Соединение двух удаленных точек с помощью микротика

total_ce · Сообщение **total_ce** » 20 мар 2018, 09:41

Здравствуйте, помогите новичку с настройками маршрутизаторов микротик. Имеется два маршрутизатора, первый подключен к сети интернет через USB модем, а второй подключен к сети интернет через ADSL, со статикой. Стоит задача объединение двух локальных сетей. Каким образом можно организовать сетку ?

Chupaka · Сообщение **Chupaka** » 20 мар 2018, 10:44

Доброго.

Зависит от требований. В простейшем случае (без шифрования, объединение сетей на втором уровне [т.е. без маршрутизации]) достаточно включить IP -> Cloud, создать eoip-тоннель между маршрутизаторами (по DNS-именам из предыдущего пункта) и добавить его в локальные бриджи.

total_ce · Сообщение **total_ce** » 20 мар 2018, 12:08

Нужен шифрование. Можете подробнее описывать ?

Chupaka · Сообщение **Chupaka** » 20 мар 2018, 17:28

total_ce писал(а): ↑20 мар 2018, 12:08 Нужен шифрование.

Тогда задать IPSec Secret на обеих сторонах EoIP-тоннеля.

total_ce писал(а): ↑20 мар 2018, 12:08 Можете подробнее описывать ?

Могу. Но смысла пока не вижу. Если что-то непонятно - спрашивайте.

total_ce · Сообщение **total_ce** » 21 мар 2018, 06:56

Мне бы подробная описания, так как раньше вообще не сталкивался с маршрутизаторами микротика. Если напишете более подробно, то могу разобраться.

Chupaka · Сообщение **Chupaka** » 21 мар 2018, 09:53

Chupaka писал(а): ↑20 мар 2018, 17:28 Если что-то непонятно - спрашивайте.

Потому как описывать в стиле "двигаем курсор мышки на кнопку с изображением крестика и нажимаем левую клавишу мышки" я не буду.

Так что конкретно пишите, с чем из того, что написано выше, вы не справились.

Для общего понимания почитайте что-нибудь вроде http://mikrotik.vetriks.ru/wiki/%D0%94% ... %85:WinBox

total_ce · Сообщение **total_ce** » 21 мар 2018, 12:12

Хорошо, буду изучать и дальше напишу конкретно.

total_ce · Сообщение **total_ce** » 30 июн 2018, 11:02

Всем доброго дня, вот теперь руки дошли до микротика, соединил два маршрутизатора используя протокол PPTP, пинг идет, оба видит друг друга. Но не могу пинговать компьютера, где на маршрутизаторе стоит статистический IP адрес, а с этого компьютера без проблем пингую компьютер, где динамический IP и клиент PPTP. Еще на маршрутизаторе со статистическим IP адресом, наблюдается нестабильная работа, то есть после нескольких секунд в разделе NAT появляется надпись No interface и out interface - unknown, после этого придется заново указать имя созданного PPTP интерфейса в параметре out interface. Из за чего может быть эта проблема и почему не пингуется компьютер, где на маршрутизаторе поднят PPTP сервер ?

total_ce · Сообщение **total_ce** » 30 июн 2018, 11:15

Вот скриншот https://ibb.co/kKwP4y

Chupaka · Сообщение **Chupaka** » 01 июл 2018, 09:12

Что откуда не пингуется, я так и не понял, но уже могу ответить про unknown interface: если надо правила вешать на динамические интерфейсы (например, подключающихся по PPTP клиентов), то создаём интерфейс PPTP Server Binding, указываем в нём username клиента — и используем этот интерфейс в настройках. При подключении пользователя с таким именем будет использован этот интерфейс вместо динамического.

total_ce · Сообщение **total_ce** » 01 июл 2018, 10:48

Не пингуется компьютер, где на маршрутизатора статистический адрес. А что касается вашего ответа, то я создал PPTP Server Binding на маршрутизаторе (со статистическим IP адресом), созданному интерфейсу назначил название tun1, именно на этом маршрутизаторе появляется ошибка unknown interface, но почему то во вкладке route, постоянно появляется интерфейс pptp1-1 по мимо созданного tun1, теперь думаю может этот интерфейс относиться к второму маршрутизатору, где динамика.

