ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

RIP, OSFP, BGP, MPLS/VPLS
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

В общем подцепляю удалённые офисы к ЦО через l2tp. Соединение устанавливается, из сети ЦО сеть удалённого офиса пингуется, а вот из Удалённого офиса сеть ЦО (192.168.0.0/24) не вина. Трассировка маршрута затыкается на l2tp шлюзе ЦО (172.16.30.1). Где я накосячил или недописал чего?

Настройки Микротика ЦО:

Код: Выделить всё

/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN1
set [ find default-name=ether2 ] name=ether2-WAN2
set [ find default-name=ether3 ] name=ether3-WAN3
set [ find default-name=ether4 ] name=ether4-WAN4
set [ find default-name=ether13 ] name=ether13-LAN
/interface l2tp-server
add name=Office1_to_HQ user=Office1
add name=Office2_to_HQ user=Office2
add name=Office3_to_HQ user=Office3
add name=Office4_to_HQ user=Office4
add name=Office5_to_HQ user=Office5
add name=Office6_to_HQ user=Office6
add name=Office7_to_HQ user=Office7
add name=Office8_to_HQ user=Office8
/ip neighbor discovery
set ether1-WAN1 discover=no
set ether2-WAN2 discover=no
set ether3-WAN3 discover=no
set ether4-WAN4 discover=no
set ether5 discover=no
set ether6 discover=no
set ether7 discover=no
set ether8 discover=no
set ether9 discover=no
set ether10 discover=no
set ether11 discover=no
set ether12 discover=no
/interface bonding
add mode=802.3ad name=CISCO3750 slaves=ether13-LAN,ether12,ether11,ether10 \
    transmit-hash-policy=layer-2-and-3
/interface vlan
add interface=CISCO3750 name=VLAN0 vlan-id=10
add interface=CISCO3750 name=VLAN2 vlan-id=2
add interface=CISCO3750 name=VLAN3 vlan-id=3
add interface=CISCO3750 name=VLAN15 vlan-id=15
add interface=CISCO3750 name=VLAN100 vlan-id=100
add interface=CISCO3750 name=VLAN101 vlan-id=101
add interface=CISCO3750 name=VLAN102 vlan-id=102
add interface=CISCO3750 name=VLAN210 vlan-id=210
/interface list
add name=lst-WAN
/ip pool
add name=pool-VLAN0 ranges=192.168.0.51-192.168.0.250
add name=pool-VLAN2 ranges=192.168.2.6-192.168.2.250
add name=pool-VLAN3 ranges=192.168.3.6-192.168.3.250
add name=pool-VLAN15 ranges=192.168.15.6-192.168.15.250
add name=pool-VLAN100 ranges=192.168.100.6-192.168.100.250
add name=pool-VLAN101 ranges=192.168.101.6-192.168.101.250
add name=pool-VLAN102 ranges=192.168.102.6-192.168.102.250
/ip dhcp-server
add add-arp=yes address-pool=pool-VLAN0 always-broadcast=yes authoritative=\
    yes disabled=no interface=VLAN0 name=DHCP-VLAN0
add add-arp=yes address-pool=pool-VLAN2 always-broadcast=yes authoritative=\
    yes disabled=no interface=VLAN2 name=DHCP-VLAN2
add add-arp=yes address-pool=pool-VLAN3 always-broadcast=yes authoritative=\
    yes disabled=no interface=VLAN3 name=DHCP-VLAN3
add add-arp=yes address-pool=pool-VLAN15 always-broadcast=yes authoritative=\
    yes disabled=no interface=VLAN15 name=DHCP-VLAN15
add add-arp=yes address-pool=pool-VLAN100 always-broadcast=yes authoritative=\
    yes disabled=no interface=VLAN100 name=DHCP-VLAN100
add add-arp=yes address-pool=pool-VLAN101 always-broadcast=yes authoritative=\
    yes disabled=no interface=VLAN101 name=DHCP-VLAN101
add add-arp=yes address-pool=pool-VLAN102 always-broadcast=yes authoritative=\
    yes disabled=no interface=VLAN102 name=DHCP-VLAN102
/ppp profile
set *FFFFFFFE use-compression=yes
/queue type
add kind=pcq name=pcq-download-1M pcq-classifier=dst-address \
    pcq-dst-address6-mask=64 pcq-rate=1M pcq-src-address6-mask=64
add kind=pcq name=pcq-upload-1M pcq-classifier=src-address \
    pcq-dst-address6-mask=64 pcq-rate=1M pcq-src-address6-mask=64
/queue simple
add max-limit=50M/50M name=GuestWiFi-limit-1M queue=\
    pcq-upload-1M/pcq-download-1M target=192.168.3.0/24
/routing ospf instance
set [ find default=yes ] disabled=yes router-id=192.168.0.0
/interface bridge port
add
/interface l2tp-server server
set authentication=mschap2 enabled=yes
/interface list member
add interface=ether1-WAN1 list=lst-WAN
add interface=ether2-WAN2 list=lst-WAN
add interface=ether3-WAN3 list=lst-WAN
add interface=ether4-WAN4 list=lst-WAN
/ip address
add address=192.168.220.1/24 interface=ether5 network=192.168.220.0
add address=192.168.210.1/24 interface=VLAN210 network=192.168.210.0
add address=1.1.1.1 interface=ether1-WAN1 network=5.5.5.5
add address=2.2.2.2 interface=ether2-WAN2 network=5.5.5.5
add address=3.3.3.3 interface=ether3-WAN3 network=5.5.5.5
add address=4.4.4.4 interface=ether4-WAN4 network=5.5.5.5
add address=192.168.0.1/24 interface=VLAN0 network=192.168.0.0
add address=192.168.2.1/24 interface=VLAN2 network=192.168.2.0
add address=192.168.3.1/24 interface=VLAN3 network=192.168.3.0
add address=192.168.15.1/24 interface=VLAN15 network=192.168.15.0
add address=192.168.100.1/24 interface=VLAN100 network=192.168.100.0
add address=192.168.101.1/24 interface=VLAN101 network=192.168.101.0
add address=192.168.102.1/24 interface=VLAN102 network=192.168.102.0
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.2,192.168.0.1 gateway=\
    192.168.0.2 netmask=24
add address=192.168.2.0/24 dns-server=192.168.2.2,192.168.2.1 gateway=\
    192.168.2.2 netmask=24
/ip dns
set allow-remote-requests=yes servers=\
    192.168.210.1,192.168.210.2
/ip firewall address-list
add address=192.168.0.21 list=HQ1
add address=192.168.0.22 list=HQ1
add address=192.168.0.9 list=HQ1
add address=192.168.0.50-192.168.0.250 list=HQ2
add address=192.168.2.0/24 list=HQ2
add address=192.168.3.0/24 list=HQ2
add address=192.168.102.0/24 list=HQ2
add address=192.168.0.23 list=HQ2
add address=192.168.0.24 list=HQ2
add address=192.168.0.25 list=HQ3
add address=192.168.0.26 list=HQ3
add address=192.168.0.27 list=HQ4
add address=192.168.0.71 list=HQ3
add address=192.168.0.28 list=HQ4
add address=192.168.0.47 list=HQ4
add address=192.168.0.90 list=HQ4
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input comment="BOGON Drop" in-interface=ether1-WAN1 \
    src-address-list=BOGON
add action=drop chain=input comment="BOGON Drop" in-interface=ether4-WAN4 \
    src-address-list=BOGON
add action=drop chain=input comment="BOGON Drop" in-interface=ether3-WAN3 \
    src-address-list=BOGON
add action=drop chain=input comment="BOGON Drop" in-interface=ether2-WAN2 \
    src-address-list=BOGON
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=input comment=DNS dst-port=53 in-interface=CISCO3750 \
    protocol=udp
add action=accept chain=input comment=L2TP dst-port=1701 in-interface=\
    ether1-WAN1 protocol=udp
add action=accept chain=forward out-interface=all-ppp
add action=accept chain=input connection-state=established,related
add action=accept chain=input comment=\
    "Access to Mikrotik only from our local network" src-address=\
    192.168.0.0/16
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward in-interface=all-ppp
add action=drop chain=input connection-state=invalid
add action=drop chain=input connection-state=new in-interface=!CISCO3750
/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=con-WAN1 \
    src-address-list=HQ1
add action=mark-connection chain=prerouting new-connection-mark=con-WAN2 \
    src-address-list=HQ2
add action=mark-connection chain=prerouting new-connection-mark=con-WAN3 \
    src-address-list=HQ3
add action=mark-connection chain=prerouting new-connection-mark=con-WAN4 \
    src-address-list=HQ4
add action=mark-routing chain=prerouting connection-mark=con-WAN1 \
    in-interface-list=!lst-WAN new-routing-mark=WAN1 passthrough=yes \
    src-address-list=HQ1
add action=mark-routing chain=prerouting connection-mark=con-WAN2 \
    in-interface-list=!lst-WAN new-routing-mark=WAN2 passthrough=yes \
    src-address-list=HQ2
add action=mark-routing chain=prerouting connection-mark=con-WAN3 \
    in-interface-list=!lst-WAN new-routing-mark=WAN3 passthrough=yes \
    src-address-list=HQ3
add action=mark-routing chain=prerouting connection-mark=con-WAN4 \
    in-interface-list=!lst-WAN new-routing-mark=WAN4 passthrough=yes \
    src-address-list=HQ4
add action=mark-routing chain=prerouting dst-address=192.168.32.0/24 \
    new-routing-mark=rm_to_Office2 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.37.0/24 \
    new-routing-mark=rm_to_Office4 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.34.0/24 \
    new-routing-mark=rm_to_Office5 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.38.0/24 \
