Zdravím, několikrát se mi letos stalo, že routa vedoucí do PPTP tunelu přestala zničeho nic fungovat, řádek zčervenal. To proto, že tunel se z různých důvodů rozpojil. Na tom není nic divného, až na to, že po naskočení tunelu se routa sama neobnovila a je bez dalšího zásahu trvale navedena do úplně jiného adaptéru. Toto není náhodný jev, žřejmě je něco špatně, nejspíše na mé straně. Je také možné, že moje představa, že by se obnovit měla, je mylná.
Je nějaký postup, jak tomu zabránit a udělat routu samoobnovitelnou? Díky předem, mpcz, 29oct2019
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Routa do PPTP tunelu
-
sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
mpcz píše:Zdravím, několikrát se mi letos stalo, že routa vedoucí do PPTP tunelu přestala zničeho nic fungovat, řádek zčervenal. To proto, že tunel se z různých důvodů rozpojil. Na tom není nic divného, až na to, že po naskočení tunelu se routa sama neobnovila a je bez dalšího zásahu trvale navedena do úplně jiného adaptéru. Toto není náhodný jev, žřejmě je něco špatně, nejspíše na mé straně. Je také možné, že moje představa, že by se obnovit měla, je mylná.
Je nějaký postup, jak tomu zabránit a udělat routu samoobnovitelnou? Díky předem, mpcz, 29oct2019
1) PPTP je dynamickej iface, je to celkem předvídatelné chování, použij "check-gateway" parametr
2) používej BH routy, tím eliminuješ směrování do jiného iface při rozpojení tunelu
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
jo, hod ten pptp iface do bridge a NATuj na ten bridge
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
sub_zero píše:mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
jo, hod ten pptp iface do bridge a NATuj na ten bridge
Bridge vytvořit jde, ale nejde tam přihodit ten interface PPTP. Dík, 25nov2019
0 x
pod PPP profiles je možnost scriptů volaných při up i down.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
ludvik píše:pod PPP profiles je možnost scriptů volaných při up i down.
Dík, a jak to prosím řeší ten problém s odpojovaným NATem? mpcz, 25nov2019
0 x
Samo o sobě to neřeší nic. Ale můžeš si napsat COKOLIV, co to má udělat při odpojení a co při připojení tunelu.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
sub_zero píše:mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
jo, hod ten pptp iface do bridge a NATuj na ten bridge
Jak? A co to je BH routa - vyřeší to? Dík, mpcz, 25nov2019
0 x
sub_zero píše:mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019
jo, hod ten pptp iface do bridge a NATuj na ten bridge
nemůžeš, pptp není l2 tunel budeš muset udělat eoip aby šel do bridge nebo vpls
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...
blackhole routa je přesně to, co naznačuje název ... černá díra.
A zajistí ti to, že pokud se tunel rozpadne, tak provoz co má jít jen do tunelu nepůjde nikdy jinam.
Stejnou routu bys měl mít i na hranicích své sítě.
A zajistí ti to, že pokud se tunel rozpadne, tak provoz co má jít jen do tunelu nepůjde nikdy jinam.
Stejnou routu bys měl mít i na hranicích své sítě.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
V PPP profilu můžeš nastavit interface list a firewall/nat pravidla pak dělat na tento list a ne na samotný PPP interface. rsaf, 1574710965
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
rsaf píše:V PPP profilu můžeš nastavit interface list a firewall/nat pravidla pak dělat na tento list a ne na samotný PPP interface. rsaf, 1574710965
ano, souhlasím, Jirka, 4815162342
1 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Dík, to bych mohl zkusit. Dalo by se to prosím více zpodrobnit? Nevím jak v command line, ale ve winboxu to není úplně na první pohled jasné, co a jak se kde nastavuje. Dík, mpcz, 28nov2019
0 x
Blackhole routa:
pokud používáš v síti např. adresy 192.168.x.y kde x máš různé sítě, lokality... tak je prostě dobrý nápad udělat něco jako
Pokud bude nějaká sít (typicky) 192.168.x.0/24 připojená (je naskočená VPN, existuje do ní platná routa) tak to pojede podle té more-specfic routy. Pokud ta routa není (vpn nejede...) tak se to bude zahazovat a nepoleze to do internetu (což nechceš, navíc to vytváří záznamy v conntrack které po naskočení vpn můžou dělat bordel)
profil:
Do NAT/firewall pravidel pak např. místo in-interface=pptpxxx dáš in-interface-list=vpncliiface
rsaf, 1574934810
pokud používáš v síti např. adresy 192.168.x.y kde x máš různé sítě, lokality... tak je prostě dobrý nápad udělat něco jako
Kód: Vybrat vše
/ip route add dst-address=192.168.0.0/16 type=blackholePokud bude nějaká sít (typicky) 192.168.x.0/24 připojená (je naskočená VPN, existuje do ní platná routa) tak to pojede podle té more-specfic routy. Pokud ta routa není (vpn nejede...) tak se to bude zahazovat a nepoleze to do internetu (což nechceš, navíc to vytváří záznamy v conntrack které po naskočení vpn můžou dělat bordel)
profil:
Kód: Vybrat vše
/interface list add name=vpncliiface
/ppp profile add copy-from=default-encryption name=vpncli interface-list=vpncliiface
/interface pptp-client add _PARAMETRY_ profile=vpncli
Do NAT/firewall pravidel pak např. místo in-interface=pptpxxx dáš in-interface-list=vpncliiface
rsaf, 1574934810
0 x