    Dmitry_S Участник

    На 192.168.9.6 отключена служба "брандмауэр windows". Никогда не слышал, что бы в таком состоянии он что-то блокировал. В любом случае, манипулировать сейчас с брандмауэром не могу, т.к. комп находится удаленно.
    А на 192.168.55.36 брандмауэр отключен в панели управления и пинги идут к нему и от него.
    Похоже что нет, не уходит. Запустил бесконечный пинг с 55.36 на 9.6 - вот результат:
    Torch.jpg

    vasilevkirill, у меня складывается такое ощущение, что это такая фича, т.е. так и должно быть. Только не пойму, это фича микротика или винды.
     
  16. Илья Князев

    Илья Князев Администратор Команда форума

    Это не приводит к отключению брандмауэра. Только через панель управления.
    Непонятно почему у вас маршрут на бридж (последняя запись в таблице роутинга).
    Попробуйте сделать строго по инструкции. https://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#Site-to-Site_PPTP
     
    Последнее редактирование модератором: 6 фев 2019
  17. Dmitry_S

    Dmitry_S Участник

    Первый раз слышу такое утверждение. А можно узнать, из чего это следует (как проверить)?
    бридж связывает интерфейс 172.16.55.1 и wlan1
    У меня в схеме нет второго роутера. Я планировал, что роутить будет PPTP-клиент (комп с интерфейсами LAN 192.168.9.6 и VPN 172.18.6.2 и включенной маршрутизацией (IPEnableRouter=1))
    Но, как оказалось, в виндовс 7 это невозможно! Т.е. с vasilevkirill пришли к выводу, что дело в винде, а не в роутере. Либо ставить серверную ОС и поднимать "маршрутизацию и удаленный доступ", либо вместо компьютера использовать железку с PPTP-клиентом
     
    Последнее редактирование модератором: 23 янв 2019