|
1 / 1 / 0
Регистрация: 04.06.2019
Сообщений: 17
|
|
| 1 | |
Не работает интернет через VPN туннель04.06.2019, 01:34. Показов 7895. Ответов 12
Метки нет (Все метки)
Имеются два волшебных роутера микротик (MK1,MK2). Есть две сети с выходом в интернет: 1-я - 192.168.0.0/24 эта сеть имеет белый ip, 2-я - 192.168.8.0/24 имеет серый ip. Между ними поднят VPN туннель по PPTP (vpn сеть 192.168.5.1-192.168.5.2). Компьютеры из 1-ой и 2-ой сети видят друг друга. Компьютеры из 1-ой сети выходят в интернет через свой шлюз (MK 1), а компьютеры 2-ой сети выходят в интернет через свой шлюз (MK2). Также несколько компьютеров из 2-ой сети (192.168.8.201-192.168.8.210) должны выходить в интернет через VPN и, соответственно, через шлюз MK1. Маршруты прописаны. Более того для компьютеров из диапазона 192.168.8.201-192.168.8.210 из 2-ой сети проходят пинги через МК1. Но интернет для компьютеров из этого диапазона не работает. Конфиг МК1: Код
export # may/31/2019 15:23:31 by RouterOS 6.44.3 # software id = Z4HF-WP8I # # model = RB750Gr3 # serial number = ***** /interface bridge add arp=proxy-arp name=bridge1 /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \ password=****** use-peer-dns=yes user=****** /interface pptp-server add name=pptp-tunel user=Businessgrud /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=dhcp ranges=192.168.0.50-192.168.0.100 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge1 lease-time=8h name=dhcp1 /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 /interface list member add interface=pppoe-out1 list=WAN add interface=bridge1 list=LAN /interface pptp-server server set enabled=yes /ip address add address=192.168.0.1/24 interface=bridge1 network=192.168.0.0 /ip dhcp-client add dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=192.168.0.0/24 gateway=192.168.0.1 netmask=24 /ip dns set allow-remote-requests=yes /ip firewall filter add action=accept chain=input connection-state=established,related \ in-interface=bridge1 src-address-list="" add action=accept chain=input dst-port=1723 protocol=tcp add action=accept chain=input protocol=gre add action=drop chain=input comment="drop echo request" disabled=yes \ icmp-options=8:0 in-interface=pppoe-out1 protocol=icmp add action=drop chain=input comment="drop all" in-interface=pppoe-out1 /ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN /ip firewall service-port set ftp disabled=yes /ip route add distance=1 dst-address=192.168.8.0/24 gateway=192.168.5.2 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes Конфиг МК2: Код
# jun/01/2019 11:12:53 by RouterOS 6.44.3 # software id = RK5T-NUWJ # # model = RB750Gr3 # serial number = ******** /interface bridge add name=BridgeLan /interface pptp-client add allow=mschap1,mschap2 connect-to=белый_IP disabled=no name=pptp-out1 \ password=****** user=Businessgrud /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=Lan-Pool ranges=192.168.8.50-192.168.8.100 /ip dhcp-server add add-arp=yes address-pool=Lan-Pool bootp-support=dynamic disabled=no \ interface=BridgeLan lease-time=12h name=DHCP-Server /interface bridge port add bridge=BridgeLan interface=ether2 add bridge=BridgeLan interface=ether3 add bridge=BridgeLan interface=ether4 add bridge=BridgeLan interface=ether5 /ip address add address=192.168.8.1/24 interface=BridgeLan network=192.168.8.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server network add address=192.168.8.0/24 dns-server=192.168.8.1 gateway=192.168.8.1 netmask=\ 24 /ip dns set allow-remote-requests=yes /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes \ src-address=192.168.8.201-192.168.8.210 /ip firewall nat add action=masquerade chain=srcnat out-interface=pptp-out1 src-address=\ 192.168.8.201-192.168.8.210 add action=masquerade chain=srcnat out-interface=ether1 /ip route add distance=1 gateway=pptp-out1 routing-mark=vpn add distance=1 dst-address=192.168.0.0/24 gateway=192.168.5.1 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow
0
|
|
(| 04.06.2019, 01:34 | |
|
Ответы с готовыми решениями:
12
VPN Туннель Как поднять VPN туннель между двумя роутерами? Как открыть на Mikrotik VPN туннель для подключения по RDP? Не работает интернет через wi-fi |
 3996 / 1576 / 309
Регистрация: 23.06.2009
Сообщений: 5,599
|
|
| 04.06.2019, 07:06 | 2 |
|
если пинги проходят, а интернет не работает, то смотрите MTU
поставьте на туннеле MTU к примеру 1300 или 1200, интернет на тех ПК заработает? если заработает, верните MTU назад в авто и подберите MTU опытным путем, в инете масса материалов как подобрать MTU Добавлено через 1 минуту так как маршрутизация прописана, вот это правило можно убрать, ни к чему тут двойной НАТ Код
/ip firewall nat add action=masquerade chain=srcnat out-interface=pptp-out1 src-address=\ 192.168.8.201-192.168.8.210
0
|
|
|
1 / 1 / 0
Регистрация: 04.06.2019
Сообщений: 17
|
|
| 04.06.2019, 10:46 [ТС] | 3 |
|
Поменял на vpn сервере на 1200 не заработало
 Добавлено через 17 минут Поменял также MRU на 1200 сайты стали открываться. Т.е. как я понимаю мне нужно подобрать и MTU и MRU? или они должны быть одинаковыми? Вместе с тем также не работают сетевые приложения которые ходят в интернет по другим портам. Может для них специально нужно еще правила добавлять в VPN туннеле?
