Кто тут?

Здесь все...

USB

http://cs405330.vk.me/v405330662/69e2/uyO97EGxbA0.jpg

l2tp/ipsec remote access клиента цепляет, но кроме самого тика на другом конце PPP пинга нет никуда - включаем proxy-arp на бридже?

Без прокси арп оно никак?

Без прокси арп оно никак?

с правильной адресацией (не совпадающей с локальной сетью), и галочкой про "использовать удалённый узел блабла" в виндовом клиенте - всё будет работать (возможно, потребуется маскарадинг на ppp, но не во всех сценариях)

с правильной адресацией (не совпадающей с локальной сетью), и галочкой про "использовать удалённый узел блабла" в виндовом клиенте - всё будет работать (возможно, потребуется маскарадинг на ppp, но не во всех сценариях)

чо за галочка?

использовать шлюз в удаленной сети, в настройках впн подключения в винде. Но лучше ее не использовать, если просто доступ в удаленную сеть нужен

чо за галочка?

по дефолту она включена

А, ну оно включено, пинга нет

Блин, ну что за мания - в впн давать адреса из локальной подсети?

то что заарпилось пока прокси-арп было включено - то пингуется, то что нет - не пингуется

Блин, ну что за мания - в впн давать адреса из локальной подсети?

Да это странно)

Блин, ну что за мания - в впн давать адреса из локальной подсети?

А кто сказал что у меня пересекаются сети?

ну потому что ты не в одном бродкасте с клиентов. вот и не дохолят пинги

Отдельная сеточка, разные бродкаст домены

А кто сказал что у меня пересекаются сети?

КТО? Галочка прокси-арп ?

Блин, ну что за мания - в впн давать адреса из локальной подсети?

Поддерживаю

значит не такая уж и отдельная раз хочет АРПы ?

Пжите пждите, чот я не вкурил ваши ответы

Вначале прост сделал в одном пуле, потом перенес

щас, подчищу арпы

Пжите пждите, чот я не вкурил ваши ответы

Создайте отдельный пул, который не будет пересекаться с вашей локальной подсеткой, и забудьте о проблеме

Говорю что у тебя в ВПН походу адрес из локальной подсети. Хост в локалке видит что СРЦ. адрес пакета пинга из его бродкаста и пробует отвечать не через шлюз а резолвя МАС в бродкасте

Создайте отдельный пул, который не будет пересекаться с вашей локальной подсеткой, и забудьте о проблеме

сейчас так и есть

значит еще вариант

ты залез не через дефолтный шлюз хостов

они пробуют отвечать тебе не через тик куда ты подключился, а через свой дефолтный шлюз

странно тогда

Чот не втыкаю как на винде очистить арп

второй вопрос. а у хостов в локалке не 23 ли маска сети?

второй вопрос. а у хостов в локалке не 23 ли маска сети?

Нет. Это же ппп

в локалке ?

в локалке ?

Нет, там ваще 172.16.***

а чего тогда адрес на бридже 192,168? ? Это к делу не относится, просто странно ?

а чего тогда адрес на бридже 192,168? ? Это к делу не относится, просто странно ?

я чот тя не пойму ты про какие адреса спрашиваешь?

Я спрашиваю о хостах в локалке микротика

висит 192.168.22.0/24 на бридже. для впн пула сделан отдельный пул - 192.168.23.2-192.168.23.9

Чот не втыкаю как на винде очистить арп

arp -d

Я спрашиваю о хостах в локалке микротика

значт я тя не понял

какая сеть у хостов в локалке микротика?

не у самого микротика. у компов в сети

может ты в ДХЦП отдаешь /23 сеть?

arp -d

PS C:\WINDOWS\system32> arp -d The ARP entry deletion failed: The parameter is incorrect.

попробуй flush ^-)

какая сеть у хостов в локалке микротика?

