backbone - серые адреса, которыми управляешь ты?

да

на R1 10.3.0.1, на R2 10.3.0.2

Ну так и зачем тебе там NAT вообще?

Допустим, тебе нужно, чтобы адрес 2.2.2.2/24 шёл с R2 на R1, а последний тебе отправит это в туннель. Тебе не нужно делать NAT, тебе нужно на R1 просто указать маршрут в сеть 2.2.2.2/24.

но, он почему-то не отправляет его в тунель

R1?

на R1 в адрес листе добавлено для маркировки 10.3.0.1

А надо 10.3.0.2.

почему-то не работает

Давай по-порядку. На R1 всё работает?

да, все работает

Следовательно, на нём конфигурация корректна (в рамках сети, которой он управляет).

на R2 включен мангл для нужных клиентов, могу заходить на ip из локальной сети R1, но выход в интернет через белый ip R1, а не через vpn

если включить маскарейд для адресов на R2, то ip получаю от vpn, но не вижу локальную сеть R1

Смотри, на самом деле тебе нужно получить связность между сетью 10.0 и 10.2, так?

да, до этого со всеми этими натами связности не было

точнее связность была только со стороны R1

Тебе не нужен ни NAT. ни mangle в туннельный интерфейс вообще. Тебе на R1 нужно вписать маршрут на сеть 10.0. ?

до тех машин, которые были в маскараде для vpn у R2 :)

Гыгы, давай совсем глупый вопрос - пинги между 10.0 и 10.2 ходят?

ходят

С компов, которые в тех сетях.

трафик из R2 не заворачивается в тунель на R1

Вот теперь осталось найти, почему.

А что там у тебя в portlane на R1?

/ip route add distance=1 gateway=backbone routing-mark=backbone add distance=1 dst-address=10.2.0.0/21 gateway=backbone R2

http://mikrotik-trainings.com/docs/MikroTik_PacketFlow_Routing24.jpg

/ip route add distance=1 gateway=portlane routing-mark=portlane add distance=1 dst-address=10.0.0.0/22 gateway=10.3.0.2 routing-mark=portlane add distance=1 dst-address=10.2.0.0/21 gateway=bridge pref-src=10.2.0.1 routing-mark=portlane scope=10 add distance=1 dst-address=10.0.0.0/22 gateway=10.3.0.2

http://mikrotik-trainings.com/docs/MikroTik_PacketFlow_Routing24.jpg

а он наверное прероутингом-то и не ловится :)

/ip route add distance=1 gateway=portlane routing-mark=portlane add distance=1 dst-address=10.0.0.0/22 gateway=10.3.0.2 routing-mark=portlane add distance=1 dst-address=10.2.0.0/21 gateway=bridge pref-src=10.2.0.1 routing-mark=portlane scope=10 add distance=1 dst-address=10.0.0.0/22 gateway=10.3.0.2

Не-не, в adress list.

Mangle preroute passthru

Пакеты бегут?

На инпуте и на форварде лови

И на прероуте

Три ловушки ставь

И смотри куда пакеты полетят

Я так дебажу

Здравствуйте, кстати)

Я новенький)))

/ip firewall address-list add address=10.3.0.2 list=portlane add address=10.2.1.1 list=portlane add address=10.2.1.2 list=portlane add address=10.2.1.3 list=portlane R1

здравствуйте

/ip firewall address-list add address=10.3.0.2 list=portlane add address=10.2.1.1 list=portlane add address=10.2.1.2 list=portlane add address=10.2.1.3 list=portlane R1

Я не вижу тут адресов из сети 10.0. ?

Portlane - Скандинавия, да?:)

Оффтоп

Я не вижу тут адресов из сети 10.0. ?

опф :)

Блин, у тебя же там srcnat. А что есть "опф"?

и оно заработало

огромной спасибо!

я аж ахренел :)

Эээ... так что ты в итоге сделал?

Адрес лист пофиксил?

Юзайте ospf, господа)

в итоге я просто добавил подсеть в адрес лист 10.0.0.0/22

Portlane - Скандинавия, да?:)

портлейн — великобритания, но через швецию, да :)

Юзайте ospf, господа)

OSPF нахер не нужен между двумя узлами, на которых по одной сети (исключая туннельную сеть).

Если 2 сети, то да

в итоге я просто добавил подсеть в адрес лист 10.0.0.0/22

Рад, что смог тебе помочь. @erazel, зри! Как видишь - я вполне могу помогать участникам группы, если они адекватны.

Эээ... так что ты в итоге сделал?

это было слишком познавательно, огромнейшее спасибо!

