Проблема с маршрутами через VPN

Тема в разделе "Маршрутизация", создана пользователем raf530, 7 дек 2016.

  1. raf530

    raf530 Новый участник

    Пример сети на картинке схема.jpg
    Описание:
    Есть офис, в нем стоит шлюз для управления трафиком юзеров и микротик для vpn
    -
    есть комп PC-office 192.168.1.20 (для него шлюз соответственно 192.168.1.1)
    -
    сервер-шлюз с 3мя интерфейсами:
    1-для выхода в инет
    2- для локалки ip 192.168.1.1
    3-смтрит в микротик ip 192.168.10.1
    -
    Микротик-офис (VPN serv) с интерфейсами:
    1-смотрит в инет
    2-смотрит в сервер-шлюз ip 192.168.10.2
    3- vpn 10.20.30.40

    На складе 1 комп и микротик в качестве шлюза в инет
    Комп ip 192.168.11.100
    -
    Mikrot - 192.168.11.1
    vpn-10.20.30.43
    -

    Маршруты все прописаны, статусы маршрутов на микротиках "reachable"

    Проблема: с ПК в офисе спокойно пингую ПК на складе и микротик склада. А вот обратно, с ПК на складе пинга нет.
    Микротик в офисе (VPN serv) пингует обе подсети полностью (1.0/24 и 11.0/24)

    Делаю трассировку с микротика-склад на адрес 192.168.1.20 (или любой в первой подсети)
    получаю 1йхоп на 10.20.30.40 далее маршруты не идут...
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Файрвол на ПК отключен?
    А вообщем правильно со стороны склада вешать маршрут на интерфейс. Со стороны офиса прописывать маршрут в secret клиента
    http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#Site-to-Site_PPTP в помощь
     
  3. raf530

    raf530 Новый участник

    Фаервол на пк отключен и в офисе и на складе. Маршрут на складе перевесил на интерфейс, ничего не изменилось, склад офис не видит. Не понял последнюю фразу "Со стороны офиса прописывать маршрут в secret клиента"?
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    /ppp secret поле routes.
     
  5. raf530

    raf530 Новый участник

    Понял, добавил маршрут в secret, ручной маршрут в ip routes удалил. Ситуация не поменялась из офиса я пингую микротик складa по адресу 11.1. В обратку, с микротика склада не пингую компы офиса =(
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Если вы со склада можете пингануть внутренний адрес офисного микротика, то копайте файрволл/антивирус на ПК
     
  7. raf530

    raf530 Новый участник

    фаервол на пк не причем да и отключенно все вместе с антивирусом. Судя по трассировке маршрута со склада в офис, пакеты приходят на адрес 10.20.30.40 (vpn адрес офисного микротика) и дальше не идут. При этом сам офисный микротик видит обе сети спокойно. И еще, команда пинг со склада пингует адрес 192.168.10.2 (локальный адрес офисного микротика) при этом адрес 192.168.10.1 (адрес сервака) уже не доступен! Повторюсь, офисный микротик при этом пингует все адреса 1.0/24; 10.0/24; 11.0/24

    Маршруты выглядят так:
    PCoffice -> InetGW -> MikrotOffice ->MikrotSklad -> PCsklad (мкжду микротами VPN канал, офиисный микротик впн сервер)

    Обратно по идее должно все также но в обратном порядке, а на деле так:
    PCsklad -> MirotSklad -> MikrotOffice
    И тут трассировкой я вижу vpn адрес MikrotOffice 10.20.30.40
    А пингом локальный адрес MikrotOffice 192.168.10.2, адрес 192.168.10.1 (InetGW) уже не пингуется со склада
     
    Последнее редактирование: 8 дек 2016
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Давайте вы проверите простым правилом.
    /ip firewall nat
    add chain-srcnat src-address=SKLAD_LAN dst-address=SRV action=masquerade
    Если оно взлетит - проблема точно в файрволе на SRV.
     
