Есть спецы по MikroTik?

[ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (3) 1 [2] 3   К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
evildemon
12.12.2018 - 18:54
Статус: Offline


Весельчак

Регистрация: 30.05.12
Сообщений: 184
смысл прописывать порт для l2tp если он и так подключился уже?
с компа который не пингуется трассировку надо сделать на тот хост, с которого пинг не идет и посмотреть, куда вообще он ответ то шлет
 
[^]
TerStegen
12.12.2018 - 18:54
Статус: Offline


Шутник

Регистрация: 19.08.14
Сообщений: 99
Цитата (Demosphen @ 12.12.2018 - 18:53)
Оба из коробки?
У тебя случаем в обоих локальная сеть не 192.168.88.0/24

Первая сеть
/ip address
add address=192.168.5.1/24 interface=Local-Kalinina network=192.168.5.0
/ip route
add distance=1 dst-address=192.168.8.0/24 gateway=to_Sklad
to_Sklad - интерфейс тунеля на склад

Вторая сеть
/ip address
add address=192.168.9.1/24 interface=Local-Sklad network=192.168.9.0
/ip route
add distance=1 dst-address=192.168.5.0/24 gateway=to_Kalinina
to_Kalinina - интерфейс тунеля на калинина

спасибо,
сеть настроена, дхцп офф, нат он.
эти маршруты есть
 
[^]
TerStegen
12.12.2018 - 18:56
Статус: Offline


Шутник

Регистрация: 19.08.14
Сообщений: 99
Цитата (evildemon @ 12.12.2018 - 18:54)
смысл прописывать порт для l2tp если он и так подключился уже?
с компа который не пингуется трассировку надо сделать на тот хост, с которого пинг не идет и посмотреть, куда вообще он ответ то шлет

трассировка проходит свой шлюз и шлюз второй сети, дальше него не идет, если делаем до компа.
до принтера всё норм.

Это сообщение отредактировал TerStegen - 12.12.2018 - 18:56
 
[^]
WolfFrog
12.12.2018 - 18:57
Статус: Offline


Приколист

Регистрация: 15.09.18
Сообщений: 265
Смотрите, вот схема

(локалка А) -> Микротик1 -> Микротик2 -> (локалка В)

Предположим, сервер находится в В. Если файрвол на микроте 2 выключен и если пингуются принтеры в локалке В из локалки А - вам нужно открыть порт, используемый БД на сервере для внешнего подключения с айпи первой локалки. В дальнейшем прикрыть все лишнее на микроте 2 . Все.
Не пингуется сервак только из-за файрвола.

Это сообщение отредактировал WolfFrog - 12.12.2018 - 18:57
 
[^]
yaphunter
12.12.2018 - 18:58
Статус: Offline


Ярила

Регистрация: 4.08.13
Сообщений: 8941
Цитата (TerStegen @ 12.12.2018 - 19:39)
Господа, вопрос назрел, может кто поможет.
Делаю l2tp mikrotik-mikrotik между офисами,
оба из коробки, поднят инет, заглушен файрволл на обоих.

1. Создаем l2tp сервер
2. Создаем l2tp клиент
3. Прописываем маршруты в обе стороны.
4. На выходе пингуются шлюзы в 2 конца, не пингуется ни один комп, но пингуются, например, принтеры.

Прикол в брандмауэре?
Какой-то порт надо открыть на конечном компе?

Спасибо заранее!

Предполагаю, что внутреннюю сеть виндовый файрвол рассматривает как частную, а сеть между роутерами как общедоступную и соответственно данный профиль глушит icmp запросы.
 
[^]
evildemon
12.12.2018 - 18:58
Статус: Offline


Весельчак

Регистрация: 30.05.12
Сообщений: 184
Цитата (TerStegen @ 12.12.2018 - 17:56)
Цитата (evildemon @ 12.12.2018 - 18:54)
смысл прописывать порт для l2tp если он и так подключился уже?
с компа который не пингуется трассировку надо сделать на тот хост, с которого пинг не идет и посмотреть, куда вообще он ответ то шлет

трассировка проходит свой шлюз и шлюз второй сети, дальше него не идет, если делаем до компа.
до принтера всё норм.

а в обратную сторону, от компа из той сети? Ну и банально фаервол отключали для проверки?

Это сообщение отредактировал evildemon - 12.12.2018 - 18:58
 
[^]
Ломоносов17
12.12.2018 - 19:00
Статус: Offline


Шутник

Регистрация: 2.12.18
Сообщений: 19
Риторичный вопрос - Винда или Линух на непингующихся компах?

Это сообщение отредактировал Ломоносов17 - 12.12.2018 - 19:01
 
[^]
TerStegen
12.12.2018 - 19:00
Статус: Offline


Шутник

Регистрация: 19.08.14
Сообщений: 99
Цитата (evildemon @ 12.12.2018 - 18:58)
Цитата (TerStegen @ 12.12.2018 - 17:56)
Цитата (evildemon @ 12.12.2018 - 18:54)
смысл прописывать порт для l2tp если он и так подключился уже?
с компа который не пингуется трассировку надо сделать на тот хост, с которого пинг не идет и посмотреть, куда вообще он ответ то шлет

трассировка проходит свой шлюз и шлюз второй сети, дальше него не идет, если делаем до компа.
до принтера всё норм.

