Чегой-то я запутался. Подскажите где копать
VPN L2TP сервер и два клиента все микротики. на сервере концы тоннелей Х.Х.Х.1 в бридже, на клиентах Х.Х.Х.2 и Х.Х.Х.3.
Маршруты прописаны сервер пингует оба конца тоннелей и сети за ними взаимно, а вот Х.Х.Х.2 и Х.Х.Х.3 друг друга не видят, не пингуются. Соответственно и не активны маршруты до сетей за ними.
Клиенты VPN не видят друг друга
-
Ca6ko
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
(как догадка)
А сделали binding-L2TP ?
Просто при каждом подключении, сессия(и) - они для роутера новые, и маршруты
на них ранее созданные/прописанные = НЕ применяются.
Надо "прибить" юзера(логин) к интерфейсу (сделать статический) и уже этот статический
созданный (прибитый) интерфейс и использовать в таблице маршрутизации и делать маршрутизацию.
А сделали binding-L2TP ?
Просто при каждом подключении, сессия(и) - они для роутера новые, и маршруты
на них ранее созданные/прописанные = НЕ применяются.
Надо "прибить" юзера(логин) к интерфейсу (сделать статический) и уже этот статический
созданный (прибитый) интерфейс и использовать в таблице маршрутизации и делать маршрутизацию.
-
Ca6ko
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Ваши догадки правильные. Когда прошлый раз делал аналогичную схему прибивал. В этот раз забыл.
Но создание статических L2TP интерфейсов на сервере ситуацию не изменили. Концы по прежнему не видят друг друга
Но создание статических L2TP интерфейсов на сервере ситуацию не изменили. Концы по прежнему не видят друг друга
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
Ca6ko
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
попробовал на сервере задать разные IP для концов туннелей, трасероут показывает что добравшись до сервера маршрут уходит в WAN порт. Прописав маршрут могу даже пинговать на сервере оба конца , но дальше в туннель маршрут почему-то не идет уходит в WAN.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Сделайте пинг какова-то узла на одной стороне, и посмотрите торчем на другом роутере,
что и как, с каким айпи приходит...на второй стороне.
Вдруг НАТяться данные сети? Сделать исключения....в правилах...
Лучше это сделать это двумя тестами:
1) с роутера - пинг - на роутер
2) с клиента - пинг- на клиента...
Или может где-то на роутере есть сеть, с большей маской, и туда эти пакеты
по маршрутизации уходят (а им туда и не надо).
-
Erik_U
- Сообщения: 1995
- Зарегистрирован: 09 июл 2014, 12:33
l2tp у микротика на каждое соединение делает 2 IP адреса с маской /32.Ca6ko писал(а): ↑14 июл 2019, 18:23 Чегой-то я запутался. Подскажите где копать
VPN L2TP сервер и два клиента все микротики. на сервере концы тоннелей Х.Х.Х.1 в бридже, на клиентах Х.Х.Х.2 и Х.Х.Х.3.
Маршруты прописаны сервер пингует оба конца тоннелей и сети за ними взаимно, а вот Х.Х.Х.2 и Х.Х.Х.3 друг друга не видят, не пингуются. Соответственно и не активны маршруты до сетей за ними.
Один вешает на микротик, второй - на клиента.
Для двух клиентов у вас IP пространство такое (помимо IP сетей, настроенных для локальной сети и интернета)
на сервере - y.y.y.1/32 и y.y.y.2/32
на клиентах - х x.x.x.1/32 и x.x.x.2/32
Ни один их этих адресов НЕ должен быть в бридже. С этими адресами и интерфейсами взаимодействие всегда через маршрутизацию.
Чтобы было удобно ими оперировать, на микротике (l2tp сервер) нужно в настройках PPP-секретов прописать фиксированные IP (не брать их из динамического пула) и сделать 2 биндинга (L2TP сервер биндинг) для двух клиентов. В профиле для этих клиентов обязательно поставить "only one", тогда повторное соединение всегда будет делаться под этим фиксированным биндингом. В противном случае создается рядом новый интерфейс с другим именем, и настройки, сделанные для фиксированного биндинга перестают действовать.
Далее, чтобы клиенты видели друг друга, нужно на микротике ((l2tp сервер) прописать маршруты до х x.x.x.1/32 и x.x.x.2/32 через интерфейсы-биндинги с указанием pref.source y.y.y.1/32 и y.y.y.2/32 соответственно.
А чтобы из подсетей, находящихся за микротиками-клиентами заходить на микротики-клиенты, на каждом микротике-клиенте сделать маршруты до сетей y.y.y.у/32 и х x.x.x.x/32 и локальных сетей друга дружки (по 3 маршрута).
-
Ca6ko
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Спасибо всем откликнувшимся. Направили. Победил.
Опишу подробнее может кому понадобится и так схема
Клиент№1 и Сервер видят друг друга и сети за ними
Клиент№2 и Сервер видят друг друга и сети за ними
Клиент№1 и Клиент№2 не видят друг друга и сети за ними
С Клиента№1 пинг до Х.Х.Х.6 и .5 не проходят
понадобилось прописать маршруты на клиентах до концов туннелей
На клиенте №1
/ip route
add distance=1 dst-address=Х.Х.Х.5/32 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.0.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.1.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
Соответственно обратный на клиенте №2 до Х.Х.Х.2
/ip route
add distance=1 dst-address=Х.Х.Х.2/32 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.1.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.2.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
Опишу подробнее может кому понадобится и так схема
Клиент№1 и Сервер видят друг друга и сети за ними
Клиент№2 и Сервер видят друг друга и сети за ними
Клиент№1 и Клиент№2 не видят друг друга и сети за ними
С Клиента№1 пинг до Х.Х.Х.6 и .5 не проходят
понадобилось прописать маршруты на клиентах до концов туннелей
На клиенте №1
/ip route
add distance=1 dst-address=Х.Х.Х.5/32 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.0.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
add distance=1 dst-address=У.У.1.0/24 gateway= Х.Х.Х.1 pref-src= Х.Х.Х.2
Соответственно обратный на клиенте №2 до Х.Х.Х.2
/ip route
add distance=1 dst-address=Х.Х.Х.2/32 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.1.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
add distance=1 dst-address=У.У.2.0/24 gateway=Х.Х.Х.6 pref-src=Х.Х.Х.5
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.