Проблем с интернет СЛЕД свързване на два Mikrotik рутера с VPN

[bigstoyan]

Здравейте,

 

Моля за помощ, ако не е прекалено нахално

 

От доста време искам да свържа домашния си Mikrotik рутер (и не само него) към офисен такъв, който има конфигуриран и работещ PPTP сървър. За да мога дефакто да "виждам" от вкъщи цялата вътрешна мрежа в офиса.

 

Няколко пъти опитвам и стигам до задънена улица, затова моля за хелп. 

 

Следвах различни how-to-та и съм стигнал дотам, че връзката между къщи и офиса се получава, но в момента в който осъществя VPN тунела, то домашният ми интернет спира. И обратно - прекъсна ли VPN връзката (Disable на pptp клиента), то интернета си тръгва.

 

Опитах доста неща, но нещо ми убягва, предполагам някъде не е конфигуриран правилно гейтуей или нещо такова...

 

Следвал съм това How-to: http://www.vpnonline.pl/en/konfiguracja/mikrotik-pptp

 

Pls, help!

[111111]

Отметката "Add Defaut Route" активна или не е?

има ли добавено правило зарутиране

[Самуил Арсов]

Виж края на статията http://itservice-bg.net/?p=1375, два реда са - обърни внимание на  add-default-route=no и на gateway= който в твоя случай ще е pptp интерфейса. Нямаш нужда от нищо друго (гледам в хау-туту ти някакви нат-ве - сложни нещта) ...

[bigstoyan]

Благодаря за отговорите - днес ми беше лудница и след малко ще проверя какво точно съм направил. Почти съм сигурен обаче, че съм пробвал с add-default route (yes и no), както и съм пробвал да пипам гейта. Но също така ми е ясно, че няма друго обяснение освен неправилно зададен някъде гейтуей, или евентуално някакъв route... 

До 1 час ще проверя и ще пиша пак. Извинявам се, че ви бавя и съм много благодарен!

Здравейте отново!

 

Мисля че разбрах къде гафя, но това не ми помага за момента да се справя с проблема предполагам, че вие ще ме насочите и дано не съм ви смешен

Значи преди малко направих отново настройките, следвайки инструкциите от по-нагоре посоченото хау-ту, като разбира се си ползвам мои ип адреси за ВПН сървъра. Само че реших да ползвам default ip range на микротика, както е посочено там, а именно 192.168.88.0 мрежата. Настроих всичко като този път ми се наби в очите следния абзац, който според мен е проблемния, защото не разбирам какво точно трябва да направя и как да "изолирам" трафика от микротика да не е в това адресно пространство. Ето вижте какво пише.

 

In this example, we are using source address in order to identify packets which should be routed throught VPN (192.168.88.2-192.168.88.254). You can also use other means of identification or a combination of identifiers such as destination port and source address. Keep in mind, you need to make sure that traffic originating from the MikroTik router is exluded from this marking or it will attempt to communicate with the VPN server through the VPN itself, causing the connection to brake.

 

Тоест трябва да съм сигурен, че трафика, създаван от рутера е изключен от правилото за маркиране, иначе ще се счупи връзката. Мисля че точно това се случва при мен.

Сега въпросът е какво имат предвид да exclude-на трафика на самия Микротик. Усещам че е нещо смешно и малко... 

Редактирано 10 Декември, 2014 от bigstoyan

[111111]

В ip routes

добавяш 

ИП адресната група на мрежата зад VPN-a и геит, устройство на впн връзката

/ip route
add disabled=yes distance=1 dst-address=10.10.10.0/24 gateway=pptp-client 

с маркиране е подобно но трябва да маркираш трафик и след това с подобно правило с маркера

[bigstoyan]

Не стана

Току що опитах, набих този route и пак... свързва се с офиса, виждам цялата мрежа там, но интернет - нъцки.

 

Ето виж какво точно набих

 

add disabled=yes distance=1 dst-address=10.10.11.0/24 gateway=radioto

 

Мрежата в офиса към която се връзвам е 10.10.11.0, гейта дето съм посочил е този, който съм дефинирал като pptp-client... 

