Не могу прописать правильно Routes в Микротик, для того чтобы получить доступ к удаленной подсети

@artwriter · Регистрация: 15.04.2014

Author24 — интернет-сервис помощи студентам

Добрый день!

С микротиком столкнулся впервые совсем недавно, так как по работе встал вопрос. Большую часть работы выполнил, но в одном месте встал в ступор. Не могу понять как прописать Routes, надеюсь что вы мне подскажите, как это сделать или может нужен какой другой вариант.

Суть такая: Есть один филиал F1 с микротик к которому подключаются удаленные клиенты VPN l2tp и второй филиал F2 с микротик. Оба филиала связаны Gre мостом.
Необходимо получить доступ к филиалу F2 удаленным клиентам vpn филиала F1.

В данный момент я получаю доступ непосредственно к обеим филиалам из филиалов. Удаленные клиенты получают доступ к филиалу F1, на котором стоит l2tp сервер. Что вы думаете по этому поводу?

@romsan · 23.07.2019, 14:43

artwriter, если просишь помощи на многих ресурсах в тырнете ,то выкладывай одинаково просьбу. А то приходиться конфиги твои на 4пда выискивать

в конфиге у тебя:

/ip address
add address=192.168.200.1/24 comment=defconf interface=ether2 network=192.168.200.0
add address=10.10.10.1/24 disabled=yes network=10.10.10.0
add address=**.149.197.**/8 interface=ether1 network=82.0.0.0
add address=192.168.20.1/24 interface=GRE:MSK->ISTRA_INTERFACE network=192.168.20.0

а в routes:

/ip route
add distance=1 gateway=**.149.197.**
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.2

откуда подсеть 192.168.1.0/24 ?

Добавлено через 4 минуты
... и это не понятно:

/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=wlan1
add interface=ether1

??? ether1 в бридже?

@artwriter · 23.07.2019, 15:21 **[ТС]**

Сорри, я просто на 4pda выложил последним

Уже весь гугл перевернул до этого, немного даже отчаялся. Документацию сейчас изучаю. По поводу Ethernet, то что он в бридже, это не совсем хорошо. Но это собственно роли сейчас не играет.

192.168.1.0/24 - подсеть F1 филиала, Rout прописан для мостика Gre(192.168.20.0)

Прикладываю схемку

@romsan · 24.07.2019, 08:04

Сообщение от artwriter

192.168.1.0/24 - подсеть F1 филиала

а F2 роутер знает куда отправлять ответные пакеты? Т.е. на F1 ты прописал маршрут до подсети F2. А на F2 обратный маршрут есть? Хм.. да, вижу вроде есть. Нужно смотреть куда пакеты летят по интерфейсно. Создай правило log по форварду и поставь его в самый вверх в фаерволе на одном роутере, потом на другом и посмотри куда бегут пакеты.

@artwriter · 24.07.2019, 08:44 **[ТС]**

Пакеты попадают, но при пинге интервал пишет завышен.
Сделал логи приложил их ниже в скрин. Первый филиал F1, второй филиал F2

@romsan · 24.07.2019, 08:48

мне сложно так понять. Нарисуй схему прохода пакетов:
192.168.21.224-->192.168.21.1-->192.168.20.1-->VPN-->192.168.20.2-->192.168.200.1-->192.168.200.2
Так?
Где теряются пакеты? С 192.168.21.224 по каждому узлу выполни пинг и параллельно смотри Торчем куда летят ответы пинга?

@artwriter · 24.07.2019, 09:03 **[ТС]**

Вот так получается
192.168.21.224--VPN-->192.168.21.1--Микротик Филиал F1-->192.168.20.1-->GRE-->192.168.20.2--Микротик Филиал F2-->192.168.200.1--Локалка Филиал F2-->192.168.200.2

Добавлено через 2 минуты
Потери только с VPN 192.168.21.0 до Филиала F2 192.168.200.0, ну и собственно обратно

@romsan · 24.07.2019, 09:07

маршруты вроде есть:
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.2
add distance=1 dst-address=192.168.200.0/24 gateway=192.168.20.1
но по моему неверно указаны концы туннеля. Нужно:
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.1
add distance=1 dst-address=192.168.200.0/24 gateway=192.168.20.2

Добавлено через 4 минуты
подсеть 21 это L2TP. Тебе этот туннель не нужен в маршрутизации. Ты же не сквозь него соединяешь 1.0/24 и 200.0/24
Тебе нужно связать 200.0/24 с 1.0/24 по GRE (20.1-20.2) Правильно?

