Маршрутизация по pptp в три сегмента локальной сети

RIP, OSFP, BGP, MPLS/VPLS
Ответить
8ID
Сообщения: 19
Зарегистрирован: 27 фев 2017, 01:00

Маршрутизация по pptp в три сегмента локальной сети

Сообщение 8ID »

Всем доброго настроения!

Ставилась задача пинговать и подключаться на Ammyy по локальному адресу с компьютера в подсети за Микротиком из серой зоны IP по каналу pptp подключенного к Микротику со статическим IP, за которым находятся три подсети с локальными адресами в разных пулах. Каждая из подсетей через nat и webproxy имеет доступ в И-нет и изолирована от двух других.

На Микротике-клиенте в IP>routes прописаны три статических маршрута в три подсети с одним шлюзом - адресом виртуального интерфейса pptp со стороны сервера. На Микротике pptp-сервере - один маршрут на внутреннюю сеть клиента с шлюзом вируального интерфейса pptp со стороны клиента.

В какой-то момент обнаружил, что маршрут становится unreachable с обеих сторон и через несколько минут восстанавливается сам. При этом в логах нет ни чего и pptp не рвется. Ситуация повторяется пару раз за день, соответственно, связь по локальным адресам на время пропадает. Добавлял проверку шлюза пингом в маршруты - ни чего не меняет.

Понимаю, что не понимаю. Возможно, впринципе, не верно организованно. Год назад было три pptp - каждый со своим маршрутом в свою подсеть. Так, правда, прожило не долго, при замене маршрутизатора было сделано по сегодняшней схеме.

Посоветуйте, как организовать маршрутизацию правильно и с минимальными изменениями? Или, как правильно настроить маршрутизацию из одной подсети в три других, впринципе?
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение Chupaka »

Да в целом всё правильно. Неплохо бы /ip route print увидеть в момент наличия проблемы. Не должен маршрут становиться неактивным просто так и на время.

Ну и для ppp-интерфейсов в качестве шлюза можно указывать название интерфейса, а не IP-адрес (на серверной стороне при этом надо добавить "PPTP Server" с соответствующим именем пользователя, чтобы при отключении соединения соответствующий интерфейс не пропадал).
8ID
Сообщения: 19
Зарегистрирован: 27 фев 2017, 01:00

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение 8ID »

Спасибо за ответ. Нужно какое-то время, чтобы ситуация совпала с тем, что я смотрю на экран. Распечатаю маршруты в файл.

Сегодня видел разрыв pptp.
На стороне сервера:
09:54:53 pptp,ppp,info pptp-in-holl: terminating... - peer is not responding
09:54:53 pptp,ppp,info,account pptp_holl logged out, 84620 6834581 79375789 86755 112490
09:54:53 pptp,ppp,info pptp-in-holl: disconnected
09:54:53 pptp,info TCP connection established from 46.53.18.243
..............................
09:56:38 pptp,info TCP connection established from 46.53.18.243
09:58:31 pptp,info TCP connection established from 46.53.18.243

Так на несколько минут. Адрес 46.53.18.243 - это адрес (изменен) моего серого пула, т.е. я и остальные видны снаружи под этим адресом. Сервер сказал, что клиент не ответил и отключил меня, а подключить отказывается, поскольку соединение существует. Такое тоже бывает раз в пару дней. Изменение Keepalive Timeout на отключения не влияет. Сервер подключен оптикой, клиент - по ethernet, каналы достаточно надежны, вроде. Насколько знакома такая ситуация?
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение Chupaka »

8ID писал(а): 14 мар 2017, 11:03 отключил меня, а подключить отказывается, поскольку соединение существует.
хм... я не вижу сообщения об этом в приведённом логе. но выглядит как проседание канала как минимум с большими потерями
8ID
Сообщения: 19
Зарегистрирован: 27 фев 2017, 01:00

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение 8ID »

Насколько понимаю, сервер периодически отправляет LCP Echo запрос для проверки наличия клиента. В какой то момент, не получив ответа, пишет в лог terminating... - peer is not responding и этот самый terminating ему делает, оставляя активным соединение. Это видно, если включить в логах pptp + debug.

Просто предположил, что ситуация типичная и имеет варианты решения навскидку. Причиной, конечно, может быть и проседание канала, в том числе.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение Chupaka »

Беспричинное погасание маршрута пока не удалось поймать?
8ID
Сообщения: 19
Зарегистрирован: 27 фев 2017, 01:00

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение 8ID »

Наблюдал сегодня такое: эхо-запросы по pptp с обеих сторон идут ровно (лог в отладке), маршруты с обеих сторон - reachable, при этом пинг пропал на 5 минут в обе стороны, доступа по локальным адресам нет (пингует как микротик нетвотчем по нескольким адресам, так и компьютер на столе). Пока распечатывал маршруты и логи, все восстановилось. Выкладывать нет смысла, там просто все ровно. Канал, на стороне сервера, как канал - пару человек серфят. Включен шейпер - к лимиту не подходят. В динамических блок-листах сидят те, кому нужно сидеть.

Для полного счастья нужно быть или очень умным или очень глупым, короче)) PPTP не очень нужен, но как-то ситуация остается в подвешенном состоянии. Через пару дней, как доберусь туда, заменю коробку со стороны сервера на резервную. Дальше - по результатам.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение Chupaka »

Можно ещё попробовать на L2TP переключиться - он поверх UDP работает, возможно, с отзывчивостью получше будет
8ID
Сообщения: 19
Зарегистрирован: 27 фев 2017, 01:00

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение 8ID »

Заменил, не отпустило. Сделал l2tp по аналогии с pptp, добавил в правила его порты, двое суток отработало без чудес. Сунулся его шифровать и понял, что нужно бубен доставать с антресолей) Примеров как грязи, но все для случая со статическими адресами с обеих сторон. Растолкал ipsec с помощью бубна и такой-то матери, не вдаваясь особо в этапы шифрования, пиры и пропосалы. Включил с обеих сторон торренты на максимум, на данный момент 4 часа отработало ровно. С понедельника будет видно, что и как. Народ протестирует быстрее любого торрента)

За рабочий день правило ловит больше тысячи инвалидов в цепочке форвардинг, насколько это допустимо? Включал логирование - несколько станций генерируют такой мусор. CureIT'ом проверил пару - ни чего серьезного.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение Chupaka »

"Такой мусор" - какой?

В инвалидные пакеты, насколько помню, попадает в числе прочего какой-то из последних пакетов закрытия TCP-соединения (который типа необязательный, и без него соединение всё равно считается закрытым).
8ID
Сообщения: 19
Зарегистрирован: 27 фев 2017, 01:00

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение 8ID »

Например такой:
11:31:33 firewall,info !invalid fw: forward: in:ether2 out:ether1, src-mac d0:50:92:19:b0:82, proto TCP (ACK,FIN), 192.168.11.5:49256->216.58.209.74:443, len 40
Похоже, бухгалтера ходят на vat.gov.by с неработающим на сайте сертификатом безопасности.

Остались вопросы по IPSEC, но это, наверное, в другой теме.

Большое спасибо за помощь.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение Chupaka »

Да, всё, что после (ACK,FIN), включая его самого, считается ненужным и отбрасывается
GarriAD
Сообщения: 5
Зарегистрирован: 10 апр 2017, 09:59

Re: Маршрутизация по pptp в три сегмента локальной сети

Сообщение GarriAD »

Для трёх сегментов сети подняты мосты? или они на интерфейсах у вас?
Ответить