Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.
Добавлено: 20 дек 2018, 20:31
For every complex problem, there is a solution that is simple, neat, and wrong.
https://forum.mikrotik.by/
Между теми именно, между которыми в прямую сторону не работает и между которыми мы сейчас диагностируем. Вы же не сферическую лошадь в вакууме трассируете?
С чего вдруг оно туда попадает? Что трассируете, почему оно не может с 192.168.0.1 уйти к получателю, а уходит на какое-то другое устройство в сети?..
Т.е. из ЦО в УО трассировка проходит, а между теми же хостами обратно из УО в ЦО - нет? Видимо, что-то с маркировкой маршрутов, потому что в первом случае пакеты в обе стороны нормально ходят. Есть ещё вариант, что вы где-то костыль в виде Masquerade поставили - поэтому работает. Внутренний трафик маскарадить вряд ли есть смысл.
В топку, но откуда взялись эти адреса - я не понимаю. Вроде в изначальном варианте был только "dst-address=192.168.0.0/24".
А ваша сиська вообще в курсе роутов к сетям УО? А то может она куда-нибудь в Интернет отвечает...Gungster писал(а): ↑20 дек 2018, 21:29 Если из сети УО делать трассировку до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. Если делать трассировку с Микротика УО до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. А если делать трассировку любого хоста в сети ЦО за шлюзом на СИСЬКЕ (192.168.0.2) то затык на 172.16.30.1
Код: Выделить всё
ip routing
!
no errdisable detect cause gbic-invalid
port-channel load-balance src-dst-ip
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 2
name Mobile_LAN
!
vlan 3
name Guest_LAN
!
vlan 10
name OFFICE_NET
!
vlan 11
name SERVERS_NET
!
vlan 15
name WiFi_LAN
!
vlan 100
name VoIP_NET
!
vlan 101
name Printers_NET
!
vlan 102
name Video_LAN
!
vlan 210
name Manegement_LAN
!
interface Port-channel1
description TO_LAN
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3,10,15,100-102,210
switchport mode trunk
!
interface Port-channel2
description TO_DHCP
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
ip dhcp relay information trusted
spanning-tree bpdufilter enable
ip dhcp snooping trust
!
interface FastEthernet1/0/1
switchport access vlan 2
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/2
switchport access vlan 3
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/3
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/4
switchport access vlan 15
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/5
switchport access vlan 100
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/6
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/7
switchport access vlan 102
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/8
switchport access vlan 210
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/1
description TO_LAN
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3,10,15,100-102,210
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
!
interface range GigabitEthernet1/0/2,GigabitEthernet1/0/4
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
channel-protocol lacp
channel-group 2 mode active
!
interface Vlan1
no ip address
shutdown
spanning-tree portfast
!
interface Vlan2
ip address 192.168.2.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan3
ip address 192.168.3.2 255.255.255.0
ip access-group 110 in
ip helper-address 192.168.210.1
!
interface Vlan10
ip address 192.168.0.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan15
ip address 192.168.15.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan100
ip address 192.168.100.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan101
ip address 192.168.101.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan102
ip address 192.168.102.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan210
ip address 192.168.210.2 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.210.1
no ip http server
ip http secure-server
!
!
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.101.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.102.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.210.0 0.0.0.255
access-list 110 permit ip any any
no cdp run
no cdp tlv location
no cdp tlv app
!
snmp-server community cisco RO
snmp-server community cisco123 RW
!
!
line con 0
line vty 5 15
!
end