Маршрутизация по pptp в три сегмента локальной сети
-
- Сообщения: 19
- Зарегистрирован: 27 фев 2017, 01:00
Маршрутизация по pptp в три сегмента локальной сети
Всем доброго настроения!
Ставилась задача пинговать и подключаться на Ammyy по локальному адресу с компьютера в подсети за Микротиком из серой зоны IP по каналу pptp подключенного к Микротику со статическим IP, за которым находятся три подсети с локальными адресами в разных пулах. Каждая из подсетей через nat и webproxy имеет доступ в И-нет и изолирована от двух других.
На Микротике-клиенте в IP>routes прописаны три статических маршрута в три подсети с одним шлюзом - адресом виртуального интерфейса pptp со стороны сервера. На Микротике pptp-сервере - один маршрут на внутреннюю сеть клиента с шлюзом вируального интерфейса pptp со стороны клиента.
В какой-то момент обнаружил, что маршрут становится unreachable с обеих сторон и через несколько минут восстанавливается сам. При этом в логах нет ни чего и pptp не рвется. Ситуация повторяется пару раз за день, соответственно, связь по локальным адресам на время пропадает. Добавлял проверку шлюза пингом в маршруты - ни чего не меняет.
Понимаю, что не понимаю. Возможно, впринципе, не верно организованно. Год назад было три pptp - каждый со своим маршрутом в свою подсеть. Так, правда, прожило не долго, при замене маршрутизатора было сделано по сегодняшней схеме.
Посоветуйте, как организовать маршрутизацию правильно и с минимальными изменениями? Или, как правильно настроить маршрутизацию из одной подсети в три других, впринципе?
Ставилась задача пинговать и подключаться на Ammyy по локальному адресу с компьютера в подсети за Микротиком из серой зоны IP по каналу pptp подключенного к Микротику со статическим IP, за которым находятся три подсети с локальными адресами в разных пулах. Каждая из подсетей через nat и webproxy имеет доступ в И-нет и изолирована от двух других.
На Микротике-клиенте в IP>routes прописаны три статических маршрута в три подсети с одним шлюзом - адресом виртуального интерфейса pptp со стороны сервера. На Микротике pptp-сервере - один маршрут на внутреннюю сеть клиента с шлюзом вируального интерфейса pptp со стороны клиента.
В какой-то момент обнаружил, что маршрут становится unreachable с обеих сторон и через несколько минут восстанавливается сам. При этом в логах нет ни чего и pptp не рвется. Ситуация повторяется пару раз за день, соответственно, связь по локальным адресам на время пропадает. Добавлял проверку шлюза пингом в маршруты - ни чего не меняет.
Понимаю, что не понимаю. Возможно, впринципе, не верно организованно. Год назад было три pptp - каждый со своим маршрутом в свою подсеть. Так, правда, прожило не долго, при замене маршрутизатора было сделано по сегодняшней схеме.
Посоветуйте, как организовать маршрутизацию правильно и с минимальными изменениями? Или, как правильно настроить маршрутизацию из одной подсети в три других, впринципе?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Маршрутизация по pptp в три сегмента локальной сети
Да в целом всё правильно. Неплохо бы /ip route print увидеть в момент наличия проблемы. Не должен маршрут становиться неактивным просто так и на время.
Ну и для ppp-интерфейсов в качестве шлюза можно указывать название интерфейса, а не IP-адрес (на серверной стороне при этом надо добавить "PPTP Server" с соответствующим именем пользователя, чтобы при отключении соединения соответствующий интерфейс не пропадал).
Ну и для ppp-интерфейсов в качестве шлюза можно указывать название интерфейса, а не IP-адрес (на серверной стороне при этом надо добавить "PPTP Server" с соответствующим именем пользователя, чтобы при отключении соединения соответствующий интерфейс не пропадал).
-
- Сообщения: 19
- Зарегистрирован: 27 фев 2017, 01:00
Re: Маршрутизация по pptp в три сегмента локальной сети
Спасибо за ответ. Нужно какое-то время, чтобы ситуация совпала с тем, что я смотрю на экран. Распечатаю маршруты в файл.
Сегодня видел разрыв pptp.
На стороне сервера:
09:54:53 pptp,ppp,info pptp-in-holl: terminating... - peer is not responding
09:54:53 pptp,ppp,info,account pptp_holl logged out, 84620 6834581 79375789 86755 112490
09:54:53 pptp,ppp,info pptp-in-holl: disconnected
09:54:53 pptp,info TCP connection established from 46.53.18.243
..............................
09:56:38 pptp,info TCP connection established from 46.53.18.243
09:58:31 pptp,info TCP connection established from 46.53.18.243
Так на несколько минут. Адрес 46.53.18.243 - это адрес (изменен) моего серого пула, т.е. я и остальные видны снаружи под этим адресом. Сервер сказал, что клиент не ответил и отключил меня, а подключить отказывается, поскольку соединение существует. Такое тоже бывает раз в пару дней. Изменение Keepalive Timeout на отключения не влияет. Сервер подключен оптикой, клиент - по ethernet, каналы достаточно надежны, вроде. Насколько знакома такая ситуация?
Сегодня видел разрыв pptp.
На стороне сервера:
09:54:53 pptp,ppp,info pptp-in-holl: terminating... - peer is not responding
09:54:53 pptp,ppp,info,account pptp_holl logged out, 84620 6834581 79375789 86755 112490
09:54:53 pptp,ppp,info pptp-in-holl: disconnected
09:54:53 pptp,info TCP connection established from 46.53.18.243
..............................