    new-routing-mark=rm_to_Office8 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.36.0/24 \
    new-routing-mark=rm_to_Office7 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.35.0/24 \
    new-routing-mark=rm_to_Office6 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.31.0/24 \
    new-routing-mark=rm_to_Office1 passthrough=yes
add action=mark-routing chain=prerouting dst-address=192.168.39.0/24 \
    new-routing-mark=rm_to_Office3 passthrough=yes
/ip firewall nat
add action=netmap chain=dstnat comment="Emergency RDP 1C" dst-port=60086 \
    in-interface=ether3-WAN3 protocol=tcp to-addresses=192.168.0.4 to-ports=\
    3389
add action=netmap chain=dstnat comment="Emergency RDP Autodealer" dst-port=\
    60087 in-interface=ether4-WAN4 protocol=tcp to-addresses=192.168.0.241 \
    to-ports=3389
add action=netmap chain=dstnat comment="to SecurOS Mobile Client" dst-port=\
    7777 in-interface=ether2-WAN2 protocol=tcp to-addresses=192.168.102.10 \
    to-ports=7777
add action=masquerade chain=srcnat out-interface=all-ppp
add action=src-nat chain=srcnat out-interface=ether1-WAN1 to-addresses=\
    1.1.1.1
add action=src-nat chain=srcnat out-interface=ether2-WAN2 to-addresses=\
    2.2.2.2
add action=src-nat chain=srcnat out-interface=ether3-WAN3 to-addresses=\
    3.3.3.3
add action=src-nat chain=srcnat out-interface=ether4-WAN4 to-addresses=\
    4.4.4.4
/ip firewall raw
add action=drop chain=prerouting comment="sbl dshield" dst-address-list=\
    "sbl dshield"
add action=drop chain=prerouting comment="sbl spamhaus" dst-address-list=\
    "sbl spamhaus"
add action=drop chain=prerouting comment="sbl blocklist.de" dst-address-list=\
    "sbl blocklist.de"
/ip route
add check-gateway=ping distance=1 gateway=5.5.5.5%ether1-WAN1 \
    routing-mark=WAN1
add check-gateway=ping distance=1 gateway=5.5.5.5%ether2-WAN2 \
    routing-mark=WAN2
add check-gateway=ping distance=1 gateway=5.5.5.5%ether3-WAN3 \
    routing-mark=WAN3
add check-gateway=ping distance=1 gateway=5.5.5.5%ether4-WAN4 \
    routing-mark=WAN4
add distance=1 gateway=Office2_to_HQ routing-mark=rm_to_Office2
add distance=1 gateway=Office1_to_HQ routing-mark=rm_to_Office1
add distance=1 gateway=Office6_to_HQ routing-mark=rm_to_Office6
add distance=1 gateway=Office7_to_HQ routing-mark=rm_to_Office7
add distance=1 gateway=Office8_to_HQ routing-mark=rm_to_Office8
add distance=1 gateway=Office5_to_HQ routing-mark=rm_to_Office5
add distance=1 gateway=Office4_to_HQ routing-mark=rm_to_Office4
add distance=1 gateway=172.16.30.9 routing-mark=rm_to_Office3
add distance=1 gateway="5.5.5.5%ether1-WAN1,5.5.5.5%ether3-WAN3,\
    5.5.5.5%ether2-WAN2,5.5.5.5%ether4-WAN4"
add distance=1 dst-address=192.168.0.0/16 gateway=192.168.0.2 pref-src=\
    172.16.30.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/24,192.168.210.0/24,192.168.220.0/24
set api-ssl disabled=yes
/ppp secret
add local-address=172.16.30.1 name=Office2 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.2 service=l2tp
add local-address=172.16.30.1 name=Office1 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.3 service=l2tp
add local-address=172.16.30.1 name=Office6 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.4 service=l2tp
add local-address=172.16.30.1 name=Office7 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.5 service=l2tp
add local-address=172.16.30.1 name=Office8 password=XXXXXXXXX profile=\
    default-encryption remote-address=172.16.30.6 service=l2tp
add local-address=172.16.30.1 name=Office5 password=XXXXXXXXX profile=\
    default-encryption remote-address=172.16.30.7 service=l2tp
add local-address=172.16.30.1 name=Office4 password=XXXXXXXXX \
    profile=default-encryption remote-address=172.16.30.8 service=l2tp
add local-address=172.16.30.1 name=Office3 password=XXXXXXXXX profile=\
    default-encryption remote-address=172.16.30.9 service=l2tp
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
/system logging
set 0 disabled=yes
/system ntp client
set enabled=yes primary-ntp=88.147.254.232 secondary-ntp=88.147.254.230
/system ntp server
set enabled=yes manycast=no
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Chupaka »

