PPPoE (билайн у которого нету L2tp)+PPtP - iDeco

Тема в разделе "Вопросы начинающих", создана пользователем Saint2001, 1 дек 2017.

  1. Saint2001

    Saint2001 Новый участник

    День добрый, помогите советом!
    Есть МТ подключается по PPtP к iDeco (шлюз железный).
    МТ получает от провайдера внутренний IP, по PPPoE получает внешний.
    Далее оооочень долго (иногда быстро, не понимаю от чего зависит) по PPtP соединяется с iDeco (причем только с MTU = 1450-1460, что принудительно выставлены в настройках PPtP на МТ).
    Суть: LAN1 - MT - PPtP - iDeco - LAN2 (такая получается сеть)
    трафик идет: с МТ во все подсети LAN1 и LAN2
    c LAN1 доступна LAN2

    c LAN2 видно только IP PPtP МТ к нему можно подключится, до сети LAN1 не достучаться!
    На МТ чего то (правила в FireWall или Rout) не хватает не могу понять чего (использовал все варианты которые приходили в голову уже)!? Подскажите где и что ковырять!?
     
  2. Дайте схему сети, конфигурацию роутера.
     
  3. Saint2001

    Saint2001 Новый участник

    Сеть:


    192.168.102.0/24 - МТ- beeline - Internet - провайдер - iDeco - 192.168.100.0/24
    PPPoE = MT+Beeline (для выхода в интернет и получения внешнего белого IP)
    PPtP = MT+iDeco
    По конфигурации, что конкетно (firewall, route)?
     
  4. NAT включен c LAN2 ?
     
  5. Saint2001

    Saint2001 Новый участник

    [​IMG]

    причем в данный момент подключилась удаленную сеть (LAN1) я вижу ....От чего это зависит, не понятно....
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Дайте
    /ip firewall expirt
    /ip route print
     
  7. Saint2001

    Saint2001 Новый участник

    /ip firewall expirt - bad command name expert (line 1 column 14)
    /ip route print
    [​IMG]

    Да, еще хотел завернуть трафик в PPtP но как только вес меняешь на 1 или 0 падает впн и не цепляется...
     
    Последнее редактирование: 14 дек 2017
  8. Incognito

    Incognito Участник

    /ip firewall export там опечатка ...
     
  9. Saint2001

    Saint2001 Новый участник

    /ip firewall export
    # dec/14/2017 15:34:45 by RouterOS 6.41rc11
    # software id = JQ9K-CT53
    #
    # model = RouterBOARD 952Ui-5ac2nD
    # serial number = 7C3007476209
    /ip firewall address-list
    add address=VPN IP DST. list=whitelist
    add address=192.168.0.0/16 list=whitelist
    add address=192.168.100.239 list=whitelist
    add address=192.168.100.0/24 list=whitelist
    /ip firewall filter
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp \
    src-address-list=whitelist
    add action=accept chain=input connection-state=new dst-port=8291 protocol=tcp \
    src-address-list=whitelist
    add action=accept chain=input comment="defconf: accept established,related" \
    connection-state=established,related,new
    add action=accept chain=forward in-interface=bridge-local out-interface=\
    pppoe-out1
    add action=accept chain=forward dst-address=192.168.100.0/24 src-address=\
    192.168.103.0/24
    add action=accept chain=forward dst-address=192.168.103.0/24 src-address=\
    192.168.100.0/24
    add action=accept chain=forward disabled=yes in-interface=pptp-out1 \
    out-interface=bridge-local
    add action=accept chain=forward connection-state=established,related disabled=\
    yes in-interface=pptp-out1 out-interface=pppoe-out1
    add action=accept chain=forward comment="defconf: accept established,related" \
    connection-state=established,related
    add action=drop chain=input comment="defconf: drop all from WAN" in-interface=\
    ether1-gateway
    add action=drop chain=input in-interface=pppoe-out1
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
    add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1-gateway
    /ip firewall mangle
    add action=mark-routing chain=output dst-port=53 new-routing-mark=dns \
    passthrough=yes protocol=udp
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=pppoe-out1
    add action=masquerade chain=srcnat src-address=192.168.103.0/24
    add action=masquerade chain=srcnat out-interface=pptp-out1
    add action=masquerade chain=srcnat src-address=192.168.100.0/24
    add action=accept chain=dstnat
    add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
    out-interface=ether1-gateway
    /ip firewall service-port
    set pptp ports=1723
     
  10. Сделайте tracert c LAN1--> LAN2 и c LAN2-->LAN1, результаты сюда.
     
