45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
1

PPTP через запасной канал

13.11.2019, 13:19. Показов 6854. Ответов 47
Метки нет (Все метки)

Есть два микротика - на одном локалка + один WAN интерфейс - RJ45 белый статичный IP
На втором тоже локалки + два WAN - основной RJ45 белый статичный IP, резервный - RJ45 через Yota Center (внешний IP плавающий) - настроено автоматическое переключение дефолтного маршрута в случае падения главного.

По основным каналам (по белым айпишникам) поднят GRE туннель через который я и подружил обе локалки маршрутами.
Но как только основной на втором падает, вся "дружба" между микротиками пропадает т.к. падает GRE тоннель и достучаться до него я уже не могу.

Соответственно думаю, что нужно поднять интерфейс который бы работал только через YOTA на втором микротике - и тут у меня затуп - не знаю как тот же PPTP Client заставить коннектиться именно через YOTA
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
13.11.2019, 13:19
Ответы с готовыми решениями:

Настройка RDP через PPTP
Доброго дня уважаемые и с наступившим годом!!! Ситуация такая что после приезда, смены...

Доступ в локальную сеть через VPN PPTP
Подскажите что нужно прописать чтоб клиент VPN видели всю сеть или только определенные IP адреса...

Подключение через pptp есть, ping не проходит
Здравствуйте! В организации появилась необходимость присвоить пользователям и серверам серый ip...

RDP c локальной машины из вне, через mikrotik (VPN pptp) на локальную машину, возможно?
Всем привет, собственно вопрос. Есть офис, в роли роутера выступает mikrotik, на котором сейчас...

47
Эксперт по компьютерным сетям
10443 / 6660 / 1755
Регистрация: 25.12.2012
Сообщений: 28,272
14.11.2019, 13:18 21
1. Давайте так: 3, 4, 5, 6 правило выключим в mangle, они не имеют смысла
Код
add action=mark-connection chain=input in-interface=Yota new-connection-mark=conn-Yota passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Yota new-routing-mark=rm-Yota passthrough=no
add action=mark-connection chain=forward in-interface=Avantel new-connection-mark=conn-f-Avantel passthrough=no
add action=mark-connection chain=forward in-interface=Yota new-connection-mark=conn-f-Yota
2. Дальше, вы l2tp с ipsec используете сейчас? Ipsec ключ прописывали?
3. 93.93.93.154 - это точно белый адрес офиса, где поднят l2tp сервер, в l2tp клиенте на складе вы его указали, так?
4. Gre у вас сейчас без ipsec используется?
5. Какие сейчас маршруты активны?
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
14.11.2019, 13:35  [ТС] 22
1. выключил
2. Ipsec не использую нигде
Код
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
3. точно! да так!
4. ipsec я вообще нигде не использую
5. активны Йота и Авантел через соответствющие таблицы маршрутизации и Авантел (рекурсивный через 8.8.8.8)

PS
я тут по Вашей ссылке https://temofeev.ru/info/artic... -routeros/
прочитал в самом конце

Не знаю почему, наверное баг, но если создать vrf для ppp интерфейса, то маршрут до 0.0.0.0/0 всеравно попадет в таблицу main. Иначе всё было бы еще проще.
может l2tp тоже валится в main по необъяснимым причинам минуя метку?
0
Эксперт по компьютерным сетям
10443 / 6660 / 1755
Регистрация: 25.12.2012
Сообщений: 28,272
14.11.2019, 13:54 23
Ipsec не использую нигде
Точно ключ ipsec в настройках l2tp не прописвали (его и там можно прописать), если прописали, то будет понятно почему не работает
Еще,
измени правило в mangle, port убери, а протокол смени на. L2tp
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
14.11.2019, 14:02  [ТС] 24
в настойках l2tp
Use IPsec: no

я ipsec не юзаю нигде т.к. ещё не дошел до него
это будет следующий шаг

правило поменял
l2tp переподключил - толку нет

для тестирования
запустил PING внутреннего айпишника офисного микротика через l2tp - пакеты не маркируются (bytes 0 packets 0)
0
Эксперт по компьютерным сетям
10443 / 6660 / 1755
Регистрация: 25.12.2012
Сообщений: 28,272
14.11.2019, 14:59 25
Ping. и не пойдет, надо его еще маркировать
Если обобщить ICMP. PING - это опции этого протокола.
Выложите export compact