а в обратную сторону, от компа из той сети? Ну и банально фаервол отключали для проверки?

сейчас нет возможности с той стороны посмотреть.
про файрволл пиздеть не буду, вроде как на одном из компов он отключен, но завтра узнаю точно.
 
[^]
Demosphen
12.12.2018 - 19:00
Статус: Offline


Шутник

Регистрация: 15.01.16
Сообщений: 21
Цитата (TerStegen @ 12.12.2018 - 23:56)
Цитата (evildemon @ 12.12.2018 - 18:54)
смысл прописывать порт для l2tp если он и так подключился уже?
с компа который не пингуется трассировку надо сделать на тот хост, с которого пинг не идет и посмотреть, куда вообще он ответ то шлет

трассировка проходит свой шлюз и шлюз второй сети, дальше него не идет, если делаем до компа.
до принтера всё норм.


Файрвол на компах с другой сети вас не пускает, отключить файрвол пинги должны пойти
Либо маскарадинг сделайте на пакеты которые приходят из других сетей и идут вовнутрь
 
[^]
TerStegen
12.12.2018 - 19:00
Статус: Offline


Шутник

Регистрация: 19.08.14
Сообщений: 99
Цитата (Ломоносов17 @ 12.12.2018 - 19:00)
Риторичный вопрос - Винда или Линух?

win везде
 
[^]
TerStegen
12.12.2018 - 19:01
Статус: Offline


Шутник

Регистрация: 19.08.14
Сообщений: 99
Demosphen
отключать не вариант. нужно понять, что настроить.
я понимаю, что дело в файрволлах виндовых.
icmp пока мысль, да
 
[^]
parazoid
12.12.2018 - 19:02
Статус: Offline


Весельчак

Регистрация: 2.12.15
Сообщений: 167
Таблицу маршрутов приведи
И про IPCEC не слушай - лет 10 назад на этих девайсах этот протокол не всегда работал (точнее через раз)
И нужен еще внутренний адрес маршрутизаторов VPN - не связан с адресами с которыхв соединяются

Это сообщение отредактировал parazoid - 12.12.2018 - 19:11
 
[^]
Myth
12.12.2018 - 19:02
Статус: Offline


Ярила

Регистрация: 30.08.13
Сообщений: 2183
Во первых, проверь не пересек ли ты масками внутренние сети за микротами. Во вторых - что мешает запилить TCP OpenVPN (c udp микроты не дружат вроде). В третьих - чти Труды братьев Олиферов до поленйшего просветления. И еще момент возможно придется поковыряться с source-based роутингом. Сложного особо ничего нет, но надо просто разобраться в логике.

PS Использую на шлюзах FreeBSD (досталась в наследство), несколько офисов смотрят друг на друга сеть-в-сеть

Это сообщение отредактировал Myth - 12.12.2018 - 19:04
 
[^]
ghibon
12.12.2018 - 19:03
Статус: Offline


Шутник

Регистрация: 17.10.17
Сообщений: 63
Если принтеры пингуются, то дело не в маршрутах а в брандмауэре. Точнее, правилах, задаваемых расположением сети.
Но правила маршрутизации понадобятся чтобы интернет был у клиентов
У меня точно так было с zywall l2tp/ipsec с доменом в одном офисе и рабочими группами другой

Это сообщение отредактировал ghibon - 12.12.2018 - 19:06
 
[^]
evildemon
12.12.2018 - 19:03
Статус: Offline


Весельчак

Регистрация: 30.05.12
Сообщений: 184
очень похоже именно на фаервол. маршруты по описанию верные, принтеры пингутся - значит и с той стороны вероятно все верно. Значит на самих компах проблема. Если трасса с них пойдет правильно то надо смотреть какой софт на них блокирует - встроенный фаервол или ещё какая приблуда с антивирусная
 
[^]
dron1978
12.12.2018 - 19:03
Статус: Offline


Юморист

Регистрация: 12.10.10
Сообщений: 495
НА самом деле, все зависит от набора сервисов, которые нужны между площадками, определись сначала с этим, потом и порты открывай на фаерах.
Если только MS SQL, опять жу, нужно смотреть как настроен, если по умолчанию, то порты:
TCP 1433
TCP 1434
UDP 1434
Для большинства применений, если нужны еще и Analysing Services, то не помню, здесь поищи сам, опять же в том случае, если при установке Скуля никто не менял порты по умолчанию, в противном случае, копай настройки, что касается пингов, то у меня например они отключены сами по себе, всегда лучше сделать адресное обращение, нежели дать возможность относительно легко выяснить топологию сети.
Если все же интересен пинг, то на виндовых тачках нужно разрешить ICMP Ping? насколько я помню (но повторюсь, надо ли оно тебе?)

Кроме того, проверь адресацию сетей, если у тебя например 192.168.1.0 при маске 255.255.255.0 в обоих сетях, то такой маршрут по определению не взлетит, адресация не должна пересекаться!