  9. raf530

    raf530 Новый участник

    Не взлетело =(

    Я вот не понимаю, офисный микротик 192.168.10.2 пингует SRV 192.168.10.1, А микротик склада 192.168.11.1 пингует офисный микротик 192.168.10.2, но уже не видит SRV 192.168.10.1 КАК?? На складе прописан маршрут 192.168.10.0/24 l2tp-out статус reachable
     
  10. raf530

    raf530 Новый участник

    В общем закроем эту тему. Перевел всех юзеров на микротик, убрал левый шлюз, все работает.
     
  11. zeliboba

    zeliboba Новый участник

    Не буду создать новую тему, вопрос примерно тот же:

    Есть два удаленных друг от друга микротика, лок. адреса 192.168.1.1 и 2.1 На обоих есть интернет от одного провайдера. Так же провайдер дал адреса для VPN 10.0.1.1 и 1.2 На первом микротике интернет - 2 Мбит/с, на втором - 20 Мбис/с. По VPN - 100 Мбит/с. PPTP и др. не настраивал, в роутах сделал записи:на 1 микротике- A S 192.168.2.0/24 -> 10.0.1.2 и на втором A S 192.168.1.0/24 -> 10.0.1.1. В общем все работает, компы из подсети 1.0/24 видят компы из 2.0/24 и обратно, так же и микротики друг друга. Есть комп 192.168.1.2 подключенный к 1 микротику. Так вот как то нужно сделать так, что бы он тянул интернет со второго микротика, т.к. там скорость интернета больше. Так же у обоих микротиков белые IP от прова. и так же нужно пробросит порты на этот комп, но при подключении через второй микротик. Как это реализовать?
     

    Вложения:

    • 111.JPG
      111.JPG
      Размер файла:
      16,2 КБ
      Просмотров:
      6
    Последнее редактирование: 5 май 2017
  12. Илья Князев

    Илья Князев Администратор Команда форума

    Так поставьте правильный Default Gateway.
     
    Mama нравится это.
  13. Mama

    Mama Участник

    позволю себе добавить. Если роутер, на котором пробрасываете порты, не является шлюзом по умолчанию для компа на которой вы эти порты пробрасываете, то нужен маскарадинг в сторону клиента
     
  14. zeliboba

    zeliboba Новый участник

    Подскажите, пожалуйста, где поставить этот шлюз по умолчанию и как будет выглядеть правило для маскарадинга?
    Или 2-й вариант: как сделать что бы вся подсеть за роутером с медленным интернетом работала через vpn со вторым роутером, где интернете побыстрее? Я так понимаю нужно между ними поднять PPTP где сервером будет выступать быстрый роутер? И в таком случает шлюзом должен быть не сам роутер, а vpn подключение?
     
    Последнее редактирование: 6 май 2017
  15. Mama

    Mama Участник

    Если у вас подсети видят друг друга, то не надо вам туннелей. Оставьте только один dhcp сервер, на тике с быстрым доступом, а на втором отключите. Таким образом у вас для обеих подсетей будет шлюз по умолчанию с правильным каналом
     
  16. zeliboba

    zeliboba Новый участник

    а руками это нигде задать нельзя? т.к. у меня не подняты dhcp, там несколько компов и IP камеры.
    Если задать в компе руками шлюз из другой сети, ругается и интернет не работает
     
    Последнее редактирование: 6 май 2017
  17. Mama

    Mama Участник

    На компах, в измении свойств сетевых адаптеров, в камерах так же в сетевых настройках. В пункте "шлюз по умолчанию" указываете ip микротика с широким каналом
     
  18. zeliboba

    zeliboba Новый участник

    так не работает, я уже пробовал ранее. Если компу с ИП 192.168.1.2 прописать шлюз 2.1 интернет на нем пропадает и со второго микротика (2.1) я его перестаю пинговать. маскарадинг в NAT прописан для этих подсетей. Хотя если на этом компе поднимать туннель (PPTP) до 2-го микротика инет идет через него как и надо, но пингую я его по ИП туннеля, к примеру 192.168.10.2
     
  19. Илья Князев

    Илья Князев Администратор Команда форума

    Рисуем понятную схему с адресами и линками. Прикладываем конфиги.