EOIP tunel mezi dvěma MK - problém s komunikací mezi sítěmi
Napsal: 11 May 2014 13:07
Dobrý den,
marně se pokouším propojit dva mikrotiky. Po několika pokusech jsem zkončil na EOIP tunelu s následujícím konfigurací a problémem:
Router 1:
rozhraní ETH1-GW: veřejná IP (řekněme modelově) 1.1.1.1/24
ostatní rozhranní jsou v bridge
/ip address
add address=192.168.10.254/24 comment=bridge interface=bridge network=192.168.10.0
add address=1.1.1.1/24 comment=gateway interface=eth1-gw network=1.1.1.0
Router2:
rozhraní ETH1-GW: veřejná IP (řekněme modelově) 2.2.2.2/24 - (GW)
ostatní rozhranní jsou v bridge
/ip address
add address=192.168.12.254/24 comment=bridge interface=bridge network=192.168.12.0
add address=2.2.2.2/24 comment=gateway interface=eth1-gw network=2.2.2.0
Router 1:
/interface eoip
add keepalive=30 mac-address=02:03:04:05:06:07 name=eoip-tunnel1 remote-address=2.2.2.2 tunnel-id=0
/ip address
add address=172.16.1.1/30 comment=tunnel interface=eoip-tunnel1 network=172.16.1.0
/ip route
add distance=1 gateway=1.1.1.1
add distance=1 dst-address=192.168.12.0/32 gateway=172.16.1.2
Router2:
/interface eoip
add keepalive=30 mac-address=02:03:04:05:06:07 name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=0
/ip address
add address=172.16.1.2/30 comment=tunnel interface=eoip-tunnel1 network=172.16.1.0
/ip route
add distance=1 gateway=2.2.2.2
add distance=1 dst-address=192.168.10.0/32 gateway=172.16.1.1
Tunel je sestavený. Mezi routery si na sebe pingnu, tracert jde při testování z routerů správně tudy, kudy má.
Ale jakmile se zkouším dostat z libovolného klienta na kterémkoliv GW, tak mi mikrotiky neroutují tam, kam mají a namísto toho mi posílají dotazy ven přes eth-gw1 a jelikož mají oba provideři prasácky viditelné adresy z neveřejného rozsahu, tak mi odpovídá něco jiného než má.
Na klientovi je default GW vždy na IP adresu bridge. Napadá mně, jestli problém není v NATu. Na každém z mikrotiků mám ve firewallu následující
/ip firewall nat
add action=masquerade chain=srcnat comment="Default NAT" out-interface=eth1-gw to-addresses=0.0.0.0
Můžete mi prosím někdo poradit jak dál? Zatím jsem z toho vyvodil osobní závěr, že jsem se v devadesátých letech málo učil, proto nejsem pořádný tunelář
marně se pokouším propojit dva mikrotiky. Po několika pokusech jsem zkončil na EOIP tunelu s následujícím konfigurací a problémem:
Router 1:
rozhraní ETH1-GW: veřejná IP (řekněme modelově) 1.1.1.1/24
ostatní rozhranní jsou v bridge
/ip address
add address=192.168.10.254/24 comment=bridge interface=bridge network=192.168.10.0
add address=1.1.1.1/24 comment=gateway interface=eth1-gw network=1.1.1.0
Router2:
rozhraní ETH1-GW: veřejná IP (řekněme modelově) 2.2.2.2/24 - (GW)
ostatní rozhranní jsou v bridge
/ip address
add address=192.168.12.254/24 comment=bridge interface=bridge network=192.168.12.0
add address=2.2.2.2/24 comment=gateway interface=eth1-gw network=2.2.2.0
Router 1:
/interface eoip
add keepalive=30 mac-address=02:03:04:05:06:07 name=eoip-tunnel1 remote-address=2.2.2.2 tunnel-id=0
/ip address
add address=172.16.1.1/30 comment=tunnel interface=eoip-tunnel1 network=172.16.1.0
/ip route
add distance=1 gateway=1.1.1.1
add distance=1 dst-address=192.168.12.0/32 gateway=172.16.1.2
Router2:
/interface eoip
add keepalive=30 mac-address=02:03:04:05:06:07 name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=0
/ip address
add address=172.16.1.2/30 comment=tunnel interface=eoip-tunnel1 network=172.16.1.0
/ip route
add distance=1 gateway=2.2.2.2
add distance=1 dst-address=192.168.10.0/32 gateway=172.16.1.1
Tunel je sestavený. Mezi routery si na sebe pingnu, tracert jde při testování z routerů správně tudy, kudy má.
Ale jakmile se zkouším dostat z libovolného klienta na kterémkoliv GW, tak mi mikrotiky neroutují tam, kam mají a namísto toho mi posílají dotazy ven přes eth-gw1 a jelikož mají oba provideři prasácky viditelné adresy z neveřejného rozsahu, tak mi odpovídá něco jiného než má.
Na klientovi je default GW vždy na IP adresu bridge. Napadá mně, jestli problém není v NATu. Na každém z mikrotiků mám ve firewallu následující
/ip firewall nat
add action=masquerade chain=srcnat comment="Default NAT" out-interface=eth1-gw to-addresses=0.0.0.0
Můžete mi prosím někdo poradit jak dál? Zatím jsem z toho vyvodil osobní závěr, že jsem se v devadesátých letech málo učil, proto nejsem pořádný tunelář