 

Освен да извадя всичките конфигурации да ги видиш какво съм нацвъкал или пък да ти дам ремоте достъп да видиш и да кажеш какво оплесквам. Де да знам?

[krustanovs]

дай по един експорт на 2-та микротика

[bigstoyan]

ОК ще дам експорт, само че има ли начин да е в някакъв по-съкратен вид? Защото с /export виждам че изважда абсолютно всичко от конфигурацията и остави че има и пароли и всичко (мога да ги махна), но и става голям и дълъг списък, да не ви ошашавя

 

Експорта дори само на моя домашен ррутер е сериозен, а този в офиса поддържа множество връзки и клиенти и ако там експортирам всичко ще има да четете сигурно 1000 реда текст

 

Не е ли по-добре да ви експортна само нужните неща? Например да експортна от двата рутера ip adresite, interfaces, firewall - nat, ip routes?

 

Даже съм ок да пусна един тимвюър и да ви дам да разгледате директно домашната ми машина с него, директно през Winbox да разцъкате?

Понеже е късно и ми е кофти да ви притеснявам, ако искате да оставим за утре бърникането по рутерите?
Дори ще направим следното нещо. В офиса на радиата в които работя има още един микротик рутер с настроен PPTP VPN, който обаче в момента не се използва реално за работа и можем да го бърникаме спокойно. Докато сегашния е реално обслужващ много машини из страната и е малко деликатно да го пипаме, за да не прецакаме рекламите за цяла България

 

Тоест ако искате утре през деня го пускам другия, давам ви достъп през тимвюър или директно до самия рутер вкъщи през Winbox както и до другия (неизползвания в радиото) и ги бърникаме на спокойствие?

Редактирано 10 Декември, 2014 от bigstoyan

[Самуил Арсов]

Само аз ли виждам това което пишете !?!?!?!?!?!

 

add disabled=yes distance=1 dst-address=10.10.11.0/24 gateway=radioto

 

--------------------------------------------------------------------------------------------

 

Вече ви показах примерна конфигурация на pptp клиента - само два реда е:

/interface pptp-client
add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=111.111.111.111 dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name=pptp0 password=password1 profile=default-encryption user=user1

/ip route
add disabled=no distance=1 dst-address=10.10.10.0/24 gateway=pptp0

да,  не е кратко но питайте какво не ви е ясно само по него защото друго не ви е нужно !

Редактирано 11 Декември, 2014 от samyil

[Mitko]

Оффф проблема е елементарен - в правилото за маскарадинг трябва да се добави ВПН мрежата като изкюление,а на дефолтния маскарадинг за интернет да се изключи ВПН-а, и да се добави още един маскарадинг САМО за ВПН мрежата и всичко ще работи на шест!

Тествано и работещо в няколко офиса "навързани" по ВПН.

Надявам се да съм бил полезен.

[111111]

да так е трябва да има 2 маскарадинг правила 

[Самуил Арсов]

Може с един NAT може и без NAT.

 

Да приемем, че LAN мрежата в офиса е 10.10.10.0/24. Конфигурира се pool-а на DHCP сървъра да изключи последните 10 адреса, пример:

/ip pool
add name=default-dhcp ranges=10.10.10.2-10.10.10.244

Пуска се pptp сървър:

interface pptp-server server set enabled=yes

Предполага се, че ще изглежда така:

interface pptp-server server print
            enabled: yes
            max-mtu: 1460
            max-mru: 1460
               mrru: disabled
     authentication: mschap2
  keepalive-timeout: 30
    default-profile: default-encryption

На pptp сървъра създаваме account на pptp клиента по следния начин:

ppp secret local-address=10.10.10.245 name=user1 password=password1 remote-address=10.10.10.246 service=pptp

След което сме завършили конфигурацията на pptp сървъра.

 

Следва конфигурацията на pptp клиента:

 

/interface pptp-client
add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=111.111.111.111 dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 mrru=disabled name=pptp0 password=password1 profile=default-encryption user=user1

/ip route
add disabled=no distance=1 dst-address=10.10.10.0/24 gateway=pptp0

1. Вариант с NAT

Тъй като рутера на клиента вдига ип адрес от pool-a на ЛАН мрежата в офиса той е част от нея и я вижда безпроблемно но потребителите зад клиенсткия рутер не я виждат затова трябва да се добави правило в клиентския рутер. 