@artwriter · 24.07.2019, 09:15 **[ТС]**

Дружище большое спасибо )))

Добавлено через 47 секунд
Не прописал связку я на обеих микротиках между GRE 192.168.20.1 и VPN 192.168.21.1

Добавлено через 51 секунду
romsan,

@romsan · 24.07.2019, 10:31

Сообщение от artwriter

Не прописал связку я на обеих микротиках между GRE 192.168.20.1 и VPN 192.168.21.1

не понял, а зачем тебе 21.0/24 подсеть??? это же другой туннель и за ним другая подсеть. Ведь изначально ты писал, что не можешь объеденить 1.0/24 и 200.0/24 через 20.0/24

Добавлено через 1 час 14 минут
ясно. я затупил немного

Новые блоги и статьи
Как написать микросервис на Go/Golang InfoMaster 14.01.2025 Определение микросервиса, преимущества использования Go/ Golang Микросервис – это архитектурный подход к разработке программного обеспечения, при котором приложение состоит из небольших, независимо. . .	Как написать микросервис с нуля на C# InfoMaster 14.01.2025 В современном мире разработки программного обеспечения микросервисная архитектура стала стандартом де-факто для создания масштабируемых и гибких приложений. Этот архитектурный подход предполагает. . .	Как создать интернет-магазин на PHP и JavaScript InfoMaster 14.01.2025 В современном мире электронная коммерция стала неотъемлемой частью бизнеса. Создание собственного интернет-магазина открывает широкие возможности для предпринимателей, позволяя достичь большей. . .	Как написать Тетрис на Ассемблере InfoMaster 14.01.2025 Тетрис – одна из самых узнаваемых и популярных компьютерных игр, созданная в 1984 году советским программистом Алексеем Пажитновым. За прошедшие десятилетия она завоевала симпатии миллионы людей по. . .	Как создать игру "Танчики" на Unity3d и C# InfoMaster 14.01.2025 Разработка игр – это увлекательный процесс, сочетающий в себе творчество и технические навыки. В этой статье мы рассмотрим создание классической игры "Танчики" с использованием Unity3D и языка. . .	Организую платный онлайн микро-курс по доработке Android-клиента Telegram _Ivana 14.01.2025 Официальная версия и распространенные форки не полностью устраивают? Сделай свою кастомную версию клиента! 4 занятия по 2 часа (2 недели пн, ср 19:00-21:00 по Москве). Первое вводное занятие. . .
Как создать приложение для фитнеса для iOS/iPhone на Kotlin InfoMaster 14.01.2025 Создание собственного фитнес-приложения — это не только захватывающий, но и полезный процесс, ведь оно может стать вашим верным помощником на пути к здоровому и активному образу жизни. В современных. . .	Как создать приложение магазина для iOS/iPhone на Swift InfoMaster 14.01.2025 Введение в разработку iOS-приложений Разработка приложений для iPhone и других устройств на базе iOS открывает огромные возможности для создания инновационных мобильных решений. В данной статье мы. . .	Это работает. Скорость асинхронной логики велика. Вопрос видимо останется в стабильности. Плата - огонь! Hrethgir 13.01.2025 По прошлому проекту в Logisim Evolution https:/ / www. cyberforum. ru/ blogs/ 223907/ blog8781. html прилагаю файл архива проекта в Gowin Eda. Восьмибитный счётчик из сумматора+ генератор сигнала. . .	UserScript для подсветки кнопок языков программирования в зависимости от текущего раздела volvo 13.01.2025 В результате работы этого скрипта подсвечиваются нужные кнопки не только в форме быстрого ответа, но и при редактировании сообщения: / / ==UserScript== / / @name CF_DefaultLangSelect / / . . .	Введение в модели и алгоритмы машинного обучения InfoMaster 12.01.2025 Машинное обучение представляет собой одну из наиболее динамично развивающихся областей искусственного интеллекта, которая фокусируется на разработке алгоритмов и методов, позволяющих компьютерам. . .	Как на Python создать нейросеть для решения задач InfoMaster 12.01.2025 В контексте стремительного развития современных технологий особое внимание уделяется таким инструментам, как нейросети. Эти структуры, вдохновленные биологическими нейронными сетями, используются для. . .

