2 x RB750 + PPPoE + OpenVPN

Все остальное

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение harius » 22 янв 2014, 07:31

На счет дирекшена - это верно, я сглупил.
Вот тест, сервер 192.168.1.2 пинает RB-4 (192.168.4.1) слушаю на RB-1
Код: Выделить всё
[admin@MikroTik] /tool sniffer> quick direction=any ip-address=192.168.1.2/32 ip-protocol=icmp 
INTERFACE     TIME    NUM DIR SRC-MAC           DST-MAC           VLAN   SRC-ADDRESS                         DST-ADDRESS                         PROTOCOL   SIZE
ether2...    4.982      1 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
bridge...    4.982      2 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
ether2...    9.983      3 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
bridge...    9.983      4 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
ether2...   14.983      5 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
bridge...   14.983      6 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
ether2...   19.983      7 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
bridge...   19.983      8 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
ether2...   24.983      9 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
bridge...   24.983     10 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
ether2...   29.983     11 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60
bridge...   29.983     12 <-                                             192.168.1.2                         192.168.4.1                         ip:icmp      60

в туннель не попадает ((
Отключаю пинги на 192.168.1.2, что бы не мешали, и запускаю пинг в обратную сторону
с RB-4 (192.168.4.1) сервера 192.168.1.2 слушаю на RB-1
Код: Выделить всё
[admin@MikroTik] /tool sniffer> quick direction=any ip-address=192.168.1.2/32 ip-protocol=icmp interface=all
INTERFACE     TIME    NUM DIR SRC-MAC           DST-MAC           VLAN   SRC-ADDRESS                         DST-ADDRESS                         PROTOCOL   SIZE
to_tim       0.449      1 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60
to_tim       1.453      2 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60
to_tim       2.458      3 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60
to_tim       3.464      4 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60
to_tim       4.468      5 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60
to_tim       5.472      6 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60
to_tim       6.478      7 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60
to_tim       7.482      8 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60
to_tim       8.487      9 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60
to_tim       9.493     10 <-                                             192.168.4.1                         192.168.1.2                         ip:icmp      60

и пакеты дальше туннеля не идут (
harius
новичок
 
Сообщения: 8
Зарегистрирован: 20 янв 2014, 13:39

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение lehisnoe » 22 янв 2014, 08:17

harius писал(а):в туннель не попадает ((

Есть еще такой момент: не всегда работает роут через ифейс. Попробуй на RB-1 явным образом задать маршрут:
Код: Выделить всё
ip route add dst-address=192.168.4.0/24 gateway=192.168.10.1
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение harius » 22 янв 2014, 09:49

RB-1:
Код: Выделить всё
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          10.90.8.1                 1
 1 ADC  10.90.8.1/32       81.90.12.18     pppoe-out1                0
 2 ADC  192.168.1.0/24     192.168.1.1     bridge-local              0
 3 A S  192.168.4.0/24                     192.168.10.1              1
 4 ADS  192.168.10.0/29                    192.168.10.1              0
 5 ADC  192.168.10.1/32    192.168.10.2    to_tim                    0

тож самое ((
смущает метрика дефолтового и удаленной сети одинакова.
удаленная сеть может попадать под оба маршрута, не?

хотя на RB-4 также и рутится верно
Код: Выделить всё
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          62.117.116.9              1
 1   S  0.0.0.0/0                          10.0.0.2                  2
 2 ADC  62.117.116.8/29    62.117.116.10   ether1-gateway            0
 3 A S  192.168.1.0/24                     192.168.10.2              1
 4 ADC  192.168.4.0/24     192.168.4.1     bridge-local              0
 5 ADC  192.168.10.2/32    192.168.10.1    <ovpn-petrasha>           0
 6 ADC  192.168.88.0/24    192.168.88.1    bridge-local              0
[admin@MikroTik] >
harius
новичок
 
Сообщения: 8
Зарегистрирован: 20 янв 2014, 13:39

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение root » 22 янв 2014, 09:58

harius писал(а):удаленная сеть может попадать под оба маршрута, не?

