Добрый день!
Есть две сети с Микротиками в качестве шлюзов:
172.16.10.0/24
172.16.20.0/24
У 172.16.10.1 белая статика во внешний мир. Сети объединены по L2TP site-to-site.
Подскажите плиз, что надо настроить, чтобы весь трафик с 172.16.20.111 шёл через 172.16.10.1, т.е. полностью использовал его в качестве шлюза? Достаточно ли указать на 172.16.20.111 шлюзом 172.16.10.1?
Спасибо!
Использование шлюза из другой сети
-
Vini
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Использование шлюза из другой сети
Добрый.
Поскольку 172.16.20.111 без понятия, где находится 172.16.10.1, надо на маршрутизаторе с 172.16.20.0/24 отмаркировать трафик от 172.16.20.111 и направить его в L2TP-тоннель.
Поскольку 172.16.20.111 без понятия, где находится 172.16.10.1, надо на маршрутизаторе с 172.16.20.0/24 отмаркировать трафик от 172.16.20.111 и направить его в L2TP-тоннель.
-
Vini
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Использование шлюза из другой сети
Оооо! Маркировка трафика... Я с этим еще не связывался)
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Использование шлюза из другой сети
Код: Выделить всё
/ip route add gateway=L2TP routing-mark=L2TP
/ip firewall mangle add chain=prerouting src-address=172.16.20.111 dst-address-type=!local \
action=mark-routing new-routing-mark=L2TP-
Vini
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Использование шлюза из другой сети
Спасибо! Буду пробовать! И за одно изучать маркировку
-
Vini
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Использование шлюза из другой сети
И еще вопрос: а если подсети 10 и 20 видят друг друга, т.е. маршруты прописаны, то все равно маркировать надо трафик?
И еще: При маркеровке на 172.16.10.1 совсем ничего не надо настраивать? Трафик от 172.16.20.111 будет Маскарадиться/НАТиться?
И еще: если надо с внешнего IP 172.16.10.0 пробросить порт до 172.16.20.111, то это делается по-обычному, как будто на 172.16.20.1?
И еще: При маркеровке на 172.16.10.1 совсем ничего не надо настраивать? Трафик от 172.16.20.111 будет Маскарадиться/НАТиться?
И еще: если надо с внешнего IP 172.16.10.0 пробросить порт до 172.16.20.111, то это делается по-обычному, как будто на 172.16.20.1?
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Использование шлюза из другой сети
Конечно. Иначе всё будет выходить через интернет-канал текущего роутера, не уходя в другой офис.
Зависит от ваших правил, если они стандартные - то да, будет маскарадиться само.
Проброс настраивается на 172.16.10.0, как обычно.
-
Vini
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Использование шлюза из другой сети
Добрый день!
Настроил как Вы написали, но... ничего не скачивается, хотя на текущем роутере 100Мбит, на удаленном 500 Мбит.
Если с любого компьютера подключиться по L2TP и установить галку "Использовать удаленный шлюз", то весь трафик проходит через удаленый роутер без проблем на максимальной скорости 100 Мбит
Подскажите, плиз, куда копать?
Спасибо!
Настроил как Вы написали, но... ничего не скачивается, хотя на текущем роутере 100Мбит, на удаленном 500 Мбит.
Если с любого компьютера подключиться по L2TP и установить галку "Использовать удаленный шлюз", то весь трафик проходит через удаленый роутер без проблем на максимальной скорости 100 Мбит
Подскажите, плиз, куда копать?
Спасибо!
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Использование шлюза из другой сети
Что значит "не скачивается"? В целом, работает, но что-то не скачивается?
Ну и базовую диагностику никто не отменял. Трассировку сделайте с 172.16.20.111 к интересующим ресурсам.
Ну и базовую диагностику никто не отменял. Трассировку сделайте с 172.16.20.111 к интересующим ресурсам.
-
Vini
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Использование шлюза из другой сети
Т.е. страницы открываются оооочень долго, либо вообще открываются, про скачивание вообще молчу.
