Ahojte
Trápim sa s nasledovným problémom.
Mám Jednu kanceláriu do nej sa pripájam s domu cez VPN
IP Kancel -> MK Router -------- tunel -------- MK Router Doma moja siet. toto mi funguje.
Sprevádzkovali sme predajnu a chcem nastaviť router tiež do VPN ale to mi nejde.
IP Predajna-> EdgeRouter UBNT -------- tunel -------- MK Router Doma moja siet
Na mojom routry doma mi to funguje, (viem opingat adresy a pc v predajni), ale v mojej sieti doma ako keby sa adresný rozsah nepreniesol. Prvá VPN ide. Ale druha nie.
Neviete co je zle ?
Skusil som aj toto https://wiki.mikrotik.com/wiki/Policy_Base_Routing ale nepomohlo to
Ďakujem
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Pridanie ROUTE do VPN
zväčša stačí mať na oboch routroch v ip routes zadané cesty do vzdialenej siete tj.
MKdoma = ip routes - rozsah ip v predajni, gateway ip routra v predajni
a v predajni opačne = ip routes rozsah ip doma, gateway ip routra doma (aj keď neviem ako to funguje na edgerouteroch)
sem tam treba pozrieť firewall prípadne pomôže src-nat smerom do tunela
odporúčam tiež traceroute , zistíš kde sa to zaseklo
takto mám do práce trebárs 10 20 sietí a bez problémov bez markovania čohokoľvek
MKdoma = ip routes - rozsah ip v predajni, gateway ip routra v predajni
a v predajni opačne = ip routes rozsah ip doma, gateway ip routra doma (aj keď neviem ako to funguje na edgerouteroch)
sem tam treba pozrieť firewall prípadne pomôže src-nat smerom do tunela
odporúčam tiež traceroute , zistíš kde sa to zaseklo
takto mám do práce trebárs 10 20 sietí a bez problémov bez markovania čohokoľvek
1 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
Ahoj
Stale sa mi nejak nedari doladit tu moju nestastnu VPN
Prikladam nakres
Z mojej lokalnej siete vidim adresný rozsah siete 192.168.1.0/24 aj zariadenia
Problem nastava na Predajni z mojej ip adresy, ktora je z rozsahu 192.168.10.x/24 to nevidim. Ale z mojho routra to vidim aj pingam,
pripajam ip routes:
Skusal som to aj omarkovat a tak poriesit ale nepodarilo sa mi to. Dokonca som skusil aj nat do vpn tunela ale ani to neslo.
Viete mi poradit kde by som mohol mat chybu ?
Ďakujem
Stale sa mi nejak nedari doladit tu moju nestastnu VPN
Prikladam nakres
- VPN_Problem.png (131.94 KiB) Zobrazeno 4683 x
Z mojej lokalnej siete vidim adresný rozsah siete 192.168.1.0/24 aj zariadenia
Problem nastava na Predajni z mojej ip adresy, ktora je z rozsahu 192.168.10.x/24 to nevidim. Ale z mojho routra to vidim aj pingam,
pripajam ip routes:
Kód: Vybrat vše
add distance=0 gateway=x.y.x.y
add distance=1 dst-address=192.168.8.0/24 gateway=Predajna
add distance=5 dst-address=192.168.8.0/24 type=unreachable
add distance=1 dst-address=192.168.1.0/24 gateway=Sklad
add distance=5 dst-address=192.168.1.0/24 type=unreachable
Skusal som to aj omarkovat a tak poriesit ale nepodarilo sa mi to. Dokonca som skusil aj nat do vpn tunela ale ani to neslo.
Viete mi poradit kde by som mohol mat chybu ?
Ďakujem
0 x
na sklade
na office
na predajna
ak niečo nefunguje vyskúšaj tracert ten ti povie kde ti to končí a tak isto treba skontrolovať firewall
ps: prečo máš pptp server raz na jednom raz na druhom, sprav jeden server na na ostatných routeroch vytoč len klienta nie?
