@MikrotikRu
Александр06.07.2017
11:14:33
11:14:33
где его брать?
Alexei06.07.2017
11:14:44
11:14:44
по секрету сделаешь
Александр06.07.2017
11:15:00
11:15:00
Есть какая-то инструкция как правильно настроить?
Google
Alexander06.07.2017
11:17:00
11:17:00
ну и оф.вики
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#L2TP.2FIpSec_setup
Александр06.07.2017
11:25:03
11:25:03
/ip ipsec peer> print
expected command name (line 1 column 15)
выдает ошибку при вводе команд с вики
Александр06.07.2017
11:29:06
11:29:06
set default local-address=192.168.99.1 remote-address=vpn-pool
syntax error (line 1 column 5)
Kirill06.07.2017
11:31:09
11:31:09
что вы творите?
Кирилл06.07.2017
11:31:45
11:31:45
Александр06.07.2017
11:31:46
11:31:46
пытаюсь сделать то, что написано в вики?
Google
Alex06.07.2017
11:37:08
11:37:08
Там айписек в одну галку настраивается, к чему усложнять?
В сервере поставили use-ipsec=yes и пароль ввели. И на клиенте то же самое
Alex06.07.2017
11:40:31
11:40:31
Александру Зуеву
kad06.07.2017
11:45:14
11:45:14
сделай новую и используй ее в пире и полиси
14:43:07 ipsec,error phase1 negotiation failed due to send error. xxx.xxx.91.170[500]<=>213.87.159
:b65bfe7b8da76e06
14:43:07 ipsec,error 213.87.159.16 phase1 negotiation failed.если кому интересно ipsec debug
https://pastebin.com/E6pFQtcn
ipsec,debug sendfromto failed
а пошто непонятно
Nikita06.07.2017
11:55:13
11:55:13
Господа, день добрый.
Очень нужна Ваша помощь. Прогуглил тему несколько раз, но рекомендации получаю - одна краше другой.
Задача следующая - объединяли офисы впн-ами, в лаборатории сменили роутер на микротик и заодно, под шумок сменили подсеть, ибо прежняя пересекалась с транзитной впн-сетью да и вообще там тонкости с сбриджёванным pon-модемом. Ну не суть.
Сегодня выяснилось, что у них тьма оборудования в сеть воткнуто с вбитыми статическими настройками. Как обеспечить корректную работу в пределах внутренней сети микротика между клиентами двух разных подсетей?
Конкретика - сейчас подсеть 192.168.121.0/24, но есть оборудование, на котором вбиты адреса из 192.168.100.0/24. Как обеспечить прозрачную работу машин при такой схеме?
Сейчас повесил на мастер-порт адрес 192.168.100.1. Оборудование в сети пингуется, но обращения из 121-ой сети к 100-ой и обратно само собой не ходят.
Recruit06.07.2017
11:56:53
11:56:53
Маршруты написать
Sergiy06.07.2017
11:57:04
11:57:04
Шлюз прописать
то что у устройства есть адрес из 100,0/24 сети нифига не значит что там и шлоюз прописан ?
Nikita06.07.2017
11:57:42
11:57:42
Сек
Recruit06.07.2017
11:57:42
11:57:42
И маскарад включить
Sergiy06.07.2017
11:57:48
11:57:48
впиши на микротике маскарадинг по дст.адресу 192.168.100.0/24
что бы к хостам обращалось с айпишки микротика
GoogleRecruit06.07.2017
11:58:33
11:58:33
Еще ip требо на микротах в нужных сетях написать
Sergiy06.07.2017
11:58:52
11:58:52
Андрюх. не мешай человеку
дай ему всё делать постепенно ?
P.S. Адрес на микротике то он прописал как раз
Recruit06.07.2017
11:59:16
11:59:16
Иначе маскарадить нечем будет..
Sergiy06.07.2017
11:59:51
11:59:51
да есть там
Сейчас повесил на мастер-порт адрес 192.168.100.1. - ВО
хотя может не туда повесил ?
Кирилл06.07.2017
12:00:28
12:00:28
14:43:07 ipsec,error phase1 negotiation failed due to send error. xxx.xxx.91.170[500]<=>213.87.159
:b65bfe7b8da76e06
14:43:07 ipsec,error 213.87.159.16 phase1 negotiation failed.
я кажется понял.
нужно оправлять пакеты для 213.87.159.16 через ван интерфейс к которому цепляются впн клиентысейчас у тебя маркает входящие соединения
а в фазах ipsec это исходящие новые соединения
Кирилл06.07.2017
12:02:13
12:02:13
маркировка делается и для инпут и для аутпут
исходящие пакет от маршрутизатора - не равно пакеты проходящие через маршрутизаторNikita06.07.2017
12:03:15
12:03:15
Так, опишу порядок действий.
