Пинг не смотрел. Так как клиент был на пороге, сделал обычный вай вай

Просто хотелось капсмэн, в офисе было все ок, работало

У меня бывает такое что другие точки не хотют подключаться к капсман контроллеру, какие-то ошибки и прочее, а проблема в фаерволе в правиле "блок ол нот коминг фром лан" (перфект пранарсиейшн)

Я и не обещал капсмэн. Просто хотел лучше сделать???

Дело в том, что файервола там просто нет

У меня бывает такое что другие точки не хотют подключаться к капсман контроллеру, какие-то ошибки и прочее, а проблема в фаерволе в правиле "блок ол нот коминг фром лан" (перфект пранарсиейшн)

+1

Файервол стоит на главном роутере

в логах что

А эти получают интернет от него (

Да не смотрел логи. Клиенты были на пороге. Решено делать по старинке

Есть работающий туннель gre/ipsec между двумя микротами. Задача форвардить интернет трафик из локальной сети первого микрота через wan второго. Как реализовать? Mangle+nat+route на первом микроте?

Есть работающий туннель gre/ipsec между двумя микротами. Задача форвардить интернет трафик из локальной сети первого микрота через wan второго. Как реализовать? Mangle+nat+route на первом микроте?

верно

ну и плюс nat на втором микроте

если там подсети различаются

Есть работающий туннель gre/ipsec между двумя микротами. Задача форвардить интернет трафик из локальной сети первого микрота через wan второго. Как реализовать? Mangle+nat+route на первом микроте?

Ну лупи дефолт в тунель

на стороне второго nat masquarade?

на стороне второго nat masquarade?

зависит от того, что вы хотите :)

проще всего = да

на стороне второго nat masquarade?

Да

не заводится. Чую где-то есть косяк, но не вижу где

А зачем на втором нат, если оно гре?

не заводится. Чую где-то есть косяк, но не вижу где

Маршруты то прописаны?

С обоих сторон маршруты пропиши

Типа через тунель доступны сети такие то

на первом /ip route add dst-address=0.0.0.0/0 gateway=gre routing-mark=vpn_traffic

А на втором

на втором есть gre route

С сетью первого?

могу пинговать айпи первого со второго

да

Вот прям чую что проблема в маршрутах

Локалки у 1 и 2 разные?

у второго локалки и нет как бы вообще

ни нада оно там

Вот прям чую что проблема в маршрутах

+

Пинги не показатель

Может там у тебя какой-нибудь двойной нат

мангл такой chain=prerouting action=mark-routing new-routing-mark=vpn_traffic passthrough=no src-address-list=vpn

на первом

nat такой chain=srcnat action=masquerade routing-mark=vpn_traffic out-interface=gre-to-rb

Мне ток непонятно зачем маркировать, если нули в туннель уходят

И еще непонятно зачем маскарадить гре

nat такой chain=srcnat action=masquerade routing-mark=vpn_traffic out-interface=gre-to-rb

там что всегда нада в таких кодировках писать?

роуты на втором: 0 A S 0.0.0.0/0 194.182.x.y 1 1 ADC 10.0.10.0/30 10.0.10.2 gre-to-ccr 0 2 A S 192.168.88.0/24 gre-to-ccr 1 3 ADC 194.182.x.y/24 194.182.x.z ether1 0

Мне ток непонятно зачем маркировать, если нули в туннель уходят

как бы не уходят нули в туннель.

А куда уходят?

1 ADS 0.0.0.0/0 x.x.y.y 1

уходят через isp

А на первом роут до второго на провайдера смотрит, надеюсь?

в туннель маркированные заворачиваются. Должны во всяком случае )

Эт зависит

Ему пофик куда нули ходят, главное что б это куда было доступно

на первом есть два роута. Первый - см. выше (Isp), второй все нули через гре для маркированного трафа

0 A S 0.0.0.0/0 gre 1

трафик (icmp) между микротами ходит исправно через туннель

да

а icmp туннель?

есть по два source nat c каждой стороны. Один натит сеть в сеть, второй маскарадит локалку каждый свою

как только енаблю мангл на первом трафик вся движуха сразу пропадает )

combot.org/chat/-1001062683398

combot.org/chat/-1001062683398

со стороны второго в первый без проблем ssh, telnet, icmp работают. Очевидно с роутами все ок

с первого на второй по secure shell захожу

чуваки, мне нужно два провайдера в офис. мне покупать AS и делать BGP?

вообще когда стоит купить AS?

ERROR: S client not available

например /22

когда сервисы на твоей стороне не спроектированы для работы из под разных ип адресов на разных провайдеров, ну или как то так

если не знаешь для чего нужна ас, значито на не нужна

у меня сейчас дурацкий мультихоминг через дистанции, я бы хотел нормальный

ну, не мультихоминг, а 2 прова через костыли и велосипеды

чуваки, мне нужно два провайдера в офис. мне покупать AS и делать BGP?

А что в офисе то? Секретарши с одноклассниками?

нет, у нас офис не работает без интернета

нет, у нас офис не работает без интернета

Вы не поняли вопроса, нужно знать зачем вам там инет. У нас тоже работники не хотят без ВК работать...

Протестуют, транспоратны разворачивают...

Грозятся забостовками.

Иногда устраивают стычки с охраной.

начиная от Stack Overflow Driven Development (SODD) и стендами разработки удаленными, заканчивая G Suite (google docs). А еще слак не работает

а без слака можно выключать компьютер и идти домой

последний наверное не работает из за ркн

начиная от Stack Overflow Driven Development (SODD) и стендами разработки удаленными, заканчивая G Suite (google docs). А еще слак не работает

VPN сеть своя я так понимаю?

последний наверное не работает из за ркн

ну это не проблема же

ну в смысле дико бесит, но это я решил

а без слака можно выключать компьютер и идти домой

Что за слака?

чатик корпоративный

с рюшечками

Если там дефелопинг софта, я бы без VPN никого вообще не пускал.

Всё завернуть в тунели, и уже сделать переключалку в офисе при падении одного аплинка.

вообще неплохо

есть только проблема с тем, что 2 полиси для туннелей не работают

https://forum.mikrotik.com/viewtopic.php?t=123210

чуваки, мне нужно два провайдера в офис. мне покупать AS и делать BGP?

Есть вроде технология vrrp

Если один падает работает второй

Или это не то))

есть только проблема с тем, что 2 полиси для туннелей не работают

Что что?

Используйте OpenVPN, если тонный трафика гонять не нужно.

мы юзаем ipsec встроенный в облачного провайдера ( azure)