Это сообщение отредактировал dron1978 - 12.12.2018 - 19:08
 
[^]
Demosphen
12.12.2018 - 19:04
Статус: Offline


Шутник

Регистрация: 15.01.16
Сообщений: 21
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Local-Sklad src-address=192.168.4.0/24

ВОт примерно так закройте источник, при выходе пакетов внутрь другой сети

Local-Sklad - локальный интерфейс микротика
192.168.4.0/24 - сеть другого офиса
 
[^]
ghibon
12.12.2018 - 19:09
Статус: Offline


Шутник

Регистрация: 17.10.17
Сообщений: 63
Цитата (yaphunter @ 12.12.2018 - 18:58)

Предполагаю, что внутреннюю сеть виндовый файрвол рассматривает как частную, а сеть между роутерами как общедоступную и соответственно данный профиль глушит icmp запросы.

Согласен
 
[^]
JIR
12.12.2018 - 19:11
Статус: Offline


Сибирский

Регистрация: 5.02.09
Сообщений: 6306
На Микротике и на конечных компах, надо явно ICMP разрешить для подсети ВПН.
Будет пинговаться.
 
[^]
dron1978
12.12.2018 - 19:11
Статус: Offline


Юморист

Регистрация: 12.10.10
Сообщений: 495
Цитата (ghibon @ 12.12.2018 - 19:09)
Цитата (yaphunter @ 12.12.2018 - 18:58)

Предполагаю, что внутреннюю сеть виндовый файрвол рассматривает как частную, а сеть между роутерами как общедоступную и соответственно данный профиль глушит icmp запросы.

Согласен

Для виндового фаера, любые запросы через шлюз, обрабатываются правилами недоверенных и ICMP Ping на них запрещен
 
[^]
CLaeR
12.12.2018 - 19:11
Статус: Offline


Хохмач

Регистрация: 10.03.12
Сообщений: 726
Почита
 
[^]
CLaeR
12.12.2018 - 19:14
Статус: Offline


Хохмач

Регистрация: 10.03.12
Сообщений: 726
Почитай, что такое брандмауэр, как разрешить в Windows ICMP и завязывай флудить. Вот ссылка с картинками https://www.howtogeek.com/77132/how-to-enab...s-in-windows-8/
 
[^]
treeton
12.12.2018 - 19:16
Статус: Offline


Ярила

Регистрация: 13.03.13
Сообщений: 4038
туннель на тиках настраивается по мурзилке с гугла как два пальца об асфальт. если нет видимости компов, надо включать Proxy ARP на интерфейсе.
могу настроить за скромную мзду по удаленке, если надо, либо узреть и описать проблему, если дело не в настройке тиков. Никакие файерволы компов трогать НЕ надо, если не стоит Каспер или какая иная дрочепездь. Никаких портов открывать НЕ надо, если их намеренно никто не закрывал. Второй конец туннеля должен быть ЛИБО в подсетке с компами (адрес той-же подсети должен иметь), либо должен роутиться тиком (для этого должна нормально маршрутизация на тике быть настроена), если есть желание, что-бы удаленно подключенные висели в отдельной подсети и, например, фильтровались тиковским файерволом.

Это сообщение отредактировал treeton - 12.12.2018 - 19:22
 
[^]
ghibon
12.12.2018 - 19:18
Статус: Offline


Шутник

Регистрация: 17.10.17
Сообщений: 63
Цитата (dron1978 @ 12.12.2018 - 19:03)

Кроме того, проверь адресацию сетей, если у тебя например 192.168.1.0 при маске 255.255.255.0 в обоих сетях, то такой маршрут по определению не взлетит, адресация не должна пересекаться!

Взлетит, правда с ограничениями. Т.е., будет так. К примеру , 192.168.1.13 в одном и другом офисе. При коннекте, в своей сети просто перестанет видеться данный хост, он перекроется удаленным 192.168.1.13. Проверено на zywall с моей стороны и зиволах и кинетиках разных наших объектов с другой стороны при l2tp/ipsec. Это конечно, если не менять маршрутизацию, так то можно и наоборот настроить при желании
Не должны пересекаться локальные ip и пул адресов в настройках vpn

Это сообщение отредактировал ghibon - 12.12.2018 - 19:30
 
[^]
Demosphen
12.12.2018 - 19:20
Статус: Offline


Шутник

Регистрация: 15.01.16
Сообщений: 21
Вообщем у тебя на компах винды стоит либо общественая сеть, никто снаружи не пингует, сервисы недоступны, если ручками что либо не включить

либо стоит часная сеть (пинги идут с твоей же подсети)
когда ты приходишь с другого офиса, адрес источника пакетов другая сеть, тут либо менять настройки файрвола открывать нуджный тебе сервис, либо на выходе пакетов из микротика в локальную сеть делать маскарадинг, выше пример правил.

ТОгда компу будет казаться что к нему обращается шлюз, а не хрен пойми кто с другого офиса.
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 2351
0 Пользователей:
Страницы: (3) 1 [2] 3  [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх