Не могу прописать правильно Routes в Микротик, для того чтобы получить доступ к удаленной подсети

@artwriter · Регистрация: 15.04.2014

Author24 — интернет-сервис помощи студентам

Добрый день!

С микротиком столкнулся впервые совсем недавно, так как по работе встал вопрос. Большую часть работы выполнил, но в одном месте встал в ступор. Не могу понять как прописать Routes, надеюсь что вы мне подскажите, как это сделать или может нужен какой другой вариант.

Суть такая: Есть один филиал F1 с микротик к которому подключаются удаленные клиенты VPN l2tp и второй филиал F2 с микротик. Оба филиала связаны Gre мостом.
Необходимо получить доступ к филиалу F2 удаленным клиентам vpn филиала F1.

В данный момент я получаю доступ непосредственно к обеим филиалам из филиалов. Удаленные клиенты получают доступ к филиалу F1, на котором стоит l2tp сервер. Что вы думаете по этому поводу?

@romsan · 23.07.2019, 14:43

artwriter, если просишь помощи на многих ресурсах в тырнете ,то выкладывай одинаково просьбу. А то приходиться конфиги твои на 4пда выискивать

в конфиге у тебя:

/ip address
add address=192.168.200.1/24 comment=defconf interface=ether2 network=192.168.200.0
add address=10.10.10.1/24 disabled=yes network=10.10.10.0
add address=**.149.197.**/8 interface=ether1 network=82.0.0.0
add address=192.168.20.1/24 interface=GRE:MSK->ISTRA_INTERFACE network=192.168.20.0

а в routes:

/ip route
add distance=1 gateway=**.149.197.**
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.2

откуда подсеть 192.168.1.0/24 ?

Добавлено через 4 минуты
... и это не понятно:

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=wlan1
add interface=ether1

??? ether1 в бридже?

@artwriter · 23.07.2019, 15:21 **[ТС]**

Сорри, я просто на 4pda выложил последним

Уже весь гугл перевернул до этого, немного даже отчаялся. Документацию сейчас изучаю. По поводу Ethernet, то что он в бридже, это не совсем хорошо. Но это собственно роли сейчас не играет.

192.168.1.0/24 - подсеть F1 филиала, Rout прописан для мостика Gre(192.168.20.0)

Прикладываю схемку

@romsan · 24.07.2019, 08:04

Сообщение от artwriter

192.168.1.0/24 - подсеть F1 филиала

а F2 роутер знает куда отправлять ответные пакеты? Т.е. на F1 ты прописал маршрут до подсети F2. А на F2 обратный маршрут есть? Хм.. да, вижу вроде есть. Нужно смотреть куда пакеты летят по интерфейсно. Создай правило log по форварду и поставь его в самый вверх в фаерволе на одном роутере, потом на другом и посмотри куда бегут пакеты.

@artwriter · 24.07.2019, 08:44 **[ТС]**

Пакеты попадают, но при пинге интервал пишет завышен.
Сделал логи приложил их ниже в скрин. Первый филиал F1, второй филиал F2

@romsan · 24.07.2019, 08:48

мне сложно так понять. Нарисуй схему прохода пакетов:
192.168.21.224-->192.168.21.1-->192.168.20.1-->VPN-->192.168.20.2-->192.168.200.1-->192.168.200.2
Так?
Где теряются пакеты? С 192.168.21.224 по каждому узлу выполни пинг и параллельно смотри Торчем куда летят ответы пинга?

@artwriter · 24.07.2019, 09:03 **[ТС]**

Вот так получается
192.168.21.224--VPN-->192.168.21.1--Микротик Филиал F1-->192.168.20.1-->GRE-->192.168.20.2--Микротик Филиал F2-->192.168.200.1--Локалка Филиал F2-->192.168.200.2

Добавлено через 2 минуты
Потери только с VPN 192.168.21.0 до Филиала F2 192.168.200.0, ну и собственно обратно

@romsan · 24.07.2019, 09:07

маршруты вроде есть:
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.2
add distance=1 dst-address=192.168.200.0/24 gateway=192.168.20.1
но по моему неверно указаны концы туннеля. Нужно:
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.1
add distance=1 dst-address=192.168.200.0/24 gateway=192.168.20.2

Добавлено через 4 минуты
подсеть 21 это L2TP. Тебе этот туннель не нужен в маршрутизации. Ты же не сквозь него соединяешь 1.0/24 и 200.0/24
Тебе нужно связать 200.0/24 с 1.0/24 по GRE (20.1-20.2) Правильно?