А как именно проверяете, что "сеть ЦО не видна"? Трассировка на адрес из листов HQ*, или на другой? С другими офисами всё работает? А какой не работает?

А зачем вам костыль в виде "/ip firewall nat add action=masquerade chain=srcnat out-interface=all-ppp"? С такого, как правило, и начинаются такие вот проблемы, когда нормально маршрутизацию лень прописать...

Вы не пытаетесь весь трафик из офисов отмаркировать роутингом и отправить в Интернет, не проверив, что он локалке предназначен?
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

Т.е убираем маскарадинг, маркируем маршрут:

Код: Выделить всё

add action=mark-routing chain=prerouting dst-address=192.168.0.0/24 new-routing-mark=rm_from_Office passthrough=yes
И создаём маршрут

Код: Выделить всё

add distance=1 dst-address=192.168.0.0/24 gateway=192.168.0.2 routing-mark=rm_from_Office pref-src=172.16.30.1
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Chupaka »

И после этого заработало? Ибо маршрут какой-то странный - зачем пересылать на 192.168.0.2, если сеть прямо на интерфейсе доступна с 192.168.0.1?..

Или это был вопрос?
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

Это был вопрос. Проверить пока не могу. Как доберусь попробую и отпишусь.
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

При такой настройке трассировка доходит до шлюза на L3 коммутаторе CISCO (192.168.0.2) стоящим за Микротиком и являющимся ядром. Если в качестве шлюза указать 192.168.0.1, то затыкается на l2tp шлюзе Микротика.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Chupaka »

Так не надо его никуда пересылать, надо просто accept, например, сделать, чтобы дальнейшей маркировки не было.

