Добрый день. Приобрёл у вас на тесты hAP AC. До этого дел с микротиками особо не имел. Поясните, пожалуйста, следующее поведение: На микротике настроен PPTP Client до офисного VPN сервера (Cisco). Маршрутизация к офисным сетям настроена через маркировку сетей назначения (mark) по инструкциям, богато доступным в Интернете. VPN поднимается. + FastPath отключен. Провайдер даёт реальный ip по dhcp. Сам вопрос: До поднятия VPN ставлю пинги (с компьютера) на офисный компьютер 10.0.112.7, они понятно не проходят. Затем поднимаю VPN и наблюдаю что пингов на 10.0.112.7 нету (!), хотя я ожидаю что пинги "пойдут". При этом по RDP например к 10.0.112.7 подключается. Если после поднятия VPN начать пинговать какой-то другой ip в офисной сети (напр. 10.0.112.254), то пинги до него ходят, как и ожидается. Т.е. наблюдаю какое-то кеширование потока/маршрута. Почему так? И как сделать чтобы так не кешировало? К слову, с самого микротика пинги до офисного компьютера не работают (при поднятом VPN): Код: >ping 10.0.112.7 interface=bridge SEQ HOST SIZE TTL TIME STATUS 0 10.0.112.7 timeout 1 10.0.112.7 timeout 2 10.3.3.33 84 64 989ms host unreachable 3 10.0.112.7 timeout 4 10.0.112.7 timeout sent=5 received=0 packet-loss=100% Таблица маршрутизации: Код: > ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 pptp-office 1 1 ADS 0.0.0.0/0 <prov gw> 10 2 ADC 10.3.3.0/24 10.3.3.33 bridge 0 3 ADC 10.112.112.134/32 10.20.8.15 pptp-office 0 4 ADC <prov net> <my ext ip> ether1-wan 0 Конфиг: Код: # nov/06/2016 14:35:21 by RouterOS 6.36.4 # /interface bridge add admin-mac=<mac> auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether1 ] mac-address=00:1B:24:04:5E:67 name=ether1-wan set [ find default-name=ether2 ] name=ether2-master set [ find default-name=ether3 ] master-port=ether2-master set [ find default-name=ether4 ] master-port=ether2-master set [ find default-name=ether5 ] master-port=ether2-master /interface pptp-client add allow=chap,mschap2 connect-to=<vpn server> disabled=no keepalive-timeout=disabled name=pptp-office password=<vpn password> user=<vpn user> /ip neighbor discovery set ether1-wan discover=no set bridge comment=defconf /interface wireless security-profiles add authentication-types=wpa-psk,wpa2-psk management-protection=allowed mode=dynamic-keys name=<wifi> wpa-pre-shared-key=\ <wifi key> wpa2-pre-shared-key=<wifi key> /interface wireless set [ find default-name=wlan1 ] disabled=no distance=indoors frequency=2452 mode=ap-bridge security-profile=<wifi> ssid=<wifi> \ tx-power-mode=all-rates-fixed wireless-protocol=802.11 set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce distance=indoors frequency=auto mode=ap-bridge security-profile=\ <wifi> ssid=MikroTik wireless-protocol=802.11 /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 add name=home-pool ranges=10.3.3.100-10.3.3.111 /ip dhcp-server add address-pool=home-pool disabled=no interface=bridge lease-time=8h name=defconf /ppp profile add name=no-encrypt use-encryption=no /interface bridge port add bridge=bridge comment=defconf interface=ether2-master add bridge=bridge comment=defconf interface=sfp1 add bridge=bridge comment=defconf interface=wlan1 add bridge=bridge comment=defconf interface=wlan2 /ip settings set allow-fast-path=no secure-redirects=no send-redirects=no /ip address add address=10.3.3.33/24 comment=defconf interface=ether2-master network=10.3.3.0 /ip dhcp-client add comment=defconf default-route-distance=10 dhcp-options=hostname,clientid disabled=no interface=ether1-wan /ip dhcp-server network add address=10.3.3.0/24 comment=defconf gateway=10.3.3.33 netmask=24 /ip dns set allow-remote-requests=yes servers=<dns1>,<dns2> /ip dns static add address=10.3.3.33 name=router /ip firewall address-list add address=10.0.0.0/16 list=officenet add address=10.200.0.0/16 list=officenet add address=<vpn server> list=office /ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1-wan src-address-list=!office add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \ in-interface=ether1-wan /ip firewall mangle add action=mark-routing chain=prerouting