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
		1
	Не могу прописать правильно Routes в Микротик, для того чтобы получить доступ к удаленной подсети 23.07.2019, 13:25. Показов 2723. Ответов 9 Метки mikrotik (Все метки) Добрый день! С микротиком столкнулся впервые совсем недавно, так как по работе встал вопрос. Большую часть работы выполнил, но в одном месте встал в ступор. Не могу понять как прописать Routes, надеюсь что вы мне подскажите, как это сделать или может нужен какой другой вариант. Суть такая: Есть один филиал F1 с микротик к которому подключаются удаленные клиенты VPN l2tp и второй филиал F2 с микротик. Оба филиала связаны Gre мостом. Необходимо получить доступ к филиалу F2 удаленным клиентам vpn филиала F1. В данный момент я получаю доступ непосредственно к обеим филиалам из филиалов. Удаленные клиенты получают доступ к филиалу F1, на котором стоит l2tp сервер. Что вы думаете по этому поводу? 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,298
	23.07.2019, 14:43	2
	artwriter, если просишь помощи на многих ресурсах в тырнете ,то выкладывай одинаково просьбу. А то приходиться конфиги твои на 4пда выискивать в конфиге у тебя: /ip address add address=192.168.200.1/24 comment=defconf interface=ether2 network=192.168.200.0 add address=10.10.10.1/24 disabled=yes network=10.10.10.0 add address=.149.197./8 interface=ether1 network=82.0.0.0 add address=192.168.20.1/24 interface=GRE:MSK->ISTRA_INTERFACE network=192.168.20.0 а в routes: /ip route add distance=1 gateway=.149.197. add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.2 откуда подсеть 192.168.1.0/24 ? Добавлено через 4 минуты ... и это не понятно: /interface bridge port add bridge=bridge comment=defconf interface=ether2 add bridge=bridge comment=defconf interface=ether3 add bridge=bridge comment=defconf interface=ether4 add bridge=bridge comment=defconf interface=ether5 add bridge=bridge interface=wlan1 add interface=ether1 ??? ether1 в бридже? 0

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
	23.07.2019, 15:21 [ТС]	3
	Сорри, я просто на 4pda выложил последним Уже весь гугл перевернул до этого, немного даже отчаялся. Документацию сейчас изучаю. По поводу Ethernet, то что он в бридже, это не совсем хорошо. Но это собственно роли сейчас не играет. 192.168.1.0/24 - подсеть F1 филиала, Rout прописан для мостика Gre(192.168.20.0) Прикладываю схемку Миниатюры 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,298
	24.07.2019, 08:04	4
	Сообщение от artwriter 192.168.1.0/24 - подсеть F1 филиала а F2 роутер знает куда отправлять ответные пакеты? Т.е. на F1 ты прописал маршрут до подсети F2. А на F2 обратный маршрут есть? Хм.. да, вижу вроде есть. Нужно смотреть куда пакеты летят по интерфейсно. Создай правило log по форварду и поставь его в самый вверх в фаерволе на одном роутере, потом на другом и посмотри куда бегут пакеты. 0

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
	24.07.2019, 08:44 [ТС]	5
	Пакеты попадают, но при пинге интервал пишет завышен. Сделал логи приложил их ниже в скрин. Первый филиал F1, второй филиал F2 Миниатюры 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,298
	24.07.2019, 08:48	6
	мне сложно так понять. Нарисуй схему прохода пакетов: 192.168.21.224-->192.168.21.1-->192.168.20.1-->VPN-->192.168.20.2-->192.168.200.1-->192.168.200.2 Так? Где теряются пакеты? С 192.168.21.224 по каждому узлу выполни пинг и параллельно смотри Торчем куда летят ответы пинга? 0

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
	24.07.2019, 09:03 [ТС]	7
	Вот так получается 192.168.21.224--VPN-->192.168.21.1--Микротик Филиал F1-->192.168.20.1-->GRE-->192.168.20.2--Микротик Филиал F2-->192.168.200.1--Локалка Филиал F2-->192.168.200.2 Добавлено через 2 минуты Потери только с VPN 192.168.21.0 до Филиала F2 192.168.200.0, ну и собственно обратно 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,298
	24.07.2019, 09:07	8
	маршруты вроде есть: add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.2 add distance=1 dst-address=192.168.200.0/24 gateway=192.168.20.1 но по моему неверно указаны концы туннеля. Нужно: add distance=1 dst-address=192.168.1.0/24 gateway=192.168.20.1 add distance=1 dst-address=192.168.200.0/24 gateway=192.168.20.2 Добавлено через 4 минуты подсеть 21 это L2TP. Тебе этот туннель не нужен в маршрутизации. Ты же не сквозь него соединяешь 1.0/24 и 200.0/24 Тебе нужно связать 200.0/24 с 1.0/24 по GRE (20.1-20.2) Правильно? 0

@artwriter 0 / 0 / 0 Регистрация: 15.04.2014 Сообщений: 9
	24.07.2019, 09:15 [ТС]	9
	Дружище большое спасибо ))) Добавлено через 47 секунд Не прописал связку я на обеих микротиках между GRE 192.168.20.1 и VPN 192.168.21.1 Добавлено через 51 секунду romsan, 0

@romsan 5119 / 2178 / 465 Регистрация: 17.10.2015 Сообщений: 9,298
	24.07.2019, 10:31	10
	Сообщение от artwriter Не прописал связку я на обеих микротиках между GRE 192.168.20.1 и VPN 192.168.21.1 не понял, а зачем тебе 21.0/24 подсеть??? это же другой туннель и за ним другая подсеть. Ведь изначально ты писал, что не можешь объеденить 1.0/24 и 200.0/24 через 20.0/24 Добавлено через 1 час 14 минут ясно. я затупил немного 0