Kód: Vybrat vše
add distance=1 dst-address=192.168.8.0/24 gateway=172.16.1.1
add distance=1 dst-address=192.168.10.0/24 gateway=172.16.1.1na office
Kód: Vybrat vše
add distance=1 dst-address=192.168.1.0/24 gateway=172.16.1.2
add distance=1 dst-address=192.168.8.0/24 gateway=172.17.1.2na predajna
Kód: Vybrat vše
add distance=1 dst-address=192.168.1.0/24 gateway=172.17.1.1
add distance=1 dst-address=192.168.10.0/24 gateway=172.17.1.1ak niečo nefunguje vyskúšaj tracert ten ti povie kde ti to končí a tak isto treba skontrolovať firewall
ps: prečo máš pptp server raz na jednom raz na druhom, sprav jeden server na na ostatných routeroch vytoč len klienta nie?
1 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
Toto som spravil.
Sklad funguje aj z routra aj z lan siete office
Nejde mi Predajna. Vysvetlim ak sa lognem do mojho routra v office a dam ping na zariadenia v predajni tak mi to ide. Aj cez ssh tam pridem.
Problem nastava ked chcem opingat zariadenia z lan siete office tak proste mi to nejde.
ked spravim traceroute tak skoncim na GW mojho routra office.
Nemozem spravit klienta na strane UBNT lebo stale mi dava hlasku:
aj ked vsetko vypisem spravne. ci uz cez config tree alebo cli.
Sklad funguje aj z routra aj z lan siete office
Nejde mi Predajna. Vysvetlim ak sa lognem do mojho routra v office a dam ping na zariadenia v predajni tak mi to ide. Aj cez ssh tam pridem.
Problem nastava ked chcem opingat zariadenia z lan siete office tak proste mi to nejde.
ked spravim traceroute tak skoncim na GW mojho routra office.
Nemozem spravit klienta na strane UBNT lebo stale mi dava hlasku:
Kód: Vybrat vše
Must configure the tunnel server-ip for pptpc0 Commit failedaj ked vsetko vypisem spravne. ci uz cez config tree alebo cli.
Kód: Vybrat vše
set interfaces pptp-client pptpc0 default-route none
set interfaces pptp-client pptpc0 description 'VPN to Office'
set interfaces pptp-client pptpc0 mtu 1486
set interfaces pptp-client pptpc0 name-server auto
set interfaces pptp-client pptpc0 require-mppe
set interfaces pptp-client pptpc0 server-ip x.y.x.y
set interfaces pptp-client pptpc0 user-id Username
set interfaces pptp-client pptpc0 password PWD
0 x
mrzí ma ale s UBNT neviem poradiť.
Ak to končí na gw u teba tak možno firewall skús si na chvíľu vypnúť všetky forward pravidlá alebo aspoň pologovať či ti to niečo nezahadzuje?
ešte je možnosť spraviť u seba SRC-NAT masquerade smerom do tunela na predajňu ak ti to z routera ide ale z lan nie...
neviem ak to niečo kurví na to ubnt tak som mimo obrazu
Ak to končí na gw u teba tak možno firewall skús si na chvíľu vypnúť všetky forward pravidlá alebo aspoň pologovať či ti to niečo nezahadzuje?
ešte je možnosť spraviť u seba SRC-NAT masquerade smerom do tunela na predajňu ak ti to z routera ide ale z lan nie...
neviem ak to niečo kurví na to ubnt tak som mimo obrazu
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
A vies mi poradit ako to preroutrovat ?
Zistil som nasledovné:
Ak pingam z routra tak IP firewall connection mam nasledovné:
src. add 172.17.1.2 to dst. add. 192.168.8.1
ak spravim route z lan siete tak IP firewall connection mam nasledovné:
src. add 192.168.10.1 to dst. add. 192.168.8.1
ako spravit aby tam hned islo do VPN ? Cely problem je na Mikrotiku podla mna.
ip route mam
Skusil som pripojit na predajni a odtadial celu siet vidim co mam office.
Zistil som nasledovné:
Ak pingam z routra tak IP firewall connection mam nasledovné:
src. add 172.17.1.2 to dst. add. 192.168.8.1
ak spravim route z lan siete tak IP firewall connection mam nasledovné:
src. add 192.168.10.1 to dst. add. 192.168.8.1
ako spravit aby tam hned islo do VPN ? Cely problem je na Mikrotiku podla mna.
ip route mam
Kód: Vybrat vše
6 ADC 192.168.8.0/24 172.17.1.2 Predajna 0
Skusil som pripojit na predajni a odtadial celu siet vidim co mam office.