На мастер порту повесил 192.168.100.1 и 192.168.121.1
Маршрут для 192.168.100.0/24 и 192.168.121.0/24 - на бридж локальный.
В нате, два правила для маскарада - для дст адресс 192.168.100.0/24 и 192.168.121.0/24
Всё верно?
Или где-то лошара?
Recruit06.07.2017
12:04:31
12:04:31
Sergiy06.07.2017
12:04:34
12:04:34
адрес вешать не на мастер порт а на бридж
Recruit06.07.2017
12:04:39
12:04:39
А не только на подсети
GoogleNikita06.07.2017
12:05:30
12:05:30
Есть отдельно маскарад для всего, что выходит наружу.
Порты в бридже (вернее, сетевые - в свитче, через мастер порт, но мастер порт и wi-fi в брижде).
Sergiy06.07.2017
12:06:10
12:06:10
в теории должно работать, но лучше всё делать правильно. локальные адреса перевесь на бридж
Recruit06.07.2017
12:06:22
12:06:22
Есть отдельно маскарад для всего, что выходит наружу.
Порты в бридже (вернее, сетевые - в свитче, через мастер порт, но мастер порт и wi-fi в брижде).
Клиенты у тебя 192.168.121.1 пингуют? Т.е видят?Recruit06.07.2017
12:06:56
12:06:56
И этот адрес для них является шлюзом?
AdminERROR: S client not available
Nikita06.07.2017
12:07:15
12:07:15
Да. Для новых клиентов этот шлюз.
Для старых - 192.168.100.1
Recruit06.07.2017
12:07:35
12:07:35
Дык видят они его сейчас?
Nikita06.07.2017
12:08:32
12:08:32
Минутку, лаборатория в ебенях и оттестить нормально возможности нет. Сейчас тим сбросят и будем смотреть.
Ну, с микротика всё пингуется.
Sergiy06.07.2017
12:09:03
12:09:03
ну так с микротика пингуй. думаю к нему у тебя доступ есть
Nikita06.07.2017
12:09:09
12:09:09
И оборудование в 100-ой подсети, и новые клиенты в 121-ой.
Recruit06.07.2017
12:09:23
12:09:23
А железка на той стороне vpn?
Nikita06.07.2017
12:09:25
12:09:25
Проблема была, чтобы их подружить вместе.
kad06.07.2017
12:09:31
12:09:31
исходящие пакет от маршрутизатора - не равно пакеты проходящие через маршрутизатор
add action=mark-routing chain=output connection-mark=wan1-in-mark new-routing-mark=wan1-rout-mark passthrough=noNikita06.07.2017
12:09:35
12:09:35
Секунду, уже тим дали.
kad06.07.2017
12:10:02
12:10:02
это правило описывает исходящий трафик от роутера
Googlekad06.07.2017
12:10:09
12:10:09
оно и так есть
Кирилл06.07.2017
12:10:27
12:10:27
Кирилл06.07.2017
12:12:27
12:12:27
kad06.07.2017
12:12:57
12:12:57
только если на соединении есть метка wan1-in-mark
add action=mark-routing chain=output new-routing-mark=wan1-mark out-interface=ether1-WAN1 passthrough=no \
protocol=udp src-port=500,1701,4500но счетчики на нем не растут :(
Кирилл06.07.2017
12:14:03
12:14:03
kad06.07.2017
12:14:16
12:14:16
так а как?
Кирилл06.07.2017
12:14:52
12:14:52
у тебя тут src порт указан
попробуй dst
вот чесно не помню уже как там оно происходит
возможно исходящий порт другой, не 500 и не юдп )
тупо напиши правило - что для удаленного адреса (клиента) такого то - запихивать туда то
если заработает - можешь ловить уже трафик, смотреть как там оно бегает
kad06.07.2017
12:23:36
12:23:36
так удаленный порт рандомный
Кирилл06.07.2017
12:25:08
12:25:08
так удаленный порт рандомный
говорю же - не помню нюансов уже.
попробуй по дст адрес запихивать в нужный ванну и порядок правил посмотри, может у тебя выше стоящие правила этот трафик перехватывают
kad06.07.2017
12:28:07
12:28:07
ну и порядок правил посмотри, может у тебя выше стоящие правила этот трафик перехватывают
не, оно в самом верхуговорю же - не помню нюансов уже.
попробуй по дст адрес запихивать в нужный ван
тут тоже.. клиент телефон у него рандомный адрес.Кирилл06.07.2017
12:30:01
12:30:01
не знаю чем тебе больше помочь,
но на мой взгляд нужно копать в эту сторону, как отправить пакет с нужного wan и через того же провайдера.
Nikita06.07.2017
12:30:29
12:30:29
Хрень в общем, лабораторное оборудование и софт к нему работать отказываются.
Открыть в Telegram