2 WAN load balansing и VPN-на няма интернет

[Alexybg]

здравейте,

преди ползвах един интернет доставчик и PPTP VPN и си достъпвах офиса и си имах локална мрежа нормално.

Сега пренастройх рутера с load banans и пуснах пак PPTP и L2TP
рутера ми е 192.168.3.3 адрес WAN1 pppoe out Mtel с GW 85.91.151.8, WAN 2 DHCP Vivacom с GW 192.168.0.1
PPTP 192.168.10.0/24
L2TP 192.168.20.0/24
Load banlansа си работи без проблем
VPN ните също се конектват

проблема ми е следния искам да достъпвам VPN ните през pppoe out и го правя, но нямам ping и не виждам локалната мрежа
ping нямам до рутера 192.168.3.3, но през web ми зарежда страницата на рутера ?
и нямам интернет през VPN ните искам да излиза нета през WAN1 Мтела ( общо взето не е задължително, само нет да има)
Може ли някой да ми помогне, че явно не знам правилата как да ги задам , пробвам някакви неща но без успех

Поздрави

Редактирано 17 Юни, 2017 от Alexybg

[Щирлиц]

Виж си рутирането

[Alexybg]

Гледам го като теле в жележзница, не мога разбера какво му липсва
 

/ip route
add distance=1 gateway=85.91.151.8 routing-mark=ISP1
add distance=2 gateway=85.91.151.8 routing-mark=ISP1
add distance=1 dst-address=85.91.151.0/24 gateway=pppoe-out1 routing-mark=ISP1
add distance=1 dst-address=192.168.0.0/24 gateway=ether2-gateway routing-mark=ISP1
add distance=1 dst-address=192.168.3.0/24 gateway=bridge routing-mark=ISP1
add distance=1 gateway=192.168.0.1 routing-mark=ISP2
add distance=2 gateway=192.168.0.1 routing-mark=ISP2
add distance=1 dst-address=85.91.151.0/24 gateway=pppoe-out1 routing-mark=ISP2
add distance=1 dst-address=192.168.0.0/24 gateway=ether2-gateway routing-mark=ISP2
add distance=1 dst-address=192.168.3.0/24 gateway=bridge routing-mark=ISP2
add distance=1 gateway=85.91.151.8
add distance=1 gateway=192.168.0.1
add check-gateway=ping distance=10 gateway=85.91.151.8,192.168.0.1
add check-gateway=ping distance=1 dst-address=8.8.4.4/32 gateway=85.91.151.8 scope=10
add check-gateway=ping distance=1 dst-address=8.8.8.8/32 gateway=192.168.0.1 scope=10

/ip pool
add name=pptp-pool ranges=192.168.10.10-192.168.10.200

 

[Щирлиц]

Аз ли не виждам dst-address=0.0.0.0/0 или съм кьорав :-)

Най-добре дай цялата конфигурация, че съм загубил някъде кристалната сфера

[Alexybg]

# jun/19/2017 12:12:29 by RouterOS 6.39.2
# software id = 82W6-14V3
#
/interface bridge
add admin-mac=6C:3B:6B:1D:49:87 auto-mac=no comment=defconf fast-forward=no \
    name=bridge
/interface ethernet
set [ find default-name=ether2 ] name=ether2-gateway
set [ find default-name=ether3 ] name=ether3-master
set [ find default-name=ether4 ] master-port=ether3-master
set [ find default-name=ether5 ] master-port=ether3-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=60 \
    name=pppoe-out1 use-peer-dns=yes user=alabala
/ip pool
add name=dhcp ranges=192.168.3.4-192.168.3.60
add name=pptp-pool ranges=192.168.3.61-192.168.3.100
add name=L2TP-Pool ranges=192.168.3.101-192.168.3.150
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
    bridge name=defconf
/ppp profile
add change-tcp-mss=yes local-address=pptp-pool name=pptp-profile \
    remote-address=pptp-pool
add change-tcp-mss=yes local-address=L2TP-Pool name=VPN-L2TP on-up="`" \
    remote-address=L2TP-Pool
/interface bridge port
add bridge=bridge comment=defconf interface=ether3-master
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/interface l2tp-server server
set authentication=mschap2 default-profile=VPN-L2TP enabled=yes \
    keepalive-timeout=disabled use-ipsec=yes
/interface pptp-server server
set default-profile=pptp-profile enabled=yes
/ip address
add address=192.168.3.3/24 comment=defconf interface=ether3-master network=\
    192.168.3.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=ether2-gateway use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=192.168.3.0/24 comment=defconf gateway=192.168.3.3 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,4.4.4.4
/ip dns static
add address=192.168.3.3 name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="default configuration" \
    connection-state=established,related disabled=yes
add action=accept chain=input comment=winbox dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=80 protocol=tcp
add action=accept chain=forward comment="default configuration" \
    connection-state=established,related
add action=accept chain=input dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="L2TP VPN" dst-port=500 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input dst-port=1701 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input comment="D-Link access" disabled=yes dst-port=\
    80 protocol=tcp
add action=drop chain=input in-interface=pppoe-out1
add action=drop chain=input in-interface=ether2-gateway
add action=drop chain=input dst-port=53 in-interface=ether2-gateway protocol=\
    udp
add action=drop chain=input dst-port=53 in-interface=pppoe-out1 protocol=tcp
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=pppoe-out1 new-connection-mark=ISP1
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=ether2-gateway new-connection-mark=ISP2
add action=mark-connection chain=prerouting connection-mark=no-mark \
    new-connection-mark=ISP1 per-connection-classifier=both-addresses:2/0
add action=mark-routing chain=prerouting connection-mark=ISP1 \
    new-routing-mark=ISP1 passthrough=no
add action=mark-connection chain=prerouting connection-mark=no-mark \
    new-connection-mark=ISP2
add action=mark-routing chain=prerouting connection-mark=ISP2 \
    new-routing-mark=ISP2 passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=ether2-gateway
add action=dst-nat chain=dstnat comment="Remote Desktop" dst-port=3389 \
    in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.3.5 to-ports=\
    3389
add action=dst-nat chain=dstnat comment=Recorder dst-port=37777 in-interface=\
    pppoe-out1 protocol=tcp to-addresses=192.168.3.4 to-ports=37777
add action=dst-nat chain=dstnat dst-port=554 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=192.168.3.4 to-ports=554
add action=dst-nat chain=dstnat dst-port=90 in-interface=pppoe-out1 protocol=\
    tcp to-addresses=192.168.3.4 to-ports=90
add action=masquerade chain=srcnat
/ip ipsec peer
add address=0.0.0.0/0 disabled=yes enc-algorithm=aes-256,aes-128,3des \
    exchange-mode=main-l2tp generate-policy=port-override
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip route
add distance=1 gateway=85.91.151.8 routing-mark=ISP1
add distance=2 gateway=85.91.151.8 routing-mark=ISP1
add distance=1 dst-address=85.91.151.0/24 gateway=pppoe-out1 routing-mark=\
    ISP1
add distance=1 dst-address=192.168.0.0/24 gateway=ether2-gateway \
    routing-mark=ISP1
add distance=1 dst-address=192.168.3.0/24 gateway=bridge routing-mark=ISP1
add distance=1 gateway=192.168.0.1 routing-mark=ISP2
add distance=2 gateway=192.168.0.1 routing-mark=ISP2
add distance=1 dst-address=85.91.151.0/24 gateway=pppoe-out1 routing-mark=\
    ISP2
add distance=1 dst-address=192.168.0.0/24 gateway=ether2-gateway \
    routing-mark=ISP2
add distance=1 dst-address=192.168.3.0/24 gateway=bridge routing-mark=ISP2
add distance=1 gateway=85.91.151.8
add distance=1 gateway=192.168.0.1
add check-gateway=ping distance=10 gateway=85.91.151.8,192.168.0.1
add check-gateway=ping distance=1 dst-address=8.8.4.4/32 gateway=85.91.151.8 \
    scope=10
add check-gateway=ping distance=1 dst-address=8.8.8.8/32 gateway=192.168.0.1 \
    scope=10

