classic.ISPforum.cz

Zdravím kolegové, potřeboval bych poradit - jestli to tedy vůbec jde nějak vyřešit. Připojoval jsem naši novou firemní pobočku a tato pobočka je zatím pod natem v síti lokálního ISP bez veřejné IP adresy, který však své klienty nechává v rozsahu 192.168.1.XXX. Problém tedy nastává už tehdy, kdy zákazník chce mít třeba vlastní síť na stejném rozsahu. Nicméně o to mi nejde. Z této pobočky mám LT2P/IPSec tunel na centrálu, který funguje bez problémů ale díky stejnému rozsahu IP adres na naší centrále jako v síti lokálního ISP (192.168.1.XXX) se nemůžu proroutovat do naší sítě na centrále. V routovací tabulce je tunel do naší firemní sítě pod distance 1. Naopak to samozřejmě funguje - z centrály se dostanu na jakoukoli adresu v síti pobočky. Nevíte o nějakém funkčním řešení? Předem díky

policy based routing .... na klientoj

/ip route
add distance=1 dst-address=192.168.1.0/24 gateway=l2tp-out1 routing-mark=prace
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=192.168.1.0/24 in-interface=LAN new-routing-mark=prace passthrough=no src-address=192.168.22.0/24

edit: ještě místo mangle se dá použít třeba
/ip route rule add dst-address=192.168.1.0/24 src-address=192.168.22.0/24 table=prace

Ahoj, díky za udání správného směru, ale modelově - jak počítač na pobočce zjistí, aby při zadání IP adresy, například 192.168.1.10 - se nezkoušel dosáhnout této IP adresy v síti poskytovatele ale aby šel skrze automaticky přes ten tunel? Tam přeci v routingu kde je distance=0 má přednost před distance=1, takže se tam bude snažit stále připojit ale tunelem nikdy nepůjde...?

Zkoušel jsem nastavení ale z routeru pobočky si stále nedokážu pingnout na jakékoli zařízení v síti centrály, podle mě se to stále snaží pingnout do sítě poskytovatele. Zítra to zkusím z nějakého lokálního počítače, jestli tam nebude nějaká zrada (jako že třeba to z routeru nepingne)...

Co napsat ISPčkovi aby změnil vnitřní rozsah sítě?

michnzee píše:Ahoj, díky za udání správného směru, ale modelově - jak počítač na pobočce zjistí, aby při zadání IP adresy, například 192.168.1.10 - se nezkoušel dosáhnout této IP adresy v síti poskytovatele ale aby šel skrze automaticky přes ten tunel? Tam přeci v routingu kde je distance=0 má přednost před distance=1, takže se tam bude snažit stále připojit ale tunelem nikdy nepůjde...?

to není pravda, distance není podstatná, když ty data vlezou to úplně nové routovací tabulky (ne main ale "práce").... jak jsem psal, řídí se to dle filter rule nebo mangle, počítač to nijak nezjišťuje. Přijde to na router a ten ví že ze zdrojové podsítě pobočky 192.168.22.0/24 to má poslat do jiné routovací tabulky a ta má routu do sítě 192.168.1.0/24 směrovanou do tunelu

michnzee píše:Zkoušel jsem nastavení ale z routeru pobočky si stále nedokážu pingnout na jakékoli zařízení v síti centrály, podle mě se to stále snaží pingnout do sítě poskytovatele. Zítra to zkusím z nějakého lokálního počítače, jestli tam nebude nějaká zrada (jako že třeba to z routeru nepingne)...

Čteš vůbec pravidla co tam zadáváš? z routeru si nepingneš, nemáš src adresu 192.168.22.0/24, ale dle routovací tabulky tu 192.168.1.xxx na wa n rozhraní. Musel by jsi definovat routovaci tabulku "prace" a otazkou jak máš nastavené tunely a jejich adresaci

Tak to fungovalo na první dobrou, díky za pomoc.

Zmátlo mě to, že jsem si pingal přímo z routeru, což jak píšeš fungovat ani nemohlo. Z počítačů to už fungovalo téměř hned a svižně. Ještě jednou díky.