Připojení k mikrotiku přes winbox do sítě za NATem

[michnzee]

Zdravím všechny, hledal jsem na netu ale nedostalo se mi uspokojivých informací - potřeboval bych nějakým způsobem získat kontrolu nad naším Mikrotikem, který je uvnitř sítě poskytovatele, bohužel bez veřejné IP adresy.

Na cetrále a dalších pobočkách máme veřejnou IP adresu, ale na jedné pobočce tu možnost nemáme. Abych měl přehled o dostupnosti a hlavně kontrolu k MK na jednotlivých pobočkách, vytvořil jsem mezi centrálou a pobočkami jednoduchý L2TP tunel, kde mi pobočky posílají pakety na centrálu a já jednoduše vidím, které pobočky jsou online. Navíc se do nich mohu jednoduše vzdáleně připojit, apod...

Problém nastal tehdy, kdy je jedna pobočka bez veřejné IP adresy a není tam možnost nastavit nějaké přesměrování apod. Mikrotik na pobočce se připojí na centrálu přes L2TP, hází pakety ale zvenčí se na něj prostě nedostanu.

Při každém L2TP spojení používám vlastní adresaci dle ofiko návodu:

Centrála (172.16.1.1) <-----> Pobočka1 (172.16.1.2)
Centrála (172.16.2.1) <-----> Pobočka2 (172.16.2.2)
Centrála (172.16.3.1) <-----> Pobočka3 (172.16.3.2)

Když se chci připojit na MK na Pobočka1 s veřejnou ip adresou, do Winboxu zadám adresu 172.16.1.2 a do administrace se dostanu bez problémů.

Pobočka3 je však bez veřejné IP adresy, od poskytovatele mám přiděleno 192.168.3.120, síť bude za natem poskytovatele a bůh ví jak hluboko jsem. Na našeho MK se tedy prostě připojit nemůžu... Neporadil by mi někdo, prosím, kdo to řeší podobně nebo nějakým lepším způsobem?

Kontroloval jsem si routy, a u nich se zdá že všechna spojení L2TP jsou v pohodě (reachable). Napadá někoho něco?

[ludvik]

Když tam máš ty tunely, tak se připojuj po vnitřních (což zjevně děláš) a je to. Když už to tam máš, tak proč to přes to neprovozovat?

Ale i s tím natem u poskytovatele to musí jít - ty víš, jaká ta IP je. On ti ji musí nasměrovat (DNATnout) na 192.168.3.120. A pak se pro tebe nic nemění, komunikuješ s tou veřejnou.

[michnzee]

No, já se právě snažím připojovat přes ty tunely, což u poboček s veřejkou funguje dobře.

Z té poslední pobočky, která je za NATem poskytovatele, v té síti internet normálně funguje ale z venčí se přes ten tunel nepřipojím. Říkal jsem si, že by to mohlo být pravidlem ve firewallu, ale v tom by problém neměl být.

Ještě mě napadlo, jestli nemůže být problém s propojováním subnetů a rozsahů místních IP adres, uvedu příklad konfigurace:

Na centrále je vnitřní rozsah 192.168.2.1/24
Pobočka1 má 192.168.1.1/24 (tunel 172.16.1.2)
Pobočka2 má 192.168.3.1/24 (tunel 172.16.2.2)
Pobočka3 má 192.168.10.1/24 (tunel 172.16.3.2)
Pobočka4 má 192.168.1.1/24 (tunel 172.16.4.2) (ta která je za natem)

[ludvik]

Tak pak ti asi vůbec nerozumím. Mimochodem - proč máš 192.168.1.0 dvakrát?

Pokud tunel jede (nevyznělo to, jakože ne), tak to prostě jít musí. Nějakej NAT tě už nezajímá.

[sub_zero]

A nepřipojuješ se náhodou na tu pobočku z jiné pobočky? /tunelem přes tu centrálu?/.
Nevidím žádný logický důvod, proč by to nemělo chodit /když se Ti spojí ten tunel, nemá do toho co jinýho kecat/. Co ICMP, odpovídá ta pobočka?