нет, роутинг всегда осуществляется по best match (more specific)

harius писал(а):Вот тест, сервер 192.168.1.2 пинает RB-4 (192.168.4.1) слушаю на RB-1
harius писал(а):в туннель не попадает ((

а при тесте 192.168.1.2 до 192.168.10.1 как выглядит вывод снифера ?
ты временно убрал NAT ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение lehisnoe » 22 янв 2014, 10:22

А дай вывод команды на RB-1:
Код: Выделить всё
ip route print detail where 192.168.4.1 in dst-address

И во второй раз спрошу:
lehisnoe писал(а):В-третьих, правила с логгированием сделал? Где логи?
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение harius » 22 янв 2014, 13:13

Код: Выделить всё
[admin@MikroTik] > /ip route print detail where 192.168.4.1 in dst-address
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
 0 ADS  dst-address=0.0.0.0/0 gateway=10.90.8.1 gateway-status=10.90.8.1 reachable via  pppoe-out1 distance=1 scope=30 target-scope=10

 1 A S  dst-address=192.168.4.0/24 gateway=192.168.10.1 gateway-status=192.168.10.1 reachable via  to_tim distance=1 scope=30 target-scope=10

lehisnoe писал(а):И во второй раз спрошу:
lehisnoe писал(а):В-третьих, правила с логгированием сделал? Где логи?

логирование ставил НО ни один пакет не попал ((
ставил и в filter и в NAT, в начало, в серидину, в конец списков
счетчики пакетов этих правил не обновлялись ((

NAT не отключал еще
harius
новичок
 
Сообщения: 8
Зарегистрирован: 20 янв 2014, 13:39

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение harius » 22 янв 2014, 13:19

root писал(а):а при тесте 192.168.1.2 до 192.168.10.1 как выглядит вывод снифера ?

Код: Выделить всё
[admin@MikroTik] /tool sniffer> quick ip-address=192.168.10.1/32 ip-protocol=icmp direction=any interface=all
INTERFACE     TIME    NUM DIR SRC-MAC           DST-MAC           VLAN   SRC-ADDRESS                         DST-ADDRESS                         PROTOCOL   SIZE
bridge...    0.903      5 ->                                             192.168.10.1                        192.168.1.2                         ip:icmp      60
ether2...    0.903      6 ->                                             192.168.10.1                        192.168.1.2                         ip:icmp      60
ether2...    1.899      7 <-                                             192.168.1.2                         192.168.10.1                        ip:icmp      60
bridge...    1.899      8 <-                                             192.168.1.2                         192.168.10.1                        ip:icmp      60
to_tim         1.9      9 ->                                             192.168.1.2                         192.168.10.1                        ip:icmp      60
to_tim       1.905     10 <-                                             192.168.10.1                        192.168.1.2                         ip:icmp      76
bridge...    1.905     11 ->                                             192.168.10.1                        192.168.1.2                         ip:icmp      60
ether2...    1.905     12 ->                                             192.168.10.1                        192.168.1.2                         ip:icmp      60
ether2...      2.9     13 <-                                             192.168.1.2                         192.168.10.1                        ip:icmp      60
bridge...      2.9     14 <-                                             192.168.1.2                         192.168.10.1                        ip:icmp      60
to_tim       2.901     15 ->                                             192.168.1.2                         192.168.10.1                        ip:icmp      60
to_tim       2.906     16 <-                                             192.168.10.1                        192.168.1.2                         ip:icmp      76
bridge...    2.906     17 ->                                             192.168.10.1                        192.168.1.2                         ip:icmp      60
ether2...    2.906     18 ->                                             192.168.10.1                        192.168.1.2                         ip:icmp      60
ether2...    3.902     19 <-                                             192.168.1.2                         192.168.10.1                        ip:icmp      60
bridge...    3.902     20 <-                                             192.168.1.2                         192.168.10.1                        ip:icmp      60
harius
новичок
 
Сообщения: 8
Зарегистрирован: 20 янв 2014, 13:39

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение lehisnoe » 22 янв 2014, 14:02

harius писал(а):логирование ставил НО ни один пакет не попал ((
ставил и в filter и в NAT, в начало, в серидину, в конец списков
счетчики пакетов этих правил не обновлялись ((

Ну так нужно добиваться того, чтобы пакеты попали и логгировались. Чудес-то не бывает :) Правило нужно ставить самым первым в filter. Давай на RB-1 уберем условие с интерфейсом и оставим тока dst-подсеть 192.168.4.0/24:
Код: Выделить всё
add place-before=0 chain=forward action=log dst-address=192.168.4.0/24
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение root » 23 янв 2014, 07:15

Получается что при пинге с 192.168.1.2 до 192.168.10.1 пакеты точно попадают в туннель.
Тогда я по прежнему считаю что:
root писал(а):я думаю что пакеты от 192.168.1.0/24 до 192.168.4.0/24 у тя все же попадают под NAT.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: 2 x RB750 + PPPoE + OpenVPN

Сообщение lehisnoe » 23 янв 2014, 12:59

root писал(а):пакеты точно попадают в туннель.
А вот это мы и узнаем, когда harius настроит логгирование пакетов к 192.168.4.0/24, т.к. будет отображаться src-адрес.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Пред.След.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 34