Т.е. обратная трассировка между теми же устройствами работает?..
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

Чёйто не понял. Пример можно.
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

Chupaka писал(а): 20 дек 2018, 18:52 Т.е. обратная трассировка между теми же устройствами работает?..
Между какими именно Микротик ЦО-Микромик УО, Микротик ЦО-СИСЬКА?
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

С Микротика в УО трассировка доходит до шлюза СИСЬКИ в ЦО (192.168.0.2), из сети УО трассировка доходит до шлюза l2tp Микротика ЦО (172.16.30.1). Из ЦО и с Микротика и из сети трассировка идёт до любого хоста УО.
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

Chupaka писал(а): 20 дек 2018, 18:52 Так не надо его никуда пересылать, надо просто accept, например, сделать, чтобы дальнейшей маркировки не было.
Т. е. правило фаера src-address=172.16.30.9 dst-address=172.16.30.1 action=accept, а маркировку и маршрут в топку ?
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

Мля чёйто или я дурак или одно из двух.
Если из сети УО делать трассировку до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. Если делать трассировку с Микротика УО до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. А если делать трассировку любого хоста в сети ЦО за шлюзом на СИСЬКЕ (192.168.0.2) то затык на 172.16.30.1
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Chupaka »

Gungster писал(а): 20 дек 2018, 20:17
Chupaka писал(а): 20 дек 2018, 18:52 Т.е. обратная трассировка между теми же устройствами работает?..
Между какими именно Микротик ЦО-Микромик УО, Микротик ЦО-СИСЬКА?
Между теми именно, между которыми в прямую сторону не работает и между которыми мы сейчас диагностируем. Вы же не сферическую лошадь в вакууме трассируете?
Gungster писал(а): 20 дек 2018, 20:24 С Микротика в УО трассировка доходит до шлюза СИСЬКИ в ЦО (192.168.0.2)
С чего вдруг оно туда попадает? Что трассируете, почему оно не может с 192.168.0.1 уйти к получателю, а уходит на какое-то другое устройство в сети?..
Gungster писал(а): 20 дек 2018, 20:24 Из ЦО и с Микротика и из сети трассировка идёт до любого хоста УО.
Т.е. из ЦО в УО трассировка проходит, а между теми же хостами обратно из УО в ЦО - нет? Видимо, что-то с маркировкой маршрутов, потому что в первом случае пакеты в обе стороны нормально ходят. Есть ещё вариант, что вы где-то костыль в виде Masquerade поставили - поэтому работает. Внутренний трафик маскарадить вряд ли есть смысл.
Gungster писал(а): 20 дек 2018, 20:31 Т. е. правило фаера src-address=172.16.30.9 dst-address=172.16.30.1 action=accept, а маркировку и маршрут в топку ?
В топку, но откуда взялись эти адреса - я не понимаю. Вроде в изначальном варианте был только "dst-address=192.168.0.0/24".
Gungster писал(а): 20 дек 2018, 21:29 Если из сети УО делать трассировку до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. Если делать трассировку с Микротика УО до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. А если делать трассировку любого хоста в сети ЦО за шлюзом на СИСЬКЕ (192.168.0.2) то затык на 172.16.30.1
А ваша сиська вообще в курсе роутов к сетям УО? А то может она куда-нибудь в Интернет отвечает...

Я правильно понимаю, что роутер 192.168.0.1 в ЦО не является шлюзом по умолчанию для ЦО? На роутере ЦО лишнего masquerade нет?
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

СИСЬКА про удалённый офис, как и про тырнет вообще не в курсе, она маршрутизирует трафик между VLAN внутренней сети, всё, что не относится ко внутренней сети улетает на 192.168.210.1 (некротик) в интернет.Адреса 172.16.30.1 (адрес l2tp сервера на некротике ЦО)-172.16.30.9 (Адрес l2tp клиента на некротике в УО). Через этот канал они и общаются.
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

Шлюзами в сети являются адреса VLANов на сиське (0.2, 2.2, 3.2 .....), все запросы не относящиеся ко внутренней сети (192.168.0.0./16) улетают через некротик (192.168.210.1) в тырнет, l2tp канал .
Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

Настройки СИСЬКИ зря не выложил. было бы понятней. СИСЬКА это ядро сети L3 коммутатор (она маршрутизирует все внутренние подсети).
Вот её настройки.

