Jump to content
  • 0
dizela

Eoip тунел върху VPN-Въпроси

Question

dizela

  Привет на всички. Свързал съм два хоста получаващи интернет от един доставчик посредством VPN. Върху съществуващата vpn връзка е изграден и Eoip тунел. Всичко работи, но ме дразнят някои особености.

Рутерите са RB951G-2HnD (вътр. адрес  192.168.13.1) и RB951Ui-2HnD (вътр. адрес 192.168.5.1)

 

Пъвото е, че когато се закачи клиент получава адрес от dhcp сървъра на другия рутер.

Второто е, че се налага да спирам защитните стени на компютрите за да могат да се достъпват от отсрещната мрежа.

 

Това е част от информацията на първия рутер. Моля за някакви съвети и идеи относно преодоляването на несгодите. :mellow:

 

[mitko@WRT] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                
 0   ;;; default configuration
     192.168.13.1/24    192.168.13.0    bridge-local                             
 1   78.90.xx.237/24    78.90.xx.0      ether1-gateway                           
 2   ;;; hotspot network
     10.10.10.1/24      10.10.10.0      wlan2                                                          
 3 D 192.168.8.1/32     192.168.8.2     <l2tp-vpn03> 
 
 
 
[mitko@WRT] > ip firewall nat
[mitko@WRT] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=srcnat action=accept src-address=192.168.13.0/24 
      dst-address=192.168.5.0/24 log=no log-prefix="" 


 1    ;;; place hotspot rules here
      chain=unused-hs-chain action=passthrough log=no log-prefix="" 


 2    ;;; default configuration
      chain=srcnat action=masquerade out-interface=ether1-gateway log=no 
      log-prefix="" 


 3    ;;; default configuration
      chain=srcnat action=masquerade out-interface=bridge1 log=no 
      log-prefix="" 
 
 
 
[mitko@WRT] > ip firewall filter
[mitko@WRT] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; place hotspot rules here
      chain=unused-hs-chain action=passthrough log=no log-prefix="" 




 1    chain=input action=accept protocol=udp in-interface=ether1-gateway 
      dst-port=500,1701,4500 log=no log-prefix="" 


 2    chain=input action=accept protocol=tcp dst-port=1723 log=no log-prefix=">


 3    chain=input action=accept protocol=gre log=no log-prefix="" 


 4    chain=input action=accept protocol=tcp dst-port=2138 log=no log-prefix=">


 5    ;;; default configuration
      chain=forward action=accept connection-state=established log=no 
      log-prefix="" 


 6    ;;; default configuration
      chain=forward action=accept connection-state=related log=no 
      log-prefix=""
 
 
[mitko@WRT] > interface
[mitko@WRT] /interface> print
Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE       ACTUAL-MTU L2MTU
 0  R  ether1-gateway                      ether            1500  1598
 1  RS ether2-master-local                 ether            1500  1598
 2  RS ether3-slave-local                  ether            1500  1598
 3   S ether4-slave-local                  ether            1500  1598
 4   S ether5-slave-local                  ether            1500  1598
 5  RS wlan1                               wlan             1500  2290
 6   S wlan2                               wlan             1500  2290
 7 DR  <l2tp-vpn03>                        l2tp-in          1450
 8  R  bridge-local                        bridge           1500  1598
 9  R  bridge1                             bridge           1500  1598
10  RS eoip-tunnel1                        eoip             1408 65535
11     vlan1                               vlan             1500  2286
12  R  vlan2    
 
 
 
[mitko@WRT] > ip route
[mitko@WRT] /ip route> print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          78.90.xx.1                1
 1 X S  ;;; ISP1 DEFAULT
        0.0.0.0/0                          8.8.4.4                   1
 2 X S  ;;; ISP2 ALTERNATIVE
        0.0.0.0/0                          8.8.8.8                   2
 3 X S  ;;; GOOGLE ISP1
        8.8.4.4/32                         78.90.xx.1                1
 4 X S  ;;; GOOGLE ISP2
        8.8.8.8/32                         85.118.95.33              1
 5 ADC  10.10.10.0/24      10.10.10.1      bridge1                   0
 6 ADC  78.90.xx.0/24      78.90.xx.237    ether1-gateway            0
 7 A S  192.168.5.0/24                     192.168.8.2               1
 8 ADC  192.168.8.2/32     192.168.8.1     <l2tp-vpn03>              0
 9 ADC  192.168.10.0/24    192.168.10.17   bridge1                   0
10 A S  192.168.10.17/32                   192.168.10.1              1
11 ADC  192.168.13.0/24    192.168.13.1    bridge-local
 
 
[mitko@WRT] > interface bridge
[mitko@WRT] /interface bridge> print
Flags: X - disabled, R - running 
 0  R name="bridge-local" mtu=1500 actual-mtu=1500 l2mtu=1598 arp=proxy-arp 
      mac-address=D4:CA:6D:06:CD:5F protocol-mode=rstp priority=0x8000 
      auto-mac=no admin-mac=D4:CA:6D:06:CD:5F max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 


 1  R name="bridge1" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled 
      mac-address=D4:CA:6D:06:CD:60 protocol-mode=rstp priority=0x8000 
      auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 
[mitko@WRT] /interface bridge> 

Share this post


Link to post
Share on other sites

4 answers to this question

Recommended Posts

  • 0
111111

Бриджнал си мрежите нормално е да има общ мултикаст
от което и проблемите ти

Share this post


Link to post
Share on other sites
  • 0
dizela

Бриджнал си мрежите нормално е да има общ мултикаст

от което и проблемите ти

Махнах Eoip тунела от бриджа и при двата рутера, имам си връзка с компютрите зад другия рутер. Относно защитните стени може ли да се направи нещо или трябва да си играя да отварям портове на ръка на всеки комп поотделно. Ако примерно направя вътрешните мрежи зад рутерите еднакви (примерно192.168.13.0), няма ли да отпадне проблема с защитните стени?

Share this post


Link to post
Share on other sites
  • 0
111111

даваш на едните адреси от в една мрежа като съответно е разделена на 2 части /25

 

172,16,20,2-128 за едните и 172,16,20,129-253

 

геит на едните е 1 а на другите 254

Share this post


Link to post
Share on other sites
  • 0
dizela

даваш на едните адреси от в една мрежа като съответно е разделена на 2 части /25

 

172,16,20,2-128 за едните и 172,16,20,129-253

 

геит на едните е 1 а на другите 254

Направих го по този начин и вече не се налага да спирам защитните стени на "бозичките".

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.