classic.ISPforum.cz

Zdravím, několikrát se mi letos stalo, že routa vedoucí do PPTP tunelu přestala zničeho nic fungovat, řádek zčervenal. To proto, že tunel se z různých důvodů rozpojil. Na tom není nic divného, až na to, že po naskočení tunelu se routa sama neobnovila a je bez dalšího zásahu trvale navedena do úplně jiného adaptéru. Toto není náhodný jev, žřejmě je něco špatně, nejspíše na mé straně. Je také možné, že moje představa, že by se obnovit měla, je mylná.
Je nějaký postup, jak tomu zabránit a udělat routu samoobnovitelnou? Díky předem, mpcz, 29oct2019

mpcz píše:Zdravím, několikrát se mi letos stalo, že routa vedoucí do PPTP tunelu přestala zničeho nic fungovat, řádek zčervenal. To proto, že tunel se z různých důvodů rozpojil. Na tom není nic divného, až na to, že po naskočení tunelu se routa sama neobnovila a je bez dalšího zásahu trvale navedena do úplně jiného adaptéru. Toto není náhodný jev, žřejmě je něco špatně, nejspíše na mé straně. Je také možné, že moje představa, že by se obnovit měla, je mylná.
Je nějaký postup, jak tomu zabránit a udělat routu samoobnovitelnou? Díky předem, mpcz, 29oct2019

1) PPTP je dynamickej iface, je to celkem předvídatelné chování, použij "check-gateway" parametr
2) používej BH routy, tím eliminuješ směrování do jiného iface při rozpojení tunelu

Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019

mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019

jo, hod ten pptp iface do bridge a NATuj na ten bridge

sub_zero píše:

mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019

jo, hod ten pptp iface do bridge a NATuj na ten bridge

Bridge vytvořit jde, ale nejde tam přihodit ten interface PPTP. Dík, 25nov2019

pod PPP profiles je možnost scriptů volaných při up i down.

ludvik píše:pod PPP profiles je možnost scriptů volaných při up i down.

Dík, a jak to prosím řeší ten problém s odpojovaným NATem? mpcz, 25nov2019

Samo o sobě to neřeší nic. Ale můžeš si napsat COKOLIV, co to má udělat při odpojení a co při připojení tunelu.

sub_zero píše:

mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019

jo, hod ten pptp iface do bridge a NATuj na ten bridge

Jak? A co to je BH routa - vyřeší to? Dík, mpcz, 25nov2019

sub_zero píše:

mpcz píše:Dík, 1/ se mi líbí, zkusil jsem a po naskočení tunelu se řádek správně aktualizuje. Stejný problém je ovšem i u řádku s NATem do tunelu, tam je také takové jednoduché řešení? mpcz, 29oct2019

jo, hod ten pptp iface do bridge a NATuj na ten bridge

nemůžeš, pptp není l2 tunel budeš muset udělat eoip aby šel do bridge nebo vpls

blackhole routa je přesně to, co naznačuje název ... černá díra.
A zajistí ti to, že pokud se tunel rozpadne, tak provoz co má jít jen do tunelu nepůjde nikdy jinam.

Stejnou routu bys měl mít i na hranicích své sítě.

V PPP profilu můžeš nastavit interface list a firewall/nat pravidla pak dělat na tento list a ne na samotný PPP interface. rsaf, 1574710965

rsaf píše:V PPP profilu můžeš nastavit interface list a firewall/nat pravidla pak dělat na tento list a ne na samotný PPP interface. rsaf, 1574710965

ano, souhlasím, Jirka, 4815162342

Dík, to bych mohl zkusit. Dalo by se to prosím více zpodrobnit? Nevím jak v command line, ale ve winboxu to není úplně na první pohled jasné, co a jak se kde nastavuje. Dík, mpcz, 28nov2019

Blackhole routa:
pokud používáš v síti např. adresy 192.168.x.y kde x máš různé sítě, lokality... tak je prostě dobrý nápad udělat něco jako

Pokud bude nějaká sít (typicky) 192.168.x.0/24 připojená (je naskočená VPN, existuje do ní platná routa) tak to pojede podle té more-specfic routy. Pokud ta routa není (vpn nejede...) tak se to bude zahazovat a nepoleze to do internetu (což nechceš, navíc to vytváří záznamy v conntrack které po naskočení vpn můžou dělat bordel)

profil:

Do NAT/firewall pravidel pak např. místo in-interface=pptpxxx dáš in-interface-list=vpncliiface


rsaf, 1574934810