@artwriter · 24.07.2019, 09:15 **[ТС]**

Дружище большое спасибо )))

Добавлено через 47 секунд
Не прописал связку я на обеих микротиках между GRE 192.168.20.1 и VPN 192.168.21.1

Добавлено через 51 секунду
romsan,

@romsan · 24.07.2019, 10:31

Сообщение от artwriter

Не прописал связку я на обеих микротиках между GRE 192.168.20.1 и VPN 192.168.21.1

не понял, а зачем тебе 21.0/24 подсеть??? это же другой туннель и за ним другая подсеть. Ведь изначально ты писал, что не можешь объеденить 1.0/24 и 200.0/24 через 20.0/24

Добавлено через 1 час 14 минут
ясно. я затупил немного

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
		1
	Не могу прописать правильно Routes в Микротик, для того чтобы получить доступ к удаленной подсети 23.07.2019, 13:25. Показов 2668. Ответов 9 Метки mikrotik (Все метки) Добрый день! С микротиком столкнулся впервые совсем недавно, так как по работе встал вопрос. Большую часть работы выполнил, но в одном месте встал в ступор. Не могу понять как прописать Routes, надеюсь что вы мне подскажите, как это сделать или может нужен какой другой вариант. Суть такая: Есть один филиал F1 с микротик к которому подключаются удаленные клиенты VPN l2tp и второй филиал F2 с микротик. Оба филиала связаны Gre мостом. Необходимо получить доступ к филиалу F2 удаленным клиентам vpn филиала F1. В данный момент я получаю доступ непосредственно к обеим филиалам из филиалов. Удаленные клиенты получают доступ к филиалу F1, на котором стоит l2tp сервер. Что вы думаете по этому поводу? 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,288
	23.07.2019, 14:43	2
	artwriter, если просишь помощи на многих ресурсах в тырнете ,то выкладывай одинаково просьбу. А то приходиться конфиги твои на 4пда выискивать в конфиге у тебя: /ip address add address=192.168.200.1/24 comment=defconf interface=ether2 network=192.168.200.0 add address=10.10.10.1/24 disabled=yes network=10.10.10.0 add address=.149.197./8 interface=ether1 network=82.0.0.0 add address=192.168.20.1/24 interface=GRE:MSK->ISTRA_INTERFACE network=192.168.20.0 а в routes: /ip route add distance=1 gateway=.149.197. add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.2 откуда подсеть 192.168.1.0/24 ? Добавлено через 4 минуты ... и это не понятно: /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge interface=wlan1 add interface=ether1 ??? ether1 в бридже? 0

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
	23.07.2019, 15:21 [ТС]	3
	Сорри, я просто на 4pda выложил последним Уже весь гугл перевернул до этого, немного даже отчаялся. Документацию сейчас изучаю. По поводу Ethernet, то что он в бридже, это не совсем хорошо. Но это собственно роли сейчас не играет. 192.168.1.0/24 - подсеть F1 филиала, Rout прописан для мостика Gre(192.168.20.0) Прикладываю схемку Миниатюры 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,288
	24.07.2019, 08:04	4
	Сообщение от artwriter 192.168.1.0/24 - подсеть F1 филиала а F2 роутер знает куда отправлять ответные пакеты? Т.е. на F1 ты прописал маршрут до подсети F2. А на F2 обратный маршрут есть? Хм.. да, вижу вроде есть. Нужно смотреть куда пакеты летят по интерфейсно. Создай правило log по форварду и поставь его в самый вверх в фаерволе на одном роутере, потом на другом и посмотри куда бегут пакеты. 0

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
	24.07.2019, 08:44 [ТС]	5
	Пакеты попадают, но при пинге интервал пишет завышен. Сделал логи приложил их ниже в скрин. Первый филиал F1, второй филиал F2 Миниатюры 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,288
	24.07.2019, 08:48	6
	мне сложно так понять. Нарисуй схему прохода пакетов: 192.168.21.224-->192.168.21.1-->192.168.20.1-->VPN-->192.168.20.2-->192.168.200.1-->192.168.200.2 Так? Где теряются пакеты? С 192.168.21.224 по каждому узлу выполни пинг и параллельно смотри Торчем куда летят ответы пинга? 0

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
	24.07.2019, 09:03 [ТС]	7
	Вот так получается 192.168.21.224--VPN-->192.168.21.1--Микротик Филиал F1-->192.168.20.1-->GRE-->192.168.20.2--Микротик Филиал F2-->192.168.200.1--Локалка Филиал F2-->192.168.200.2 Добавлено через 2 минуты Потери только с VPN 192.168.21.0 до Филиала F2 192.168.200.0, ну и собственно обратно 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,288
	24.07.2019, 09:07	8
	маршруты вроде есть: add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.2 add distance=1 dst-address=192.168.200.0/24 gateway=192.168.20.1 но по моему неверно указаны концы туннеля. Нужно: add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.1 add distance=1 dst-address=192.168.200.0/24 gateway=192.168.20.2 Добавлено через 4 минуты подсеть 21 это L2TP. Тебе этот туннель не нужен в маршрутизации. Ты же не сквозь него соединяешь 1.0/24 и 200.0/24 Тебе нужно связать 200.0/24 с 1.0/24 по GRE (20.1-20.2) Правильно? 0

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
	24.07.2019, 09:15 [ТС]	9
	Дружище большое спасибо ))) Добавлено через 47 секунд Не прописал связку я на обеих микротиках между GRE 192.168.20.1 и VPN 192.168.21.1 Добавлено через 51 секунду romsan, 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,288
	24.07.2019, 10:31	10
	Сообщение от artwriter Не прописал связку я на обеих микротиках между GRE 192.168.20.1 и VPN 192.168.21.1 не понял, а зачем тебе 21.0/24 подсеть??? это же другой туннель и за ним другая подсеть. Ведь изначально ты писал, что не можешь объеденить 1.0/24 и 200.0/24 через 20.0/24 Добавлено через 1 час 14 минут ясно. я затупил немного 0