0 x
zvukarmiso píše:
ako spravit aby tam hned islo do VPN ? Cely problem je na Mikrotiku podla mna.
ip route mamKód: Vybrat vše
6 ADC 192.168.8.0/24 172.17.1.2 Predajna 0
Skusil som pripojit na predajni a odtadial celu siet vidim co mam office.
tento výpis route máš z office?
lebo ak hej tak tam máš zádrhel, nemôže byť ADC pokiaľ sa jedná o vzdialenú sieť, správne je AS active static, ak je tam C connected tak sa jedná o sieť ktorá je priamo pripojená k danému routeru.
Toto je na dlhé hádanie bez celej konfigurácie, ak chceš napíš mi súkromne prístup na tik a ja sa na to pozriem ináč budeme len hádať
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
Tak som to cele prekopal, aby vsetko islo z office ako server.
S tym EdgeRoutrom som sa potrapil.
Ping mi uz prechádza, ale na nic neprídem. Ani web ani telnet.
OFFICE
S tym EdgeRoutrom som sa potrapil.
Ping mi uz prechádza, ale na nic neprídem. Ani web ani telnet.
OFFICE
Kód: Vybrat vše
/interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
12 DR <pptp-1> pptp-in 1450
/ppp secret> print
Flags: X - disabled
10 NAME pptp PASS default 172.17.1.2
ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
1 ADS 0.0.0.0/0 213.x.y.160 0
2 ADS 192.168.8.0/24 172.17.1.2 1
3 SU 192.168.8.0/24 5
4 ADC 172.17.1.2/32 172.17.1.1 <pptp-1> 0
5 ADC 192.168.10.0/24 192.168.10.1 Office_net 0
6 ADC 213.x.y.160/32 213.z.z.218 net_Public 0
Kód: Vybrat vše
ubnt@ubnt# show interfaces pptp-client
pptp-client pptpc0 {
default-route none
mtu 1500
name-server auto
password PASS
server-ip 213.z.z.218
user-id PASS
}
ubnt@ubnt# show service nat
rule 5000 {
description "masq to VPN"
destination {
address 192.168.10.0/24
}
outbound-interface pptpc0
type masquerade
}
ubnt@ubnt# show protocols static
route 0.0.0.0/0 {
next-hop 192.168.202.1 {
}
}
route 192.168.10.0/24 {
next-hop 172.17.1.1 {
description "masq to VPN"
}
}
ubnt@ubnt# show firewall
all-ping enable
broadcast-ping disable
group {
network-group Net {
description NET
network 192.168.8.0/24
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
0 x
nemala by byt na tom edgerouteru povolená komunikácia zo a do siete 192.168.10.0/24? neviem ako sa tam zapisujú pravidlá ale hore máš povolené "all ping enable" čo by potvrdzovalo že ping prejde ale nič iné
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
No toto je nieco ako adress list v MK
toto je route table
ale nikde na Firewalle nemam ze vsetko ostatne drop
Kód: Vybrat vše
group {
network-group Net {
description NET
network 192.168.8.0/24
}
}
toto je route table
Kód: Vybrat vše
ubnt@ubnt# show protocols static
route 0.0.0.0/0 {
next-hop 192.168.202.1 {
}
}
route 192.168.10.0/24 {
next-hop 172.17.1.1 {
description "route to VPN"
}
}
ale nikde na Firewalle nemam ze vsetko ostatne drop
0 x
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
Laborovanim som zistil nasledovný problém
1. MTU na EdgeRoutry bolo 1500 a na MK 1450
2. Nastavil som všetko na 1500 nepomohlo
3. Nastavil som na EdgeRoutry wan MTU na hodnotu 1499 a zrazu VPN sa rozbehla, ale nešiel mi na sieti net.
Ako by to malo byt spravne nastavene ? MTU pre vpn vacsie alebo menšie ?
preventívne som skusil nastaviť hodnoty na MTU na 1450 ale ani tak mi to nešlo.
1. MTU na EdgeRoutry bolo 1500 a na MK 1450
2. Nastavil som všetko na 1500 nepomohlo
3. Nastavil som na EdgeRoutry wan MTU na hodnotu 1499 a zrazu VPN sa rozbehla, ale nešiel mi na sieti net.
Ako by to malo byt spravne nastavene ? MTU pre vpn vacsie alebo menšie ?
preventívne som skusil nastaviť hodnoty na MTU na 1450 ale ani tak mi to nešlo.
0 x
-
zvukarmiso
- Příspěvky: 211
- Registrován: 13 years ago