Добавлено через 47 минут
GTAlex, давайте все настройки посмотрим с обоих, файрволлы, маршрутизацию
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
14.11.2019, 16:04  [ТС] 26
Цитата Сообщение от insect_87 Посмотреть сообщение
Выложите export compact
как то не секьюрно совсем такой экспорт выкладывать
0
Эксперт по компьютерным сетям
10443 / 6660 / 1755
Регистрация: 25.12.2012
Сообщений: 28,272
14.11.2019, 19:33 27
Ок, если для теста, еще и для icmp трафика сделать в мангле аналогичное правило. И положить основной канал. L2tp поднимется?
Что покажет трасса?
Последите за счетчиками на правилах и маршрутах


GTAlex, если так?
:
Код
/ip firewall mangle add action=mark-connection chain=output dst-port=1701 new-connection-mark=l2tp_c passthrough=yes protocol=udp
/ip firewall mangle add action=mark-routing chain=output connection-mark=l2tp_c new-routing-mark=isp2 passthrough=no
/ip route add dst-address=93.93.93.154/32 distance=1 gateway=10.0.0.1 routing-mark=isp2
Только что подумал. А с чего вы взяли, что шлюз у йоты такой? Модем stick или hi-link? Если его пнуть с интерфейса йоты, он пнется?

Добавлено через 1 час 22 минуты
GTAlex, проверил у себя, все работает, надо смотреть, что у вас там
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
15.11.2019, 07:27  [ТС] 28
с новыми правилами в mangle l2tp канал не поднимается
зато в логах первого микротика сдвиги - засветился IP yota

"first L2TP UDP packet received from 188.162.15.51"

подумал что в фаерволе какое то правило рубит - выключил все, попробовал заново поднять - ничего не изменилось

Добавлено через 2 минуты
Йота у меня не модем - а Yota Center отдельное устройство подключен к микротику по меди

Добавлено через 14 минут
ребутнул оба устройства - канал поднялся! IP Yota!!! уффф ... дышим ровно

Добавлено через 1 минуту
вырубил, врубил - всё ОК - канал поднимается!

Добавлено через 43 секунды
что интересно - я connections сбрасывал на обоих устройствах на всякий случай - не помогало
всё таки ребут более чудодейственной силой обладает

Добавлено через 50 секунд
а ребутнуть пришлось после явного косяка - GRE поднят был, роуты межсетевые прописаны, а локалки друг друга не видели - после ребута это тоже починилось

Добавлено через 20 минут
попробовал правила, которые Вы в самом первом сообщении запостили - всё пашет на ура!

Добавлено через 2 минуты
Спасибо огромное!!!

Добавлено через 1 час 31 минуту
вообще очень странно - в сейв моде если вырубаю основной канал, после отката работающие ранее маршруты перестают работать (конкретно маршрутизация между локалками по GRE каналу) пока не ребутну девайс
0
Эксперт по компьютерным сетям
10443 / 6660 / 1755
Регистрация: 25.12.2012
Сообщений: 28,272
15.11.2019, 08:42 29
Странно. Ну что? Маршрутизацию во второй теме погоним? Я уже там написал что сделать надо, выкладывайте во вторую тему конфиг ospf, если все правильно, вырубаем статический маршрут и вуаля
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
15.11.2019, 10:39  [ТС] 30
да, конечно - маршрутизация отдельно
в этой ветке именно проброс l2tp интерфейса по резервному каналу - что вроде как заработало
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
22.11.2019, 13:49  [ТС] 31
однако не заработало!

