hAP AC и VPN

Тема в разделе "Общие вопросы", создана пользователем Urs, 6 ноя 2016.

  1. Urs

    Urs Новый участник

    Добрый день.

    Приобрёл у вас на тесты hAP AC. До этого дел с микротиками особо не имел.
    Поясните, пожалуйста, следующее поведение:

    На микротике настроен PPTP Client до офисного VPN сервера (Cisco).

    Маршрутизация к офисным сетям настроена через маркировку сетей назначения (mark) по инструкциям, богато доступным в Интернете. VPN поднимается.
    + FastPath отключен. Провайдер даёт реальный ip по dhcp.

    Сам вопрос:
    До поднятия VPN ставлю пинги (с компьютера) на офисный компьютер 10.0.112.7, они понятно не проходят.
    Затем поднимаю VPN и наблюдаю что пингов на 10.0.112.7 нету (!), хотя я ожидаю что пинги "пойдут". При этом по RDP например к 10.0.112.7 подключается.
    Если после поднятия VPN начать пинговать какой-то другой ip в офисной сети (напр. 10.0.112.254), то пинги до него ходят, как и ожидается.

    Т.е. наблюдаю какое-то кеширование потока/маршрута.
    Почему так? И как сделать чтобы так не кешировало?

    К слову, с самого микротика пинги до офисного компьютера не работают (при поднятом VPN):
    Код:
    >ping 10.0.112.7 interface=bridge
      SEQ HOST                                     SIZE TTL TIME  STATUS
        0 10.0.112.7                                              timeout
        1 10.0.112.7                                              timeout
        2 10.3.3.33                                  84  64 989ms host unreachable
        3 10.0.112.7                                              timeout
        4 10.0.112.7                                              timeout
        sent=5 received=0 packet-loss=100%
    
    Таблица маршрутизации:
    Код:
    > ip route print
    Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
    #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
    0 A S  0.0.0.0/0                          pptp-office           1
    1 ADS  0.0.0.0/0                          <prov gw>             10
    2 ADC  10.3.3.0/24        10.3.3.33       bridge                0
    3 ADC  10.112.112.134/32  10.20.8.15      pptp-office           0
    4 ADC  <prov net>         <my ext ip>     ether1-wan            0
    
    Конфиг:
    Код:
    # nov/06/2016 14:35:21 by RouterOS 6.36.4
    #
    /interface bridge
    add admin-mac=<mac> auto-mac=no comment=defconf name=bridge
    /interface ethernet
    set [ find default-name=ether1 ] mac-address=00:1B:24:04:5E:67 name=ether1-wan
    set [ find default-name=ether2 ] name=ether2-master
    set [ find default-name=ether3 ] master-port=ether2-master
    set [ find default-name=ether4 ] master-port=ether2-master
    set [ find default-name=ether5 ] master-port=ether2-master
    /interface pptp-client
    add allow=chap,mschap2 connect-to=<vpn server> disabled=no keepalive-timeout=disabled name=pptp-office password=<vpn password> user=<vpn user>
    /ip neighbor discovery
    set ether1-wan discover=no
    set bridge comment=defconf
    /interface wireless security-profiles
    add authentication-types=wpa-psk,wpa2-psk management-protection=allowed mode=dynamic-keys name=<wifi> wpa-pre-shared-key=\
        <wifi key> wpa2-pre-shared-key=<wifi key>
    /interface wireless
    set [ find default-name=wlan1 ] disabled=no distance=indoors frequency=2452 mode=ap-bridge security-profile=<wifi> ssid=<wifi> \
        tx-power-mode=all-rates-fixed wireless-protocol=802.11
    set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce distance=indoors frequency=auto mode=ap-bridge security-profile=\
        <wifi> ssid=MikroTik wireless-protocol=802.11
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip pool
    add name=default-dhcp ranges=192.168.88.10-192.168.88.254
    add name=home-pool ranges=10.3.3.100-10.3.3.111
    /ip dhcp-server
    add address-pool=home-pool disabled=no interface=bridge lease-time=8h name=defconf
    /ppp profile
    add name=no-encrypt use-encryption=no
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2-master
    add bridge=bridge comment=defconf interface=sfp1
    add bridge=bridge comment=defconf interface=wlan1
    add bridge=bridge comment=defconf interface=wlan2
    /ip settings
    set allow-fast-path=no secure-redirects=no send-redirects=no
    /ip address
    add address=10.3.3.33/24 comment=defconf interface=ether2-master network=10.3.3.0
    /ip dhcp-client
    add comment=defconf default-route-distance=10 dhcp-options=hostname,clientid disabled=no interface=ether1-wan
    /ip dhcp-server network
    add address=10.3.3.0/24 comment=defconf gateway=10.3.3.33 netmask=24
    /ip dns
    set allow-remote-requests=yes servers=<dns1>,<dns2>
    /ip dns static
    add address=10.3.3.33 name=router
    /ip firewall address-list
    add address=10.0.0.0/16 list=officenet
    add address=10.200.0.0/16 list=officenet
    add address=<vpn server> list=office
    /ip firewall filter
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
    add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1-wan src-address-list=!office
    add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
    add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
        in-interface=ether1-wan
    /ip firewall mangle
    add action=mark-routing chain=prerouting comment="officenetworks mark" dst-address-list=officenet new-routing-mark=markoffice passthrough=no
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1-wan
    add action=masquerade chain=srcnat out-interface=pptp-office
    /ip firewall service-port
    set pptp disabled=yes
    /ip route
    add distance=1 gateway=pptp-office routing-mark=markoffice
    /ip service
    set telnet disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ip upnp
    set enabled=yes
    /ip upnp interfaces
    add interface=bridge type=internal
    add interface=ether1-wan type=external
    /system clock
    set time-zone-name=Europe/Moscow
    /system leds
    set 1 interface=wlan2
    /system routerboard settings
    set cpu-frequency=720MHz protected-routerboot=disabled
    /tool mac-server
    set [ find default=yes ] disabled=yes
    add interface=bridge
    /tool mac-server mac-winbox
    set [ find default=yes ] disabled=yes
    add interface=bridge
    