comment="officenetworks mark" dst-address-list=officenet new-routing-mark=markoffice passthrough=no /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1-wan add action=masquerade chain=srcnat out-interface=pptp-office /ip firewall service-port set pptp disabled=yes /ip route add distance=1 gateway=pptp-office routing-mark=markoffice /ip service set telnet disabled=yes set api disabled=yes set api-ssl disabled=yes /ip upnp set enabled=yes /ip upnp interfaces add interface=bridge type=internal add interface=ether1-wan type=external /system clock set time-zone-name=Europe/Moscow /system leds set 1 interface=wlan2 /system routerboard settings set cpu-frequency=720MHz protected-routerboot=disabled /tool mac-server set [ find default=yes ] disabled=yes add interface=bridge /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=bridge
Вы маркируете пакет в Prepouting. Пингуете с Роутера, а это цепочка Output. Как следствие пакет будет улетать на 0.0.0.0/0 немаркированный. Вместо маркировки логично использовать маршруты /ip route add destination=10.200.0.0/16 gateway=pptp-client /ip route add destination=10.200.0.0/16 type=unreachable distance=100 Первый закидывает все пакеты в офис. Второй "убивает" все пакеты идущие на 10.200.0.0/16 если первый маршрут неактивен (умер туннель) То что вы не можете пинговать комп с той стороны - скорее всего проблема windows firewall
Хорошо, я переделал с PBR на маршруты, как вы написали, хотя нормальный PBR мне тоже нужен (убрал маркировку) Добавил unreachable (add distance=100 dst-address=10.0.0.0/16 type=unreachable) Ставлю на пинги 10.0.112.7 (с компьютера), потом поднимаю VPN. Я наблюдаю, что после поднятия VPN, почему-то каждый второй пакет пропадает, а через ~35 сек. уже устаканивается и нормально идёт. Есть ли этому какое-то объяснение? И дело не в Windows Firewall - с компьютера VPN устанавливается моментально и сразу всё нормально пингуется. Код: >ping 10.0.112.7 -t Обмен пакетами с 10.0.112.7 по с 32 байтами данных: Ответ от 10.3.3.33: Заданный узел недоступен. Ответ от 10.3.3.33: Заданный узел недоступен. Ответ от 10.3.3.33: Заданный узел недоступен. Ответ от 10.3.3.33: Заданный узел недоступен. Ответ от 10.3.3.33: Заданный узел недоступен. Ответ от 10.3.3.33: Заданный узел недоступен. Ответ от 10.3.3.33: Заданный узел недоступен. Ответ от 10.3.3.33: Заданный узел недоступен. Ответ от 10.3.3.33: Заданный узел недоступен. Ответ от 10.3.3.33: Заданный узел недоступен. Превышен интервал ожидания для запроса. Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Превышен интервал ожидания для запроса. Ответ от 10.0.112.7: число байт=32 время=4мс TTL=125 Превышен интервал ожидания для запроса. Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Превышен интервал ожидания для запроса. Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Превышен интервал ожидания для запроса. Ответ от 10.0.112.7: число байт=32 время=5мс TTL=125 Превышен интервал ожидания для запроса. Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Превышен интервал ожидания для запроса. Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Превышен интервал ожидания для запроса. Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Превышен интервал ожидания для запроса. Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=4мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=9мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=4мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=3мс TTL=125 Ответ от 10.0.112.7: число байт=32 время=9мс TTL=125
Диске? Что это? Не понял вопроса. Маршрут на VPN-сервере при подключении PPTP клиента, создаётся. Кто-где, Cisco знает.
Пакеты мне пока не посмотреть нормально, попозже отвечу. У меня ещё смежный вопрос: я ставлю в интерфейсе pptp-client'а галочку "Dial On Demand", запускаю пинги на сеть, для которой есть маршрут на pptp интерфейс, а ничего не происходит. Я рассчитываю, что VPN поднимется, но этого не случается. Почему так?
Вы правы, я не корректно смотрел статус PPTP интерфейса Через interface pptp-client monitor видно что поднимается, когда появляются пакеты