[111111]

Сложи друга мрежа за клиентите (remote-address) различна от 192,168,3,х примерно 192,168,4,х

[Alexybg]

Пробвах стандартоно я направих  ppt-pool  с 192.168.10.1-192.168.10.100

проблема е същия

[111111]

Я сега малко ни оцвети картинката 

Искаш от отдалечената мрежа да достъпваш локалната зад впн сървъра и обратно ли?

имаш ли съответните нат правила?

пример

192,168,1,0/24 мрежа на главен офис
192,168,2,0/24 отдалечен офис
-------
Впн сървъра дава локално ип за главния и отдалечено от мрежата на отдалечения офис. (желателно статични)
Нат правила от двете страни съответстващи на впн интерфейса и ип мрежата.

Рутинг правила от двете страни с мрежата и отдалечения адрес като геит.

[Alexybg]

Искам да си взема лаптопа и да се вържа към офиса и да си работя дистанционно.
но когато се вържа през VPN на нямам интернет и не виждам локалните машини в офиса.

Преди да го направя Микротика с load banalnce , т.е. бях само на един интернет доставчик си виждах всичко и имах нет през VPN на. Явно заради по простата конфигурация.
Сега когато вече е с load balance не ги виждам и нямам нет

Редактирано 20 Юни, 2017 от Alexybg

[Щирлиц]

Аз лично бих пуснал един трейс през VPN-а и бих гледал къде ходят и се губят пакетите

[Alexybg]

C:\WINDOWS\system32>tracert abv.bg

Tracing route to abv.bg [194.153.145.104]
over a maximum of 30 hops:

  1     *        *        *     Request timed out.
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.

На първа гара директно се губят ,  но DNS работи като гледам

Редактирано 20 Юни, 2017 от Alexybg

[Щирлиц]

Да не би да си задал локалното и отдалеченото IP на VPN-а да са еднакви или от една и съща мрежа, за които споменава 111111?

Трейсни и DNS-a и гейта ......

Редактирано 20 Юни, 2017 от Щирлиц

[Alexybg]

Пробвах Remote и Local така както е на картинката с една DHCP мрежа ( така си работи на другите ми микротици когато са с 1 WAN и няма loadbalance )
пробвах да сменя Local адреса с друга мрежа - не става
пробвах и с DHCP то на самия рутер който раздава на LAN -на - не става

все няма нет .. ?? и trace и пинг нито то GW то нито до DNS който съм сложил 8.8.8.8 и 4.4.4.4
 

[Щирлиц]

Пробвай да сложиш статични IP-та - локалното примерно 192.168.3.250, a remote примерно 10.10.10.10

[Alexybg]

Пробвах, не става, същия ефект
Дори от LAN пингвам 192.168.3.250 което е Local IP то  и ми дава - Destination host unreachable.

Редактирано 20 Юни, 2017 от Alexybg

[Щирлиц]

А сигурен ли си, че някое филтриращо правило във файъруола не го спира?