     
    Последнее редактирование: 6 ноя 2016
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Вы маркируете пакет в Prepouting. Пингуете с Роутера, а это цепочка Output.
    Как следствие пакет будет улетать на 0.0.0.0/0 немаркированный.
    Вместо маркировки логично использовать маршруты
    /ip route add destination=10.200.0.0/16 gateway=pptp-client
    /ip route add destination=10.200.0.0/16 type=unreachable distance=100
    Первый закидывает все пакеты в офис.
    Второй "убивает" все пакеты идущие на 10.200.0.0/16 если первый маршрут неактивен (умер туннель)
    То что вы не можете пинговать комп с той стороны - скорее всего проблема windows firewall
     
  3. Urs

    Urs Новый участник

    Хорошо, я переделал с PBR на маршруты, как вы написали, хотя нормальный PBR мне тоже нужен (убрал маркировку)
    Добавил unreachable (add distance=100 dst-address=10.0.0.0/16 type=unreachable)

    Ставлю на пинги 10.0.112.7 (с компьютера), потом поднимаю VPN.
    Я наблюдаю, что после поднятия VPN, почему-то каждый второй пакет пропадает, а через ~35 сек. уже устаканивается и нормально идёт.

    Есть ли этому какое-то объяснение?

    И дело не в Windows Firewall - с компьютера VPN устанавливается моментально и сразу всё нормально пингуется.

    Код:
    >ping 10.0.112.7 -t
    Обмен пакетами с 10.0.112.7 по с 32 байтами данных:
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Ответ от 10.3.3.33: Заданный узел недоступен.
    Превышен интервал ожидания для запроса.
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Превышен интервал ожидания для запроса.
    Ответ от 10.0.112.7: число байт=32 время=4мс TTL=125
    Превышен интервал ожидания для запроса.
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Превышен интервал ожидания для запроса.
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Превышен интервал ожидания для запроса.
    Ответ от 10.0.112.7: число байт=32 время=5мс TTL=125
    Превышен интервал ожидания для запроса.
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Превышен интервал ожидания для запроса.
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Превышен интервал ожидания для запроса.
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Превышен интервал ожидания для запроса.
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=4мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=9мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=4мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125
    Ответ от 10.0.112.7: число байт=32 время=9мс TTL=125
    
     
    Последнее редактирование: 9 ноя 2016
  4. Илья Князев

    Илья Князев Администратор Команда форума

    Обратный маршрут на диске есть?
     
  5. Urs

    Urs Новый участник

    Диске? Что это? Не понял вопроса.

    Маршрут на VPN-сервере при подключении PPTP клиента, создаётся. Кто-где, Cisco знает.
     
  6. Илья Князев

    Илья Князев Администратор Команда форума

    Сорри. T9 выделывается.
    Пакеты приходят на Mikrotik? Что говорит torch на интерфейсе?
     
  7. Urs

    Urs Новый участник

    Пакеты мне пока не посмотреть нормально, попозже отвечу.

    У меня ещё смежный вопрос: я ставлю в интерфейсе pptp-client'а галочку "Dial On Demand", запускаю пинги на сеть, для которой есть маршрут на pptp интерфейс, а ничего не происходит.
    Я рассчитываю, что VPN поднимется, но этого не случается.

    Почему так?
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Должен подниматься.
     
  9. Urs

    Urs Новый участник

    Вы правы, я не корректно смотрел статус PPTP интерфейса
    Через interface pptp-client monitor видно что поднимается, когда появляются пакеты