Решено! Маршруты из одного vpn клиента к другому

Обсуждение ПО и его настройки
Ответить
kinDick
Сообщения: 13
Зарегистрирован: 09 ноя 2017, 07:21

Всем здравствуйте!
Есть роутер с белым айпи и к нему через pptp туннели подключены два других роутера.
на 192.168.5.0 прописано так:
add distance=1 dst-address=192.168.88.0/24 gateway=192.168.77.1
add distance=1 dst-address=192.168.4.0/24 gateway=192.168.77.1​

На 192.168.4.0 соответственно:
add distance=1 dst-address=192.168.88.0/24 gateway=192.168.77.1
add distance=1 dst-address=192.168.5.0/24 gateway=192.168.77.1​

А на 88.0:
add distance=1 dst-address=192.168.4.0/24 gateway=192.168.77.4
add distance=1 dst-address=192.168.5.0/24 gateway=192.168.77.5​

С главного роутера и на него пинги идут. А с 5.0 на 4.0 и наоборот нет. Если например на 4.0 включить в настройках туннеля add default route, то он (4.0) начинает пинговаться. Но мне не нужно чтоб весь трафик шёл через главный роутер.
Подскажите пожалуйста где я торможу.
routes.jpg
routes.jpg (35.34 КБ) 7286 просмотров
Последний раз редактировалось kinDick 10 ноя 2017, 04:52, всего редактировалось 2 раза.


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

1. 192.168.77.1, 192.168.77.4, 192.168.77.5​ - это разные подсети с маской /32. В gateway лучше указать не адрес, а интерфейс (имя pptp интерфейса). В вашем маршруте вы шлюзом указывавете адрес из соседней сети, а не своей. Он и не должен работать. Когда ставите галку "адд дефолт роутер", у вас еще один маршрут прописывается, с корректным синтаксисом, поэтому и работает.

2. 192.168.77.1, 192.168.77.4, 192.168.77.5​, 192.168.4.1-192.168.4.254, 192.168.5.1-192.168.5.254, 192.168.88.1-192.168.88.254 добавьте в 1 адрес-лист на всех роутерах.
А этот адрес лист добавьте в исключение запрещающих правил фаервола на всех роутерах. (Это на всякий случай. Потому, что не видно, что у вас там и как.)


kinDick
Сообщения: 13
Зарегистрирован: 09 ноя 2017, 07:21

Спасибо! Я так и думал, но никак понять не мог как одному клиенту прописать о существовании другого правильно.
Erik_U писал(а):192.168.77.1, 192.168.77.4, 192.168.77.5​, 192.168.4.1-192.168.4.254, 192.168.5.1-192.168.5.254, 192.168.88.1-192.168.88.254 добавьте в 1 адрес-лист на всех роутерах.
А этот адрес лист добавьте в исключение запрещающих правил фаервола на всех роутерах.

А адрес-лист в ip-adressess или ip-firewall-adress list?


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

в ip-firewall-adress list


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

в ip-firewall-adress list
а исключение сделать добавив в правиле название листа в строку Src. Address List, с поставленным ! (восклицательным знаком).


kinDick
Сообщения: 13
Зарегистрирован: 09 ноя 2017, 07:21

Erik_U писал(а):1. 192.168.77.1, 192.168.77.4, 192.168.77.5​ - это разные подсети с маской /32. В gateway лучше указать не адрес, а интерфейс (имя pptp интерфейса). В вашем маршруте вы шлюзом указывавете адрес из соседней сети, а не своей. Он и не должен работать. Когда ставите галку "адд дефолт роутер", у вас еще один маршрут прописывается, с корректным синтаксисом, поэтому и работает.

Когда указываю имя. Туннель через какое-то время падает. Т.е. он не падает, но пинги через него вообще пропадают.
А как правильно маршрут прописать с одной клиентской подсети до другой?

А маршрут корректный там прописывается просто 0.0.0.0 через этот шлюз.. Причём чтоб пинги шли до роутера, нужна именно на нём (том который пингуют, а не с которого пингуют) указать дефайл роут. Будто он назад понги не выпускает )


Erik_U
Сообщения: 1755
Зарегистрирован: 09 июл 2014, 12:33

Бывает, когда связь не стабильна, пптп соединение падает, и клиент создает новое. А на сервере старое еще висит. Поэтому новое и называется по другому, и вообще, оно другое соединение.

Чтобы этого не происходило, я для каждого подобного клиента (когда это другой микротик со своей подсетью. к которой нужно маршрутизацию строить) создаю отдельный свой собственный "secret", в котором указываю конкретные IP с обоих сторон (не из пула, а конкретные). И свой собственный "profile", в котором обязательно стоит галочка на "only one". И интерфейс создаю "пптп сервер биндинг" статический для каждого такого подключения с фиксированным именем. Тогда при обрыве/восстановлении подключения ничего старого не висит, и правильные имена всегда в наличии.


kinDick
Сообщения: 13
Зарегистрирован: 09 ноя 2017, 07:21

Erik_U писал(а):Бывает, когда связь не стабильна, пптп соединение падает, и клиент создает новое. А на сервере старое еще висит. Поэтому новое и называется по другому, и вообще, оно другое соединение.

Чтобы этого не происходило, я для каждого подобного клиента (когда это другой микротик со своей подсетью. к которой нужно маршрутизацию строить) создаю отдельный свой собственный "secret", в котором указываю конкретные IP с обоих сторон (не из пула, а конкретные). И свой собственный "profile", в котором обязательно стоит галочка на "only one". И интерфейс создаю "пптп сервер биндинг" статический для каждого такого подключения с фиксированным именем. Тогда при обрыве/восстановлении подключения ничего старого не висит, и правильные имена всегда в наличии.

Спасибо Вам за помощь. Как оказалось в маршрутах нужно было указать Pref. Source! И всё забегало как надо. Файрвол тут не причём
Вложения
Снимок экрана 2017-11-10 в 9.53.34.png
(47.22 КБ) 0 скачиваний


vihaz
Сообщения: 2
Зарегистрирован: 15 авг 2016, 19:23

Как всегда "решено" без самого решения.
Так что же необходимо вставить в "pref source", что бы всё забегало?


Ответить