[michnzee]

No každá pobočka má svůj vlastní rozsah sítě, typicky nejšastěji 192.168.1.x nebo 192.168.2.x nebo 192.168.3.x.. dřív to tak prostě nezávisle na sobě nastavili. Nejde o to mít ty pobočky s centrálou nastavený jako jednu velkou síť (aby uživatelé mohli po síti všude), to spojení je tam jen na kontrolu spojení a na vzdálenou správu (proto neřeším ani zabezpečení, ipsec apod). Jde mi jen o to, aby ten MK, ať je kdekoli, abych k němu mohl mít přístup.

Přes ICMP mi MK na pobočce normálně odpovídá, ale do administrace se nedostanu.

[sub_zero]

zkus se na ten Mikrotik připojit přes telnet nebo SSH. HTTP Ti odpovídá?

[michnzee]

Nemůžou to mít na svědomí přeci jen ty routy?

[sub_zero]

Nemůžou to mít na svědomí přeci jen ty routy?

to by Ti ani nepingalo. Vyzkoušej tel telnet, ssh, http. Pokud to nepůjde, vyzkoušej se na ten Mikrotik dostat ještě z routeru co je na centrále (MAC telnet např.). Tím si ověříš ty routy.. ale dle mě je to hloupost.

[michnzee]

Ping přímo mezi MK Centrála a MK Pobočka jde v pohodě.

Když se spojím ze sítě centrály přes SSH na pobočku - nefunguje
Když si pingnu ze sítě centrály na pobočku - nefunguje
Když chci přes winbox ze sítě z centrály na pobočku - nefunguje
Když chci na webové rozhraní ze sítě centrály na pobočku - nefunguje

Tohle asi budou muset být routy, fakt mě už nenapadá čím by to mohlo být

Firewall na MK pobočky je kompletně vypnutej, abych zamezil použití špatného pravidla

[sub_zero]

A zkoušel ses na ten MK pobočky připojit přímo z MK centrály? Přes MAC telnet popř. SSH? Né za sítě, co máš na centrále, ale přímo z MK.

edit: pokud se tam dostaneš zadej:

Kód: Vybrat vše

ip route add dst-address= "síť na centrále" gateway= "adresa tunelu na centrale" disable=no

[michnzee]

A zkoušel ses na ten MK pobočky připojit přímo z MK centrály? Přes MAC telnet popř. SSH? Né za sítě, co máš na centrále, ale přímo z MK.

edit: pokud se tam dostaneš zadej:

Kód: Vybrat vše

ip route add dst-address= "síť na centrále" gateway= "adresa tunelu na centrale" disable=no

Přes MAC Telnet i SSH se tam dostanu.

Zkusím tam přidat tu manuální routu, o které píšeš. Po všech L2TP spojení se mi tam vytvořily modré routy s distance 1 (všechny mají distance 1), ale jsou reachable, není to nějak špatně?

[michnzee]

Tak jsem zkoušel všechno možný, tak jsem nastavoval.. a už mi nefunguje spojení nikam ať už z centrály, tak z poboček na centrálu, nějak se to nedá prostřelit z žádný strany... asi je čas na reboot ze zálohy

[michnzee]

Tak, pravděpodobně závada opravena. Hlavní chyba byla v nastavení routování.

Chyby, kterých jsem se dopustil:
1) pro každý MK na pobočce jsem si vytvořil samostatný rozsah (172.16.1.1-172.16.1.2, následně 172.16.2.1-172.16.2.2, apod)
2) další chybou bylo neodpovídající nastavení statických rout na centrálu (jak psal výše kolega - díky za upozornění, byly tam špatné adresy - odkaz přímo na L2TP spojení bez IP adres)
3) restartování zařízení - dokud jsem zařízení nerestartnul, zůstaly tam původní routy - při testování to podávalo chybné údaje

Řešením bylo nastavení jednotného rozsahu:

Centrála - 172.16.10.1
Pobočka1 - 172.16.10.2
Pobočka2 - 172.16.10.3
Pobočka3 - 172.16.10.4
atp...

ICMP, SSH, WinBox - vše funguje tak jak má děkuji za pomoc, za tipy, rady a návody.