Ну я же написал какая сеть висит на бридж1

192.168.22.0/24

-d удаляет только конкретного хоста

Это быть надо укурком чтобы на 10 компов повешать /23

ну мало ли

зачастую причины косяков банальные и просто глаз не замечает

Ну я просто так всегда делал когда ремоут аксес л2тп/иписек настраивал, и никогда без прокси-арп неработало

ну трейсроутни шоли

если ничего не путаю, то прокси арп нужен только если клиент впн в одном бродкаст домене с локальной сетью за микротиком

может таки не в тунель трафик от ВПН-клиента идет

ну трейсроутни шоли

норм роутит, как нужно

ты же говорил что пинги не идут

ты же говорил что пинги не идут

я говорил что идут выборочно, только на те, что были пропингованы когда было врублено арп-прокси и был другой пул (до переключения в отдельный пул)

по трейсроуту всё идёт на ту сторону PPP (микротик), всё ок

На те что не пингует прилетает Destination host unreachable но они 100% живые

а на те что не были пропингованы тоже роут нормальный?

а на те что не были пропингованы тоже роут нормальный?

1 сообщение выше, роут норм, прилетает icmp отбивка что хосты недоступны

такое впечатление что сам микротик их пингануть не может. не резолвит их МАС

1 сообщение выше, роут норм, прилетает icmp отбивка что хосты недоступны

попробуй замаскарадить весь трафик с клиента впн на микротике

ERROR: S client not available

такое впечатление что сам микротик их пингануть не может. не резолвит их МАС

ну хошь я с микротика пингану

блин, ну тебя нафиг, нифига я не понимаю ?

ну хошь я с микротика пингану

давай

ping 192.168.22.20 SEQ HOST SIZE TTL TIME STATUS 0 192.168.22.20 56 255 0ms 1 192.168.22.20 56 255 0ms 2 192.168.22.20 56 255 0ms sent=3 received=3 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

ну хошь я с микротика пингану

попробуй замскарадить трафик с клиента, если заработает, смотри маршруты

ping 192.168.22.20 src-address=192.168.22.1 SEQ HOST SIZE TTL TIME STATUS 0 192.168.22.20 56 255 0ms 1 192.168.22.20 56 255 0ms 2 192.168.22.20 56 255 0ms 3 192.168.22.20 56 255 0ms sent=4 received=4 packet-loss=0% min-rtt=0ms avg-rtt=0ms max-rtt=0ms

О а с 23.1 реально не пингует

А чо он динамический маршрут не создает шталь?

Мне чо туда ручками нужно написать про ту сеть, что под впн клиентов?

да в теории оно должно было бы динамически вписать

но это В ТЕОРИИ

Вернее даже нет у тика такого адреса сейчас (который с обратной стороны для клиентов)

Т.е. клиент понимает что там 192.168.23.1/32

Но микротик не имеет такого адреса

как нет?

в адресах не появилось?

ребутну ка я его

Так, я чот не понимаю видимо в PPP соединениях

Труба поднялась, клиент видит что он например 192.168.23.9/32 а на той стороне 192.168.23.1/32 (микротик)

Сам микротик видит что всё поднялось

Инет всё ходит

ребутну ка я его

с маскарадом заработало? Ребутать не надо, от этого ничего не изменится

с маскарадом заработало? Ребутать не надо, от этого ничего не изменится

слишком мало глюков тика видать вы видели ?

с маскарадом заработало? Ребутать не надо, от этого ничего не изменится

А зачем мне маскарад тут?

Я вот не понимаю зачем мне тут маскарад

Я понимаю только то что если щас включу на бридж1 прокси-арп - всё заработает почему то, хотя сети разные

А зачем мне маскарад тут?

ну типа что бы хосты в локалке думали что это пакет из локалки. может политики безопасности. может шлюз не прописан. Да мало ли что ?. но помогает часто ?

Ну это не менее странное решение чем и прокси-арп

это не решение, это часть диагностики, т.к. целиком ваш конфиг никто не видит кроме вас

это не решение, это часть диагностики, т.к. целиком ваш конфиг никто не видит кроме вас

Да какие проблемы то

На часть с proxy-arp не обращайте внимания, игонируйте)