он же спит зачем, меньшины раскидываешь :)

@fluidpanda, а если сделаешь EoIP - то сможешь вообще одну подсеть там запилить.

я бы наверное не хотел бы один броадкаст домен

он же спит зачем, меньшины раскидываешь :)

Потом прочитает. Ну и наверняка же знает о способе "не беспокоить по расписанию".

я бы наверное не хотел бы один броадкаст домен

Тогда IP-IP. L2TP там - лишняя сущность.

да пусть шифрует, там аплинк в 6 mbps никогда не загрузит процессор

ERROR: S client not available

Всё, я понял наконец, почему оно у тебя завелось. У тебя же на R2 маскарад выключен - это правильно. Следовательно, действительно необходимо было в adress list добавить сеть 10.0, т.к. имено с таким src-addr приходили пакеты от R2. Если бы NAT был включен - пакеты приходили бы от 10.3.0.2, да.

да пусть шифрует, там аплинк в 6 mbps никогда не загрузит процессор

Шифрует не L2TP - он туннель делает. Шифрованием занимается IPsec ESP (в твоём случае - транспортный режим). Никто тебе не мешает гнать внутри ESP не L2TP, а любой другой протокол, базирующийся на IP. Так что для туннеля внутри ESP ты можешь использовать L2TP, PPTP, SSTP, GRE, IP-IP, EoIP. Из перечисленных IP-IP самый простой.

ок, но я пожалуй и так слишком много узнал за сегодня, пойду я спать, еще раз спасибо :)

You're welcome. И тебя благодарю за адекватность и желание разобраться в том, что делаешь. Всегда приятно поговорить с такими людьми.

а в чем можно нарисовать лабу нормально, пейнт не предлагайте :)

Dia, Visio, Concept Draw, Power Point (иконки на Циске найти). Это если под винду.

Так он уже нарисовал и показал, в итоге проблему решили.

А.. Ладно. )

Хотя список сам по себе тоже полезен. Я вот вспомнил о Dia.

Я люблю OmniGraffle, но на винде его нет )

Мне вот именно Dia больше всего подходит, ибо под никсами изначально же.

А вот спать - хорошая идея всё-таки. Пожалуй, тоже к её реализации присоединюсь.

после 22.00 нельзя меншнить. накажу.

А что такое меншнить?

дрочить нельзя

А что такое меншнить?

Видимо *меняшить* - от словосочетания меня тормошить, в данном контексте через собаку @Alex_Life .

Кстати, я вот думаю как корректней сделать: две точки доступа, приход от прова статика по dhcp, на второй стороне точка доступа подключена к микроту, думаю будет логичным прокинуть 2 вилана, один туннель от прова, другой собственно управление, доступ к точкам сделать статикой? Ну и на микротике разрулить уже?

Dia, Visio, Concept Draw, Power Point (иконки на Циске найти). Это если под винду.

А под macOS?

Кстати, я вот думаю как корректней сделать: две точки доступа, приход от прова статика по dhcp, на второй стороне точка доступа подключена к микроту, думаю будет логичным прокинуть 2 вилана, один туннель от прова, другой собственно управление, доступ к точкам сделать статикой? Ну и на микротике разрулить уже?

ты нарисуй, а то не совсем понятно

Видимо *меняшить* - от словосочетания меня тормошить, в данном контексте через собаку @Alex_Life .

Терь понял:)) благодарю

ты нарисуй, а то не совсем понятно

Плюсую за картинку, а то непонятно как то

Схему *как все подключено*

И? Ты хочешь управлять антеннами?

2 влана - один управления, один под провайдера

На антенне порт в который провайдер втыкнут - поставить в ассесс влан

Dia, Visio, Concept Draw, Power Point (иконки на Циске найти). Это если под винду.

Gliffy - online

Порт управления на управляющий влан

Далее транком гонишь влан до второй антенны, далее по кабелю до микрота

Так же транком

Только начинать лучше со стороны микрота наверное. Либо в сейф режиме, чтоб не потерять управление невзначай:)

Только начинать лучше со стороны микрота наверное. Либо в сейф режиме, чтоб не потерять управление невзначай:)

Ну я вроде это и написал :-) делать буду на стенде если всё будет удачно. Доступ к точкой статикой, имел ввиду в вилане, так то по макам в принципе всё, но на всякий. Если надо будет по ssh зароутить чтобы удалённо сук подпилить можно было.

Ну тогда норм все, все верно и грамотно

Прост это юрику. Для физиков я обычно на базе делаю dhcp и через эфир хреначу. И то обычно это pppoe коннект от прова, поэтому в эфир его не пускаю. Ибо рваться скорее всего будет.