Chupaka · Сообщение **Chupaka** » 01 июл 2018, 22:50

Если появляется pptp1-1 - может, клиент постоянно пересоединяется? В логе что пишет при этом? Там всё самое интересное

total_ce · Сообщение **total_ce** » 02 июл 2018, 07:13

https://ibb.co/iqvFgd - это лог клиента
https://ibb.co/j3rhSJ - это лог сервера

Интересно, пробовал пинговать, с обоих сторон пинг пошел и поработал где-то до 5 мин, дальше обратно как было, пингуется только один компьютер, где клиент сидит.

Sir_Prikol · Сообщение **Sir_Prikol** » 03 июл 2018, 10:19

IP адреса и названия интерфейсов меняешь на свои
Всё работает, даже значительно быстрей чем IPsec. Особенно когда не надо гонять трафф до Пентагона

Центральный офис (белый IP)

Код: Выделить всё

/interface pptp-server server set enabled=yes

/ip firewall filter remove [find comment="PPTP Access"]
/ip firewall filter add chain=input protocol=gre comment="PPTP Access"
/ip firewall filter add chain=input dst-port=1723 protocol=tcp comment="PPTP Access"
/ip firewall filter move [find comment="PPTP Access"] 1

/ppp secret remove [find comment=pptp_192_168_2_0]
/ppp secret add local-address=192.168.1.1 remote-address=192.168.1.100 name=pptp_192_168_2_0 password="somepassword"

/ip route remove [find routing-mark=vpn_192_168_2_0]
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.100 check-gateway=ping routing-mark=vpn_192_168_2_0

/ip route rule remove [find table=vpn_192_168_2_0]
/ip route rule add action=lookup disabled=no dst-address=192.168.2.0/24 table=vpn_192_168_2_0
/ip route rule move [find table=vpn_192_168_2_0] 0

# Включаем проксирование ARP на локальном бридже
/interface bridge
set [find name=bridge-local] arp=proxy-arp

Удаленный офис (серый IP)

Код: Выделить всё

/ip firewall filter remove [find comment=to_111.111.111.111]
/ip firewall filter add dst-address=111.111.111.111 action=accept chain=output comment=to_111.111.111.111
/ip firewall filter move [find comment=to_111.111.111.111] 1

/interface pptp-client remove [find name=pptp_111.111.111.111]
/interface pptp-client add name=pptp_111.111.111.111 add-default-route=no allow=pap,chap,mschap1,mschap2 connect-to=111.111.111.111 dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1450 max-mtu=1450 mrru=1600 user=pptp_192_168_2_0 password="somepassword" profile=default-encryption

/ip route remove [find routing-mark=vpn_111.111.111.111]
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=pptp_111.111.111.111 check-gateway=ping routing-mark=vpn_111.111.111.111

/ip route rule remove [find table=vpn_111.111.111.111]
/ip route rule add action=lookup disabled=no dst-address=192.168.1.0/24 table=vpn_111.111.111.111
/ip route rule move [find table=vpn_111.111.111.111] 0

В некоторых случаях маршруты начинают работать только после перезагрузки маршрутизаторов.

Chupaka · Сообщение **Chupaka** » 03 июл 2018, 17:52

Хм, обновить версии операционки желания нет? А то они ещё и с известными уязвимостями: https://forum.mikrotik.com/viewtopic.php?f=21&t=133533

Sir_Prikol · Сообщение **Sir_Prikol** » 03 июл 2018, 18:11

Chupaka писал(а): ↑03 июл 2018, 17:52 Хм, обновить версии операционки желания нет? А то они ещё и с известными уязвимостями: https://forum.mikrotik.com/viewtopic.php?f=21&t=133533

Некоторые не обновляют, так как сменился API у микротика и им лениво переписывать все доступы

Chupaka · Сообщение **Chupaka** » 03 июл 2018, 20:06

API сменится в 6.43, она ещё не вышла даже в current. До bugfix оно точно нескоро дойдёт.

Sir_Prikol · Сообщение **Sir_Prikol** » 03 июл 2018, 20:25

Ну народ же не читает

Они слышат звон, но не знают где он. Вот и получается, что не обновляют систему. Ещё одна причина не обновления (версию не помню) где убрали управление бриджами через свитч, тут тоже народ за голову схватился и обратно откатывал

BezsmexasBew

может и проще статикой. но:

уберите ip ospf mtu-ignore с dialer и повесьте на tunnel . на оба. и с двух же сторон.

MikroTik.by