Код: Выделить всё

ip routing
!
no errdisable detect cause gbic-invalid
port-channel load-balance src-dst-ip
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 2
 name Mobile_LAN
!
vlan 3
 name Guest_LAN
!
vlan 10
 name OFFICE_NET
!
vlan 11
 name SERVERS_NET
!
vlan 15
 name WiFi_LAN
!
vlan 100
 name VoIP_NET
!
vlan 101
 name Printers_NET
!
vlan 102
 name Video_LAN
!
vlan 210
 name Manegement_LAN
!
interface Port-channel1
description TO_LAN
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 2,3,10,15,100-102,210
 switchport mode trunk
!
interface Port-channel2
description TO_DHCP
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 ip dhcp relay information trusted
 spanning-tree bpdufilter enable
 ip dhcp snooping trust
!
interface FastEthernet1/0/1
 switchport access vlan 2
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/2
 switchport access vlan 3
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/3
 switchport access vlan 10
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/4
 switchport access vlan 15
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/5
 switchport access vlan 100
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/6
 switchport access vlan 101
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/7
 switchport access vlan 102
 switchport mode access
 spanning-tree portfast
!
interface FastEthernet1/0/8
 switchport access vlan 210
 switchport mode access
 spanning-tree portfast
!

interface GigabitEthernet1/0/1
 description TO_LAN
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 2,3,10,15,100-102,210
 switchport mode trunk
 channel-protocol lacp
 channel-group 1 mode active
!
interface range GigabitEthernet1/0/2,GigabitEthernet1/0/4
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 channel-protocol lacp
 channel-group 2 mode active
!
interface Vlan1
 no ip address
 shutdown
 spanning-tree portfast
!
interface Vlan2
 ip address 192.168.2.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan3
 ip address 192.168.3.2 255.255.255.0
 ip access-group 110 in
 ip helper-address 192.168.210.1
!
interface Vlan10
 ip address 192.168.0.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan15
 ip address 192.168.15.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan100
 ip address 192.168.100.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan101
 ip address 192.168.101.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan102
 ip address 192.168.102.2 255.255.255.0
 ip helper-address 192.168.210.1
!
interface Vlan210
 ip address 192.168.210.2 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.210.1
no ip http server
ip http secure-server
!
!
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.101.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.102.0 0.0.0.255
access-list 110 deny   ip 192.168.3.0 0.0.0.255 192.168.210.0 0.0.0.255
access-list 110 permit ip any any
no cdp run
no cdp tlv location
no cdp tlv app
!
snmp-server community cisco RO
snmp-server community cisco123 RW
!
!
line con 0
line vty 5 15
!
end

Gungster
Сообщения: 13
Зарегистрирован: 20 дек 2018, 11:19

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Gungster »

По сути некротик это чупа-чупс так называемый, только до кучи на нём DHCP сервер поднят, из-за него приходится создавать на некротике VLANы и присваивать им IP иначе DHCP сервер никому ничего раздавать не будет. Вот тут все костыли и возникают. Если нет DHCP сервера на некротике у него на интерфейсе смотрящим в локалку только один адрес 192.168.210.1 и проблем нет, весь трафик шурует через него. При наличии DHCP сервера для VLANов внутренней сети появляются IP VLANов и лишние маршруты не через 192.18.210.2(шлюз на СИСЬКЕ), а через адреса VLANов, что не есть гут.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.

Сообщение Chupaka »

Стоп, 192.168.0.1 — чей адрес?

Вы, может, нарисуйте топологию, а то на словах очень тяжело воспринимается.