/ip firewall nat
add action=masquerade chain=srcnat out-interface=all-ppp src-address=192.168.88.0/24

2. Вариант без NAT

Варианта без NAT ще направи двете LAN мрежи 10.10.10.0/24 и 192.168.88.0/24 съседи. За целта трябва да се добави един маршрут на рутера в офиса:

/ip route
add disabled=no distance=1 dst-address=192.168.88.0/24 gateway=10.10.10.246

Надявам се този път да съм бил полезен

[Mupo neTkoB]

по-подробно описано не знам как може да се направи! Браво за старанието

[bigstoyan]

Благодаря на всички страхотни сте завиждам ви приятелски за знанията

 

Помъчих се четейки предложенията ви и естествено пак нищо не направих. Всички те ми се виждат логични, като най-вероятно и според мен е нещо дребно, от сорта на добавяне на правило за маскарадинг или непосочен гейт.

 

Затова сега пействам експорт само с двете ми правила за маскарадинг, а отдолу ще напиша конкретните ип-та на локалната машина с която тествам, както и на впна на микротика в офиса. Ако пропускам нещо казвайте, а ако искате ще ви извадя пълен експорт и от двата микротика на два текстови файла.

Много се извинявам че ви занимавам с глупости. Знам, колко много още има да чета, но конкретния казус наистина в момента ни е нужен.

 

ето инфото 

 

 

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=no 
    out-interface=ether1-gateway
add action=masquerade chain=srcnat disabled=no out-interface=radioto

 

 

Мрежата на радиото (офисния впн) е 10.10.20.0

Гейта там е 10.10.20.1

Ип адреса на pptp клиента е 10.10.20.6

Локалната мрежа при клиентския микротик е дефаултната на микротика - 192.168.88.0

Ип на компютъра с който тествам е - 192.168.88.254

Ако трябва ще пейстна и роутовете.

 

 

Както казах, свързва се ВПН-а, пингвам гейта на впн сървъра (10.10.20.1), дори пингвам локалната мрежа ЗАД него която е в офиса (192.168.21.0). Само че нямам интернет на локалната машина, докато работи впн връзката

 

Според мен наистина проблемът е правило в маскарадинга, само че не знам точно как да "изключа" впн-а от дефолтния маскарадинг, как и къде да добавя ВПН мрежата като изключение (и защо?) и как да добавя маскарадинг САМО за впн мрежата. Тези неща ги дава като съвет Mitko. 

Редактирано 11 Декември, 2014 от Mupo neTkoB

[Mitko]

Такаа... проблема е в ARP заявките, доколкото виждам от това което си пуснал като конфиг се предполага, че радиото и офисната мрежа (ether2) са във бридж?

И ако са в бридж, на бриджнатия интерфейс трябва да укажеш в настройките на proxy да бъде proxy-arp, а на ether2 който най-вероятно ти е локалната мрежа да бъде enabled.

 

Сподели резултата 

[bigstoyan]

Ами не не са бриджнати поне не и на този микротик за който пиша... Вкъщи на домашния ми 2011UAS-2HnD има бридж....

Иначе четох че трябва да укажа proxy-arp на интерфейса и опитах но и с това не става... Може би за бриджнат интерфейс да...

Значи днес един от пичовете, дето помагате тук по темата влезе да гледа и ме напъстваше какво да направя, разкарах от впн сървъра всички настройки и дефакто наново ги направих начисто, като махнах всички излишни роутове и т.н. В крайна сметка го докарахме дотам, че сега впна-а се връзва и ИМАМ интернет но не се вижда офисната локална мрежа, която е зад микротика. Тоест връзвайки се към впн-а си виждам мрежата 10.10.20.0, но не виждам мрежата 192.168.21.0 (която иначе преди виждах но пък нямах интернет).

И след това не сме говорили, свърши работния ден...

Ако искаш мога да ти дам и на теб ип, логин и read-only парола да видиш тестовия микротик който е в ролята на впн-сървър в момента дали е ок настроен?

Прикачвам проста схема на идеята, която трябва да пусна... давам и на линк....

 

 

 

http://imgur.com/8npvslR