Zdravím, několikrát se mi letos stalo, že routa vedoucí do PPTP tunelu přestala zničeho nic fungovat, řádek zčervenal. To proto, že tunel se z různých důvodů rozpojil. Na tom není nic divného, až na to, že po naskočení tunelu se routa sama neobnovila a je bez dalšího zásahu trvale navedena do úplně jiného adaptéru. Toto není náhodný jev, žřejmě je něco špatně, nejspíše na mé straně. Je také možné, že moje představa, že by se obnovit měla, je mylná.
Je nějaký postup, jak tomu zabránit a udělat routu samoobnovitelnou? Díky předem, mpcz, 29oct2019
❗️Toto je původní ISPforum.cz ve stavu k únoru 2020 běžící v omezeném režimu pro archivační účely. Aktivní verzi naleznete na adrese https://telekomunikace.cz
Routa do PPTP tunelu
- sub_zero
- Příspěvky: 1741
- Registrován: 20 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
mpcz píše:Zdravím, několikrát se mi letos stalo, že routa vedoucí do PPTP tunelu přestala zničeho nic fungovat, řádek zčervenal. To proto, že tunel se z různých důvodů rozpojil. Na tom není nic divného, až na to, že po naskočení tunelu se routa sama neobnovila a je bez dalšího zásahu trvale navedena do úplně jiného adaptéru. Toto není náhodný jev, žřejmě je něco špatně, nejspíše na mé straně. Je také možné, že moje představa, že by se obnovit měla, je mylná.
Je nějaký postup, jak tomu zabránit a udělat routu samoobnovitelnou? Díky předem, mpcz, 29oct2019
1) PPTP je dynamickej iface, je to celkem předvídatelné chování, použij "check-gateway" parametr
2) používej BH routy, tím eliminuješ směrování do jiného iface při rozpojení tunelu
0 x
-
mpcz
- Příspěvky: 2779
- Registrován: 20 years ago
Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
0 x
- sub_zero
- Příspěvky: 1741
- Registrován: 20 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
jo, hod ten pptp iface do bridge a NATuj na ten bridge
0 x
-
mpcz
- Příspěvky: 2779
- Registrován: 20 years ago
sub_zero píše:mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
jo, hod ten pptp iface do bridge a NATuj na ten bridge
Bridge vytvořit jde, ale nejde tam přihodit ten interface PPTP. Dík, 25nov2019
0 x
-
ludvik
- Příspěvky: 4448
- Registrován: 15 years ago
-
mpcz
- Příspěvky: 2779
- Registrován: 20 years ago
ludvik píše:pod PPP profiles je možnost scriptů volaných při up i down.
Dík, a jak to prosím řeší ten problém s odpojovaným NATem? mpcz, 25nov2019
0 x
-
ludvik
- Příspěvky: 4448
- Registrován: 15 years ago
Samo o sobě to neřeší nic. Ale můžeš si napsat COKOLIV, co to má udělat při odpojení a co při připojení tunelu.
0 x
-
mpcz
- Příspěvky: 2779
- Registrován: 20 years ago
sub_zero píše:mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
jo, hod ten pptp iface do bridge a NATuj na ten bridge
Jak? A co to je BH routa - vyřeší to? Dík, mpcz, 25nov2019
0 x
- okoun
- Příspěvky: 6980
- Registrován: 17 years ago
- antispam: Ano
- Bydliště: Mordor
sub_zero píše:mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
jo, hod ten pptp iface do bridge a NATuj na ten bridge
nemůžeš, pptp není l2 tunel budeš muset udělat eoip aby šel do bridge nebo vpls
0 x
-
ludvik
- Příspěvky: 4448
- Registrován: 15 years ago
blackhole routa je přesně to, co naznačuje název ... černá díra.
A zajistí ti to, že pokud se tunel rozpadne, tak provoz co má jít jen do tunelu nepůjde nikdy jinam.
Stejnou routu bys měl mít i na hranicích své sítě.
A zajistí ti to, že pokud se tunel rozpadne, tak provoz co má jít jen do tunelu nepůjde nikdy jinam.
Stejnou routu bys měl mít i na hranicích své sítě.
0 x
-
rsaf
- Příspěvky: 1669
- Registrován: 19 years ago
V PPP profilu můžeš nastavit interface list a firewall/nat pravidla pak dělat na tento list a ne na samotný PPP interface. rsaf, 1574710965
0 x
- sub_zero
- Příspěvky: 1741
- Registrován: 20 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
rsaf píše:V PPP profilu můžeš nastavit interface list a firewall/nat pravidla pak dělat na tento list a ne na samotný PPP interface. rsaf, 1574710965
ano, souhlasím, Jirka, 4815162342
1 x
-
mpcz
- Příspěvky: 2779
- Registrován: 20 years ago
Dík, to bych mohl zkusit. Dalo by se to prosím více zpodrobnit? Nevím jak v command line, ale ve winboxu to není úplně na první pohled jasné, co a jak se kde nastavuje. Dík, mpcz, 28nov2019
0 x
-
rsaf
- Příspěvky: 1669
- Registrován: 19 years ago
Blackhole routa:
pokud používáš v síti např. adresy 192.168.x.y kde x máš různé sítě, lokality... tak je prostě dobrý nápad udělat něco jako
Pokud bude nějaká sít (typicky) 192.168.x.0/24 připojená (je naskočená VPN, existuje do ní platná routa) tak to pojede podle té more-specfic routy. Pokud ta routa není (vpn nejede...) tak se to bude zahazovat a nepoleze to do internetu (což nechceš, navíc to vytváří záznamy v conntrack které po naskočení vpn můžou dělat bordel)
profil:
Do NAT/firewall pravidel pak např. místo in-interface=pptpxxx dáš in-interface-list=vpncliiface
rsaf, 1574934810
pokud používáš v síti např. adresy 192.168.x.y kde x máš různé sítě, lokality... tak je prostě dobrý nápad udělat něco jako
Kód: Vybrat vše
/ip route add dst-address=192.168.0.0/16 type=blackholePokud bude nějaká sít (typicky) 192.168.x.0/24 připojená (je naskočená VPN, existuje do ní platná routa) tak to pojede podle té more-specfic routy. Pokud ta routa není (vpn nejede...) tak se to bude zahazovat a nepoleze to do internetu (což nechceš, navíc to vytváří záznamy v conntrack které po naskočení vpn můžou dělat bordel)
profil:
Kód: Vybrat vše
/interface list add name=vpncliiface
/ppp profile add copy-from=default-encryption name=vpncli interface-list=vpncliiface
/interface pptp-client add _PARAMETRY_ profile=vpncli
Do NAT/firewall pravidel pak např. místo in-interface=pptpxxx dáš in-interface-list=vpncliiface
rsaf, 1574934810
0 x