0
|
|
|
174 / 166 / 28
Регистрация: 20.10.2014
Сообщений: 1,037
|
|
| 04.06.2019, 11:26 | 4 |
|
MTU бриждей и интерфейсов одинаковое ? должно быть одинаковым.
Добавлено через 1 минуту МTU- сколько микротик может передать в сторону провайдера MRU-сколько максимум может принять микротик из вашей сети Они одинаковыми быть не могут. MTU>MRU в очень редких случаях равны
0
|
|
|
174 / 166 / 28
Регистрация: 20.10.2014
Сообщений: 1,037
|
|
| 04.06.2019, 11:46 | 6 |
Сообщение от CHESTER-ART
MRU>MTU подправьте сообщение модеры, это очень стремная неточность.
0
|
|
|
1 / 1 / 0
Регистрация: 04.06.2019
Сообщений: 17
|
|
| 04.06.2019, 12:45 [ТС] | 7 |
|
Тогда почему эти приложения могут не работать?
Добавлено через 3 минуты Померил MTU провайдеров у того который к VPN серверу подключен (MK1) MTU=1480, у того который к МК2 MTU=1382. Правильно ли я понимаю что в настройках PPTP сервера мне стоит указать MTU 1382? И как узнать MRU?
0
|
|
|
174 / 166 / 28
Регистрация: 20.10.2014
Сообщений: 1,037
|
|
| 04.06.2019, 12:58 | 8 |
|
Сообщение от xsyava
MRU у меня 1480 Добавлено через 1 минуту думаю вам оставить в дефалте 1500
0
|
|
|
1 / 1 / 0
Регистрация: 04.06.2019
Сообщений: 17
|
|
| 04.06.2019, 13:02 [ТС] | 9 |
|
Ну MTU для провайдеров я определил вручную, или VPN PPTP как-то может ограничить еще MTU? Т.е. я просто ставлю MTU исходя из минимального MTU для провайдеров или VPN PPTP что-то тоже добавляет к пакетам и из-за этого нужно MTU VPN уменьшить на величину этой добавки?
0
|
|
|
174 / 166 / 28
Регистрация: 20.10.2014
Сообщений: 1,037
|
|
| 04.06.2019, 13:04 | 10 |
|
Вы выставляетет MTU на интерфейсах.
Сообщение от xsyava
0
|
|
|
1 / 1 / 0
Регистрация: 04.06.2019
Сообщений: 17
|
|
| 04.06.2019, 16:18 [ТС] | 12 |
|
Роутер МК2 перешел на другого провайдера. Теперь расклад такой: MTU первого провайдера на котором MK1 (на нем же VPN Server) равен 1480, MTU второго провайдера на котором МК2 равен 1500.
Не знаю правильно это или нет, но где-то прочитал что PPTP съедает еще 26 байт из этого расчета поставил на VPN сервере MTU 1480-26=1454. Как правильно заметил .None интернет на VPN клиенте заработал только при значение MTU VPN сервера - 50 байт, т.е. для VPN клиента MTU установил 1404 (при этом при 1405 уже интернета не было). Все работает, но остался осадок непонимания ситуации. Почему к примеру VPN - клиент работает только -50 байт от значения MTU VPN сервера. Также интересует момент с MSS как я понял он должен быть -40 байт от MTU, но где устанавливать его не нашел. И надо ли? Но в любом случае всем спасибо.
1
|
|
|
3996 / 1576 / 309
Регистрация: 23.06.2009
Сообщений: 5,599
|
|
| 04.06.2019, 16:36 | 13 |
|
на самом деле не -50 а чуть меньше, 50 это с запасом
я сам не очень шарю в MTU MSS и т.д. посмотрел у себя на тиках, MTU к провайдеру 1500, MTU на pptp линках 1450 определилось автоматом и все работает, значит нужно от наименьшего MTU провайдеров вычесть 50, как-то так
1
|
|
| 04.06.2019, 16:36 | |
| 04.06.2019, 16:36 | |
|
Помогаю со студенческими работами здесь
13
Не работает IPSec Туннель между 2-мя роутерами Не работает интернет через роутер Не работает интернет через роутер Не работает интернет через порт Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
Наверх