ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

RIP, OSFP, BGP, MPLS/VPLS
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster » 20 дек 2018, 20:31

Chupaka писал(а):
20 дек 2018, 18:52
Так не надо его никуда пересылать, надо просто accept, например, сделать, чтобы дальнейшей маркировки не было.
Т. е. правило фаера src-address=172.16.30.9 dst-address=172.16.30.1 action=accept, а маркировку и маршрут в топку ?

Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster » 20 дек 2018, 21:29

Мля чёйто или я дурак или одно из двух.
Если из сети УО делать трассировку до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. Если делать трассировку с Микротика УО до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. А если делать трассировку любого хоста в сети ЦО за шлюзом на СИСЬКЕ (192.168.0.2) то затык на 172.16.30.1

Аватара пользователя
Chupaka
Сообщения: 1972
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Chupaka » 21 дек 2018, 15:17

Gungster писал(а):
20 дек 2018, 20:17
Chupaka писал(а):
20 дек 2018, 18:52
Т.е. обратная трассировка между теми же устройствами работает?..
Между какими именно Микротик ЦО-Микромик УО, Микротик ЦО-СИСЬКА?
Между теми именно, между которыми в прямую сторону не работает и между которыми мы сейчас диагностируем. Вы же не сферическую лошадь в вакууме трассируете?
Gungster писал(а):
20 дек 2018, 20:24
С Микротика в УО трассировка доходит до шлюза СИСЬКИ в ЦО (192.168.0.2)
С чего вдруг оно туда попадает? Что трассируете, почему оно не может с 192.168.0.1 уйти к получателю, а уходит на какое-то другое устройство в сети?..
Gungster писал(а):
20 дек 2018, 20:24
Из ЦО и с Микротика и из сети трассировка идёт до любого хоста УО.
Т.е. из ЦО в УО трассировка проходит, а между теми же хостами обратно из УО в ЦО - нет? Видимо, что-то с маркировкой маршрутов, потому что в первом случае пакеты в обе стороны нормально ходят. Есть ещё вариант, что вы где-то костыль в виде Masquerade поставили - поэтому работает. Внутренний трафик маскарадить вряд ли есть смысл.
Gungster писал(а):
20 дек 2018, 20:31
Т. е. правило фаера src-address=172.16.30.9 dst-address=172.16.30.1 action=accept, а маркировку и маршрут в топку ?
В топку, но откуда взялись эти адреса - я не понимаю. Вроде в изначальном варианте был только "dst-address=192.168.0.0/24".
Gungster писал(а):
20 дек 2018, 21:29
Если из сети УО делать трассировку до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. Если делать трассировку с Микротика УО до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. А если делать трассировку любого хоста в сети ЦО за шлюзом на СИСЬКЕ (192.168.0.2) то затык на 172.16.30.1
А ваша сиська вообще в курсе роутов к сетям УО? А то может она куда-нибудь в Интернет отвечает...

Я правильно понимаю, что роутер 192.168.0.1 в ЦО не является шлюзом по умолчанию для ЦО? На роутере ЦО лишнего masquerade нет?

Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster » 22 дек 2018, 19:50

СИСЬКА про удалённый офис, как и про тырнет вообще не в курсе, она маршрутизирует трафик между VLAN внутренней сети, всё, что не относится ко внутренней сети улетает на 192.168.210.1 (некротик) в интернет.Адреса 172.16.30.1 (адрес l2tp сервера на некротике ЦО)-172.16.30.9 (Адрес l2tp клиента на некротике в УО). Через этот канал они и общаются.

Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster » 22 дек 2018, 19:59

Шлюзами в сети являются адреса VLANов на сиське (0.2, 2.2, 3.2 .....), все запросы не относящиеся ко внутренней сети (192.168.0.0./16) улетают через некротик (192.168.210.1) в тырнет, l2tp канал .

Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster » 22 дек 2018, 20:14

Настройки СИСЬКИ зря не выложил. было бы понятней. СИСЬКА это ядро сети L3 коммутатор (она маршрутизирует все внутренние подсети).
Вот её настройки.

Код: Выделить всё

ip routing
!
no errdisable detect cause gbic-invalid
port-channel load-balance src-dst-ip
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 2
 name Mobile_LAN
!
vlan 3
 name Guest_LAN
!
vlan 10
 name OFFICE_NET
!
vlan 11
 name SERVERS_NET
!
vlan 15
 name WiFi_LAN
!
vlan 100
 name VoIP_NET
!
vlan 101
 name Printers_NET
!
vlan 102
 name Video_LAN
!
vlan 210
 name Manegement_LAN
!
interface Port-channel1
description TO_LAN
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 2,3,10,15,100-102,210
 switchport mode trunk
!
interface Port-channel2
description TO_DHCP
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 ip dhcp relay information trusted
 spanning-tree bpdufilter enable
 ip dhcp snooping trust
!
interface FastEthernet1/0/1
 switchport access vlan 2
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/2
 switchport access vlan 3
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/3
 switchport access vlan 10
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/4
 switchport access vlan 15
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/5
 switchport access vlan 100
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/6
 switchport access vlan 101
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/7
 switchport access vlan 102
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/8
 switchport access vlan 210
 switchport mode access
 spanning-tree portfast
!

interface GigabitEthernet1/0/1
 description TO_LAN
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 2,3,10,15,100-102,210
 switchport mode trunk
 channel-protocol lacp
 channel-group 1 mode active
!
interface range GigabitEthernet1/0/2,GigabitEthernet1/0/4
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 channel-protocol lacp
 channel-group 2 mode active
!
interface Vlan1
 no ip address
 shutdown
 spanning-tree portfast
!
interface Vlan2
 ip address 192.168.2.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan3
 ip address 192.168.3.2 255.255.255.0
 ip access-group 110 in
 ip helper-address 192.168.210.1
!
interface Vlan10
 ip address 192.168.0.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan15
 ip address 192.168.15.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan100
 ip address 192.168.100.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan101
 ip address 192.168.101.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan102
 ip address 192.168.102.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan210
 ip address 192.168.210.2 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.210.1
no ip http server
ip http secure-server
!
!
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.101.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.102.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.210.0 0.0.0.255
access-list 110 permit ip any any
no cdp run
no cdp tlv location
no cdp tlv app
!
snmp-server community cisco RO
snmp-server community cisco123 RW
!
!
line con 0
line vty 5 15
!
end


Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster » 22 дек 2018, 20:41

По сути некротик это чупа-чупс так называемый, только до кучи на нём DHCP сервер поднят, из-за него приходится создавать на некротике VLANы и присваивать им IP иначе DHCP сервер никому ничего раздавать не будет. Вот тут все костыли и возникают. Если нет DHCP сервера на некротике у него на интерфейсе смотрящим в локалку только один адрес 192.168.210.1 и проблем нет, весь трафик шурует через него. При наличии DHCP сервера для VLANов внутренней сети появляются IP VLANов и лишние маршруты не через 192.18.210.2(шлюз на СИСЬКЕ), а через адреса VLANов, что не есть гут.

Аватара пользователя
Chupaka
Сообщения: 1972
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Chupaka » 23 дек 2018, 13:03

Стоп, 192.168.0.1 — чей адрес?

Вы, может, нарисуйте топологию, а то на словах очень тяжело воспринимается.

Ответить