  11. Saint2001

    Saint2001 Новый участник

    Когда VPN поднялся и трафик через какое то время пошел, картина такая:

    LAN2->LAN1
    Трассировка маршрута к 192.168.103.252 с максимальным числом прыжков 30 (из 100-й подсети LAN2)
    1 <1 мс <1 мс <1 мс 192.168.100.254 (шлюз)
    2 33 ms 33 ms 33 ms 10.128.0.12 (IP PPtP LAN1)
    3 35 ms 35 ms 35 ms 192.168.103.252 (машина в LAN1)
    Трассировка завершена.

    LAN1->LAN2
    Трассировка маршрута к 192.168.100.239 с максимальным числом прыжков 30
    1 4 ms 2 ms 2 ms 192.168.103.1
    2 37 ms 36 ms 36 ms 10.128.0.0
    3 35 ms 35 ms 35 ms 192.168.100.239
    Трассировка завершена.

    Но стоит уронить PPtP и поднять его, картина меняется:

    LAN2->LAN1
    Трассировка маршрута к 192.168.103.252 с максимальным числом прыжков 30
    1 192.168.100.254 сообщает: Заданный узел недоступен.
    Трассировка завершена.


    LAN1->LAN2
    Трассировка маршрута к 192.168.100.239 с максимальным числом прыжков 30
    1 4 ms 2 ms 2 ms 192.168.103.1
    2 37 ms 36 ms 36 ms 10.128.0.0
    3 35 ms 35 ms 35 ms 192.168.100.239
    Трассировка завершена.
     
  12. После того как уронили подняли туннель, посмотрите что у вас в PPP Active connection на микротике, по идеи там будет "старый туннель" висеть и пока его не удалите трафик может и не идти... Что бы он быстро сбрасывался укажите меньшее время в профиле PPP Keepalive Timeout.
     
  13. Saint2001

    Saint2001 Новый участник

    нет, чисто...трафик не идет...
    [​IMG]
     
  14. а ну потому что у вас клиент на стороне микротика, попробуйте очистить все коннекты в коннекшен трекер тогда.
     
  15. А через какое время восстанавливается ?
     
  16. Saint2001

    Saint2001 Новый участник

    Забыл еще нюанс указать: PPtP интерфейс МТ я вижу! Не вижу за ним LAN

    Трассировка маршрута к 10.128.0.12 с максимальным числом прыжков 30
    1 <1 мс <1 мс <1 мс 192.168.100.254
    2 35 ms 35 ms 33 ms 10.128.0.12
    Трассировка завершена.

    По разному восстанавливается, от 20 минут до нескольких часов...закономерности нет...Есть ощущение, что как только проходит какой то запрос на установку соединения со стороны LAN1, маршрут начинает нормально работать
     
    Последнее редактирование: 15 дек 2017
  17. у ваc 6.41 RC, попробуйте ветку bugfix последнею
     
  18. Saint2001

    Saint2001 Новый участник

    К сожалению не попробовать очень далеко от Питера -МТ, если он не поднимется, будет не гуд...
     
  19. Saint2001

    Saint2001 Новый участник

    Косяк где-то pptp-LAN1 на МТ не хватает то ли маршрута толи в файерволле закрыто...
    > LAN1-МТ-iDeco-LAN2 - работает
    > LAN2-iDeco-MT - х - LAN1 - не работает
    ..................................^вот здесь чего то не хватает...
     
  20. Saint2001

    Saint2001 Новый участник

    До LAN1 маршрут сам заработал только в понедельник часов в 11, с пятницы не работал...Хотя до интерфейса МТ PPtP и на сам МТ я без проблем попадаю..с пятницы!