хоть и callerID на l2tp соединении Йоты - трафик бегает через Авантел
выяснил это дело правилом в фильтре - output udp 1701 показывает out:Avantel 19.19.19.175 -> 93.93.93.154
(за логирование спасибо NoNaMe)

Добавлено через 28 минут


Код
/ip route
add distance=1 gateway=10.0.0.1 routing-mark=isp2
add distance=1 gateway=10.0.0.1 routing-mark=rm-Yota scope=20
add distance=1 gateway=19.19.19.129 routing-mark=rm-Avantel scope=20
add distance=1 gateway=192.168.13.1 routing-mark=rm-l2tp
add check-gateway=ping distance=1 gateway=8.8.8.8 scope=10
add check-gateway=ping distance=2 gateway=8.8.4.4 scope=10
add distance=1 dst-address=8.8.4.4/32 gateway=10.0.0.1 scope=10
add distance=1 dst-address=8.8.8.8/32 gateway=19.19.19.129 scope=10
add comment="Office Avantel" distance=1 dst-address=192.168.11.0/24 gateway=192.168.14.1

/ip route rule
add disabled=yes src-address=109.202.19.175/32 table=rm-Avantel
add routing-mark=rm-Yota table=rm-Yota
add routing-mark=isp2 table=isp2
Добавлено через 15 минут
первые два правила по идее как раз за это дело должны отвечать
причём - счётчики на них работают - пометка идёт

Код
/ip firewall mangle
add action=mark-connection chain=output dst-address=93.93.93.154 dst-port=1701 \
    new-connection-mark=l2tp_c passthrough=yes protocol=udp
add action=mark-routing chain=output connection-mark=l2tp_c new-routing-mark=\
    isp2 passthrough=no

add action=mark-connection chain=input disabled=yes in-interface=l2tp-office \
    new-connection-mark=conn-l2tp passthrough=yes src-address=192.168.11.0/24
add action=mark-routing chain=output disabled=yes dst-address=93.93.93.154 \
    dst-port=1701 new-routing-mark=rm-l2tp passthrough=no protocol=udp
add action=mark-routing chain=output connection-mark=l2tp_c new-routing-mark=\
    isp2 passthrough=no

add action=mark-connection chain=input in-interface=Avantel \
    new-connection-mark=conn-Avantel passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Avantel \
    new-routing-mark=rm-Avantel passthrough=no
add action=mark-connection chain=input disabled=yes in-interface=Yota \
    new-connection-mark=conn-Yota passthrough=yes
add action=mark-routing chain=output connection-mark=conn-Yota disabled=yes \
    new-routing-mark=rm-Yota passthrough=no
add action=mark-connection chain=forward disabled=yes in-interface=Avantel \
    new-connection-mark=conn-f-Avantel passthrough=no
add action=mark-connection chain=forward in-interface=Yota new-connection-mark=\
    conn-f-Yota passthrough=no
Добавлено через 3 минуты
в логах таки записи идут

Код
output: in:(unknown 0) out:Avantel, proto UDP,  19.19.19.175:1701 -> 93.93.93.154:1701, NAT (19.19.19.175:1701->10.10.10.2:1701)->93.93.93.154:1701, len 98
0
Эксперт по компьютерным сетям
10443 / 6660 / 1755
Регистрация: 25.12.2012
Сообщений: 28,272
22.11.2019, 13:53 32
Стоп, стоп... Вот на этих двух правилах в мангле счетчики точно растут?*
Код
/ip firewall mangle
add action=mark-connection chain=output dst-address=93.93.93.154 dst-port=1701 \
    new-connection-mark=l2tp_c passthrough=yes protocol=udp
add action=mark-routing chain=output connection-mark=l2tp_c new-routing-mark=\
    isp2 passthrough=no
Почему это правило дублируется?
Код
add action=mark-routing chain=output connection-mark=l2tp_c new-routing-mark=\
    isp2 passthrough=no
Зачем в route rule что-то делали?
выключите там все.


покажите правила NAT
Код
ip firewall nat export compact
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
22.11.2019, 13:58  [ТС] 33
да, считают пакеты потихоньку
дубль с мангле убрал
выключил всё там

ничего не изменилось

Добавлено через 56 секунд
Цитата Сообщение от insect_87 Посмотреть сообщение
Зачем в route rule что-то делали?
выключите там все.
пробую всяко уже толку нет
что интересно - callerID от ЙОТЫ! на l2tp - поэтому то я раньше и подумал, что всё норм пашет
0
Эксперт по компьютерным сетям
10443 / 6660 / 1755
Регистрация: 25.12.2012
Сообщений: 28,272
22.11.2019, 14:53 34
выключил всё там
в route rules?

Правила NAT выложите?
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
22.11.2019, 17:05  [ТС] 35
Цитата Сообщение от insect_87 Посмотреть сообщение
в route rules?
да, выключил

Цитата Сообщение от insect_87 Посмотреть сообщение
в route rules?
Правила NAT выложите?
Код
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Yota
add action=masquerade chain=srcnat out-interface=Avantel
Добавлено через 5 минут
похоже логи подглючивают и не тот интерфейс показывают
т.к. торчем глянул на канале йота - udp 1701 там сидит!!!

с МТ1 пинги запустил на МТ2 на 13.2 и вырубил на МТ2 основной канал - пинги пропали
в тоже время интефейс l2tp на МТ1 остался Reachable

вообще не пойму
маршруты 13.1 - 13.2 ведь статичны и l2tp автоматом сами прописываются при коннекте

думаю надо сначала торчем тестить - эксперименты с выключением канала оставить на "сладкое", когда уже торчем всё подтвердится
0
Эксперт по компьютерным сетям
10443 / 6660 / 1755
Регистрация: 25.12.2012
Сообщений: 28,272
22.11.2019, 17:13 36
Добавьте в каждое правило для nat src-address=192.168.12.0/24
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
23.11.2019, 05:33  [ТС] 37
добавил, ничего не изменилось - при отключении основного канала в сейв моде пинги между 13.1 и 13.2 пропадают до его обратного включения
причём судя по времени - пинги 100% идут по резервному каналу, и какого лешего они пропадают при отключении основного канала я вообще не пойму
0
Эксперт по компьютерным сетям
4309 / 1977 / 412
Регистрация: 17.10.2015
Сообщений: 8,471
23.11.2019, 07:37 38
я просто в шоке! GTAlex, Вы пробовали описанный мною вариант? PPTP через запасной канал
0
45 / 6 / 1
Регистрация: 19.02.2013
Сообщений: 152
23.11.2019, 08:07  [ТС] 39
Цитата Сообщение от romsan Посмотреть сообщение
я просто в шоке! GTAlex, Вы пробовали описанный мною вариант? PPTP через запасной канал
нет, не пробовал

хочу разобраться именно в этой ситуации - должно ведь работать
0
Эксперт по компьютерным сетям
4309 / 1977 / 412
Регистрация: 17.10.2015
Сообщений: 8,471
23.11.2019, 08:29 40
Цитата Сообщение от GTAlex Посмотреть сообщение
хочу разобраться именно в этой ситуации - должно ведь работать
удаление гланд через ...опу!? Описан вариант решения хотелки, модератор подтвердил актуальность решения...

Не по теме:

Я просто хочу рассказать Вам, как я "мучался" с статической маршрутизацией между подсетями за VPN. При 2-х микротах, еще куда не шло - можно разобраться и прописать кому куда можно и нужно "ходить". При добавлении 3-го микрота, уже сложнее, но так же вроде разобрался (много маршрутов везде по прописывал). Но при появлении в схеме 4-го микротика - это просто ужас какой то.... я три дня курил конфиги, прописывал маршруты и плюнул... поднял OSPF и всё заработало.



Не зря же говорят - зачем изобретать велосипед!?
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
23.11.2019, 08:29
Помогаю со студенческими работами здесь

Доступ к компьютерам в другой сети через PPTP
Всем привет Есть два роутера на TOMATOUSB SHIBBY На одном настроен PPTP сервер на другом Клиент...

Проброс портов для подключения по PPTP через 881
Имеется циска 881, на ней интерфейс влан 101 с белым ипом. За 881 стоит сервак 10.10.10.2, на...

Настройка роутера через PPTP
Привет парни, такая проблема с настройкой роутера Tenda n630 v2: У меня провайдер KABiNET, который...

PPTP доступ через роутер
Уважаемые пользователи есть сервер 2008 и есть роутер dir100 весь инеет через него, в настройках...

Не коннектит к VPN через PPTP
Здравствуйте Выхожу в интернет через провайдерскую vpn. Поставил Ubuntu - не коннектит - либо...

Интернет через VPN (PPTP)
Вроде делаю все согласно руководств. Но при выборе подключения как показано руководстве пароль не...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
40
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2022, CyberForum.ru