09:56:38 pptp,info TCP connection established from 46.53.18.243
09:58:31 pptp,info TCP connection established from 46.53.18.243
Так на несколько минут. Адрес 46.53.18.243 - это адрес (изменен) моего серого пула, т.е. я и остальные видны снаружи под этим адресом. Сервер сказал, что клиент не ответил и отключил меня, а подключить отказывается, поскольку соединение существует. Такое тоже бывает раз в пару дней. Изменение Keepalive Timeout на отключения не влияет. Сервер подключен оптикой, клиент - по ethernet, каналы достаточно надежны, вроде. Насколько знакома такая ситуация?
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
-
- Сообщения: 19
- Зарегистрирован: 27 фев 2017, 01:00
Re: Маршрутизация по pptp в три сегмента локальной сети
Насколько понимаю, сервер периодически отправляет LCP Echo запрос для проверки наличия клиента. В какой то момент, не получив ответа, пишет в лог terminating... - peer is not responding и этот самый terminating ему делает, оставляя активным соединение. Это видно, если включить в логах pptp + debug.
Просто предположил, что ситуация типичная и имеет варианты решения навскидку. Причиной, конечно, может быть и проседание канала, в том числе.
Просто предположил, что ситуация типичная и имеет варианты решения навскидку. Причиной, конечно, может быть и проседание канала, в том числе.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Маршрутизация по pptp в три сегмента локальной сети
Беспричинное погасание маршрута пока не удалось поймать?
-
- Сообщения: 19
- Зарегистрирован: 27 фев 2017, 01:00
Re: Маршрутизация по pptp в три сегмента локальной сети
Наблюдал сегодня такое: эхо-запросы по pptp с обеих сторон идут ровно (лог в отладке), маршруты с обеих сторон - reachable, при этом пинг пропал на 5 минут в обе стороны, доступа по локальным адресам нет (пингует как микротик нетвотчем по нескольким адресам, так и компьютер на столе). Пока распечатывал маршруты и логи, все восстановилось. Выкладывать нет смысла, там просто все ровно. Канал, на стороне сервера, как канал - пару человек серфят. Включен шейпер - к лимиту не подходят. В динамических блок-листах сидят те, кому нужно сидеть.
Для полного счастья нужно быть или очень умным или очень глупым, короче)) PPTP не очень нужен, но как-то ситуация остается в подвешенном состоянии. Через пару дней, как доберусь туда, заменю коробку со стороны сервера на резервную. Дальше - по результатам.
Для полного счастья нужно быть или очень умным или очень глупым, короче)) PPTP не очень нужен, но как-то ситуация остается в подвешенном состоянии. Через пару дней, как доберусь туда, заменю коробку со стороны сервера на резервную. Дальше - по результатам.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Маршрутизация по pptp в три сегмента локальной сети
Можно ещё попробовать на L2TP переключиться - он поверх UDP работает, возможно, с отзывчивостью получше будет
-
- Сообщения: 19
- Зарегистрирован: 27 фев 2017, 01:00
Re: Маршрутизация по pptp в три сегмента локальной сети
Заменил, не отпустило. Сделал l2tp по аналогии с pptp, добавил в правила его порты, двое суток отработало без чудес. Сунулся его шифровать и понял, что нужно бубен доставать с антресолей) Примеров как грязи, но все для случая со статическими адресами с обеих сторон. Растолкал ipsec с помощью бубна и такой-то матери, не вдаваясь особо в этапы шифрования, пиры и пропосалы. Включил с обеих сторон торренты на максимум, на данный момент 4 часа отработало ровно. С понедельника будет видно, что и как. Народ протестирует быстрее любого торрента)
За рабочий день правило ловит больше тысячи инвалидов в цепочке форвардинг, насколько это допустимо? Включал логирование - несколько станций генерируют такой мусор. CureIT'ом проверил пару - ни чего серьезного.
За рабочий день правило ловит больше тысячи инвалидов в цепочке форвардинг, насколько это допустимо? Включал логирование - несколько станций генерируют такой мусор. CureIT'ом проверил пару - ни чего серьезного.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Маршрутизация по pptp в три сегмента локальной сети
"Такой мусор" - какой?
В инвалидные пакеты, насколько помню, попадает в числе прочего какой-то из последних пакетов закрытия TCP-соединения (который типа необязательный, и без него соединение всё равно считается закрытым).
В инвалидные пакеты, насколько помню, попадает в числе прочего какой-то из последних пакетов закрытия TCP-соединения (который типа необязательный, и без него соединение всё равно считается закрытым).
-
- Сообщения: 19
- Зарегистрирован: 27 фев 2017, 01:00
Re: Маршрутизация по pptp в три сегмента локальной сети
Например такой:
11:31:33 firewall,info !invalid fw: forward: in:ether2 out:ether1, src-mac d0:50:92:19:b0:82, proto TCP (ACK,FIN), 192.168.11.5:49256->216.58.209.74:443, len 40
Похоже, бухгалтера ходят на vat.gov.by с неработающим на сайте сертификатом безопасности.
Остались вопросы по IPSEC, но это, наверное, в другой теме.
Большое спасибо за помощь.
11:31:33 firewall,info !invalid fw: forward: in:ether2 out:ether1, src-mac d0:50:92:19:b0:82, proto TCP (ACK,FIN), 192.168.11.5:49256->216.58.209.74:443, len 40
Похоже, бухгалтера ходят на vat.gov.by с неработающим на сайте сертификатом безопасности.
Остались вопросы по IPSEC, но это, наверное, в другой теме.
Большое спасибо за помощь.
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Маршрутизация по pptp в три сегмента локальной сети
Да, всё, что после (ACK,FIN), включая его самого, считается ненужным и отбрасывается
-
- Сообщения: 5
- Зарегистрирован: 10 апр 2017, 09:59
Re: Маршрутизация по pptp в три сегмента локальной сети
Для трёх сегментов сети подняты мосты? или они на интерфейсах у вас?