Щас пробую на "стенде" (друх Микротиках, лежащих рядом):
172.16.100.1 - удаленный
172.16.255.1 - текущий
Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс router.lan [172.16.255.1]
2 3 ms 4 ms 3 ms 172.16.100.1
3 2386 ms 2302 ms 2197 ms broadband-90-154-77-226.ip.moscow.rt.ru [90.154.77.226]
4 6 ms 5 ms 4 ms 77.37.250.210
5 * 5 ms 4 ms dante.yndx.net [195.208.208.93]
6 10 ms 10 ms 10 ms ya.ru [87.250.250.242]
Трассировка завершена.
Щас пробую на "стенде" (друх Микротиках, лежащих рядом):
172.16.100.1 - удаленный
172.16.255.1 - текущий
Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс router.lan [172.16.255.1]
2 3 ms 4 ms 3 ms 172.16.100.1
3 2386 ms 2302 ms 2197 ms broadband-90-154-77-226.ip.moscow.rt.ru [90.154.77.226]
4 6 ms 5 ms 4 ms 77.37.250.210
5 * 5 ms 4 ms dante.yndx.net [195.208.208.93]
6 10 ms 10 ms 10 ms ya.ru [87.250.250.242]
Трассировка завершена.
Последний раз редактировалось Vini 16 мар 2020, 16:50, всего редактировалось 1 раз.
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Использование шлюза из другой сети
Видимо, с MTU проблема: не всё, что вылазит из клиента в ethernet, помещается целиком в тоннель.
Код: Выделить всё
/ip firewall mangle
add action=change-mss chain=postrouting new-mss=clamp-to-pmtu \
out-interface=L2TP passthrough=yes protocol=tcp tcp-flags=syn
-
Vini
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Использование шлюза из другой сети
Имеет значение последовательность правил в mangle?
не сработало(
не сработало(
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Использование шлюза из другой сети
Ну, главное, чтобы до него дело доходило. Например, вытащить на самый верх 
Если всё сильно зафайрволено - можно попробовать вручную установить размер сегмента:
Если всё сильно зафайрволено - можно попробовать вручную установить размер сегмента:
Код: Выделить всё
/ip firewall mangle
add action=change-mss chain=postrouting new-mss=1300 \
out-interface=L2TP tcp-mss=1301-65535 passthrough=yes protocol=tcp tcp-flags=syn-
Vini
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Использование шлюза из другой сети
Добрый день еще раз!
Обнулил оба Микротика на стенде, оставил ЗАВОДСКУЮ конфигурацию, правила Firewall заводские. Добавил только для L2TP.
На 172.16.10.1 создал сервер L2TP без ipsec и шифрований, настроил простое правило роутинга до 172.16.20.0
На 172.16.20.1 создал клиент до 172.16.10.1, настроил простое правило роутинга до 172.16.10.0
Ввёл первые две команды, написанные Вами - большинство интернета не открывается, очень малая часть открывается ОООЧЕНЬ медленно.
Ввел вторые две команды - стало лучше - страницы стали открываться немного быстрее, но некоторые по прежнему не открываются.
Обнулил оба Микротика на стенде, оставил ЗАВОДСКУЮ конфигурацию, правила Firewall заводские. Добавил только для L2TP.
На 172.16.10.1 создал сервер L2TP без ipsec и шифрований, настроил простое правило роутинга до 172.16.20.0
На 172.16.20.1 создал клиент до 172.16.10.1, настроил простое правило роутинга до 172.16.10.0
Ввёл первые две команды, написанные Вами - большинство интернета не открывается, очень малая часть открывается ОООЧЕНЬ медленно.
Ввел вторые две команды - стало лучше - страницы стали открываться немного быстрее, но некоторые по прежнему не открываются.
-
Vini
- Сообщения: 45
- Зарегистрирован: 30 янв 2020, 17:44
Re: Использование шлюза из другой сети
А если на Микротике-клиенте настроить интернет через VPN. То можно это сделать только для одного компьютера в сети?
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Использование шлюза из другой сети
Сложно обсуждать "некоторые" страницы с неизвестной причиной неоткрывания... Не открываются по таймауту?
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск