MikroTik & Реал

[Gennady68]

Сгорел мой очередной ASUS (на этот раз ASUS RT-N13U)

Почитав темы выбора роутера - остановился на MIKROTIK RB/750G.

 

1) сделал [admin@MikroTik] > System> reset

2) Настроил DHCP клиент на интерфейсе к которому подключен провайдер:

[admin@MikroTik] > ip dhcp-client add interface=ether1 disabled=no

[admin@MikroTik] > ip dhcp-client print detail

Flags: X - disabled, I - invalid

0 interface=ether1 add-default-route=yes default-route-distance=1 use-peer-dns=yes use-peer-ntp=yes status=bound

address=10.168.214.29/24 gateway=10.168.214.1 dhcp-server=10.168.214.3 primary-dns=195.82.134.6 secondary-dns=62.33.183.254

expires-after=9m26s

3) Установил PPTP клиента

[admin@MikroTik] > interface pptp-client add name=vpn-test connect-to=1.1.1.1 user=john add-default-route=yes password=john disabled=no

[admin@MikroTik] > interface pptp-client print

Flags: X - disabled, R - running

0 R name="vpn-test" max-mtu=1460 max-mru=1460 mrru=disabled connect-to=1.1.1.1 user="john" password="john"

profile=default-encryption add-default-route=yes dial-on-demand=no allow=pap,chap,mschap1,mschap2

 

Судя по этому и по логам соединение установлено.

Однако даю в терминале

[admin@MikroTik] > ping ya.ru

87.250.251.3 ping timeout

87.250.251.3 ping timeout

87.250.251.3 ping timeout

3 packets transmitted, 0 packets received, 100% packet loss

В чем может быть проблема?

 

вот маршрутизация - вся получена динамически.

 

[admin@MikroTik] > ip route print

Flags: X - disabled, A - active, D - dynamic,

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADS 0.0.0.0/0 10.168.214.1 0

1 DS 0.0.0.0/0 1.1.1.1 1

2 ADC 1.1.1.1/32 10.44.151.167 pptp-real 0

3 ADC 10.168.214.0/24 10.168.214.25 ether1 0

4 ADC 192.168.88.0/24 192.168.88.1 ether3 0

 

если комп с ХР подрубить напрямую

маршрутизация такая

===========================================================================

Активные маршруты:

Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика

0.0.0.0 0.0.0.0 10.44.4.193 10.44.4.193 1

0.0.0.0 0.0.0.0 10.168.214.1 10.168.214.33 21

1.1.1.1 255.255.255.255 10.168.214.1 10.168.214.33 20

10.1.2.0 255.255.255.0 10.168.214.2 10.168.214.33 1

10.5.0.0 255.255.0.0 10.168.214.2 10.168.214.33 1

10.8.0.0 255.255.0.0 10.168.214.2 10.168.214.33 1

10.44.4.193 255.255.255.255 127.0.0.1 127.0.0.1 50

10.168.0.0 255.255.0.0 10.168.214.2 10.168.214.33 1

10.168.214.0 255.255.255.0 10.168.214.33 10.168.214.33 20

10.168.214.33 255.255.255.255 127.0.0.1 127.0.0.1 20

10.255.255.255 255.255.255.255 10.44.4.193 10.44.4.193 50

10.255.255.255 255.255.255.255 10.168.214.33 10.168.214.33 20

127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

224.0.0.0 240.0.0.0 10.168.214.33 10.168.214.33 20

224.0.0.0 240.0.0.0 10.44.4.193 10.44.4.193 1

255.255.255.255 255.255.255.255 10.44.4.193 10.44.4.193 1

255.255.255.255 255.255.255.255 10.168.214.33 3 1

255.255.255.255 255.255.255.255 10.168.214.33 10.168.214.33 1

Основной шлюз: 10.44.4.193

===========================================================================

Постоянные маршруты:

Отсутствует

[220]

ты хоть логин с паролем затри

[Gennady68]

это не мой

[Alex Novo]

http://pcrouter.ru/ipb/lofiversion/index.php/t310.html

 

Упс, уже отписался там же)

 

Проблема в 0 ADS 0.0.0.0/0 10.168.214.1 0 (надо или вес маршрута уменьшить, или сеть 10/8 туда прописать, или удалить маршрут по умолчанию).

 

"ничего удивительного, маршрут 0.0.0.0/0 10.5.31.3 ether2 обозначет, что все, в том числе интернет находится за шлюзом 10.5.31.3, а после поднятия впна, добавляется 0.0.0.0/0 217.76.183.252 1 VPN, который говорит что все находится за 217.76.183.252 шлюзом, и т.к. 10.5.31.3 был подключен первый и корректно работает, т.е. отвечает что сеть недоступна =) на второй шлюз не переключатеся, поэтому с первым роутом сделали маленькую кастрацию и сказали, что за ним только 10/8 подсеть"

 

А при PPPOE все у вас работает, ибо весь интернет доступен через шлюз по умолчанию:

 

admin@MikroTik] > ip route print

Flags: X - disabled, A - active, D - dynamic,

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADS 0.0.0.0/0 1.1.1.1 1

1 ADC 1.1.1.1/32 10.44.45.245 pppoe-test 0

2 ADC 192.168.88.0/24 192.168.88.1 ether3 0 0

 

По-моему так, могу ошибаться...

[Gennady68]

что то не получается.

убрал у DHCP-клиета add default route

сразу исчез маршрут 0 ADS 0.0.0.0/0 10.168.214.1 0

вместо него прописал статический 2 A S 10.0.0.0/8 10.168.214.1 1

все осталось по прежнему

 

[admin@MikroTik] > ip route print

Flags: X - disabled, A - active, D - dynamic,

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 ADS 0.0.0.0/0 1.1.1.1 1

1 ADC 1.1.1.1/32 10.44.57.253 vpn-test 0

2 A S 10.0.0.0/8 10.168.214.1 1

3 ADC 10.168.214.0/24 10.168.214.87 ether1 0

4 ADC 192.168.88.0/24 192.168.88.1 ether3 0

[admin@MikroTik] > ping ya.ru

77.88.21.3 ping timeout

77.88.21.3 ping timeout

3 packets transmitted, 0 packets received, 100% packet loss

 

кстати вроде не писал еще об этом

каждые 63 сек рвет pptp-client

может не там рою?

[jnc]

/ip route add dst-address=1.1.1.2 gateway=10.168.214.1

 

И коннектица не к 1.1.1.1, а к 1.1.1.2.

[Alex Novo]

Выходит, не могет пробиться через NAT провайдера?

[Gennady68]

jnc

 

спасибо. заработал.

[jnc]

Alex Novo

Могёт, там фишка в том, что PPTP-соединение устанавливается с 1.1.1.1. После его поднятия, образуется новый шлюз, и PPTP-пакетики до 1.1.1.1 идут теперь уже внутри туннеля, а не снаружи. Естественно, такое не работает и через некоторое время туннель отваливается по таймауту.

[Alex Novo]

Ясно, спасибо за наставление на истинный путь.

[IteN]

Доброго времени суток!

Знатоки работаю с Микротиками относительно недавно столкнулся вот точно с такой же проблемой, получается локальные ресурсы видит, а в инет выходить не через ВПН не хочет маршрутизация такая:

[admin@MikroTik] > ip route print             
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                                       213.128.3.254             0
 1   S  0.0.0.0/0                                                 Nertis                    1
 2  DS  0.0.0.0/0                                          192.168.2.70              1
 3   S  0.0.0.0/0                                                ether2                    1
 4 ADC  192.168.1.0/24           192.168.1.1     ether2                    0
 5 A S  192.168.2.0/24                                      Nertis                    1
 6 ADC  192.168.2.70/32    192.168.2.78         Nertis                    0
 7 ADC  213.128.3.128/25   213.128.3.249      ether1                    0
 8 A S  213.128.7.33/32                                   ether1                    1
Под Netis скрывается ВПН Клиент.
Когда делаю трасеровку выдает вот это

[admin@MikroTik] > /tool traceroute
address: ya.ru
 # ADDRESS                                 RT1   RT2   RT3   STATUS              
 1 213.128.3.254                           5ms   1ms   1ms                       
 2 172.17.0.2                                 1ms   1ms   1ms                       
 3 0.0.0.0                                       0ms   0ms   0ms                       
 4 0.0.0.0                                       0ms   0ms   0ms          

ТОесть идет по маршруту Ether1, когда мне над очтоб шел через 192.168.2.70.
Помогите пжл кто что знает уже просто нет сил боротся.



 

[jnc]

пришлите вывод /export compact

[IteN]

[admin@MikroTik] > /export compact
# jan/02/1970 03:04:48 by RouterOS 5.25
# software id = CRXG-CKP8
#
/interface ethernet
set 0 comment=WAN mac-address=00:14:D1:15:A7:27
set 1 comment=LAN
/interface pptp-client
add add-default-route=yes connect-to=10.204.2.17 disabled=no name=Nertis \
    password=ххххх user="Nertis\\irina"
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys wpa-pre-shared-key=469902F4D67C wpa2-pre-shared-key=\
    469902F4D67C
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=pool ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether2 name=dhcp1
/interface bridge port
add interface=ether1
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.1.1/24 interface=ether2
/ip dhcp-client
add default-route-distance=0 disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.2.22 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=192.168.2.22
/ip firewall address-list
add address=192.168.1.10 list=Internet
add address=192.168.1.43 list=Internet
add address=192.168.1.31 list=Internet
add address=192.168.1.18 list=Internet
/ip firewall filter
add chain=input comment="Added by webbox" protocol=icmp
add chain=input comment="Added by webbox" connection-state=established \
    in-interface=ether1
add chain=input dst-port=1723 in-interface=ether1 protocol=tcp
add chain=input comment="Added by webbox" connection-state=related \
    in-interface=ether1
add action=drop chain=input comment="Added by webbox" in-interface=ether1
add action=jump chain=forward comment="Added by webbox" in-interface=ether1 \
    jump-target=customer
add chain=customer comment="Added by webbox" connection-state=established
add chain=customer comment="Added by webbox" connection-state=related
add action=drop chain=customer comment="Added by webbox"
/ip firewall mangle
add chain=forward in-interface=Nertis protocol=udp
add chain=forward out-interface=Nertis protocol=udp
add action=mark-routing chain=prerouting in-interface=Nertis new-routing-mark=\
    nst passthrough=no
add action=mark-connection chain=prerouting in-interface=Nertis \
    new-connection-mark=nst passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address-list=\
    Internet
add action=masquerade chain=srcnat out-interface=Nertis
add action=netmap chain=dstnat dst-address=192.168.2.78 dst-port=5650 \
    in-interface=Nertis protocol=tcp to-addresses=192.168.1.10 to-ports=5650
/ip route
add distance=1 gateway=Nertis
add distance=1 gateway=ether2
add distance=1 dst-address=192.168.2.0/24 gateway=Nertis
add distance=1 dst-address=213.128.7.33/32 gateway=ether1
/ip service
set winbox address=192.168.2.19/32,213.128.7.33/32
/ip upnp
set allow-disable-external-interface=no enabled=yes
/ip upnp interfaces
add interface=ether1 type=external
add interface=ether2 type=internal
add interface=ether3 type=internal
add interface=ether4 type=internal
add interface=ether5 type=internal
add interface=wlan1 type=internal
add interface=Nertis type=internal
/ppp secret
add local-address=10.204.1.17 name=IteN password=хххххх remote-address=\
    192.168.1.155
/system leds
set 0 interface=wlan1
/tool graphing interface
add
 

[jnc]

А это к какому провайдеру вы так пытаетесь присоединиться?

[IteN]

Если объяснять всю цепь, то получается такая вот схема, Есть Головной офис который раздает интернет, есть второй офис которому этот интернет нужно дать, т.к. через провайдера которого сидит офис 2 он тарифицированный, и деньги быстро уходят, вот я и хочу их зацепить через наш офис, да в головном офисе стоит не Микрот, а Win Server c ISA managerом, причем я вижу их на Иса что они подключаются, для них Есть правила, с Самого сервака я нормально пингую 192,168,1, но все равно Инет не проходит. Уже голову ломаю больше недели. Может будут какие нибудь предложения?

[jnc]

У вас какая-то каша в настройках непонятная.  Как вы свяжете офис2 с головным офисом?  Через провайдера, у которого трафик тарифицируемый?  Так это ж ничего не даст.  Или есть прямая нетарифицируемая связь между офисами?

[IteN]

Между офисами локальная сеть, которая не тарифицируется, тоесть идет локальный трафик через провайдера. Я вообще с Норильска, у нас дешевый нет только через спутник.

[jnc]

Поставьте default-route-distance=2 в ip/dhcp-client, по идее, должно заработать.  Но у вас такая каша из маршрутов и левых настроек, что хз...  

[IteN]

Да вижу! Просто уже скинул то чего только что не делал!! Просто это уже переборка того что было! :о) Спасибо сегодня попробую.

[IteN]

Зделал все как сказали написали!! Не получилось даже отваливается клиент!

[grabla]

@jnc,  Здравствуйте. Подскажите у меня такая же проблема что и у автора темы. Роутер MikroTik rb2011uias-2hnd-in Версия ПО  RouterOS 6.27 Проблема в том, что при подключенном pptp соединении не хочет пинговать сайты в терминале а соответственно не дает инет клиентам. А pppoe соединение работает хорошо. Раньше был роутер Tp-link всегда сидел через pptp было гуд. Помогите пожалуйста.

 

admin@MikroTik] > ip route print

Flags: X - disabled, A - active, D - dynamic, 

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 

B - blackhole, U - unreachable, P - prohibit 

 #          DST-ADDRESS         PREF-SRC          GATEWAY            DISTANCE

 0 ADS   0.0.0.0/0                                              192.168.18.1               1

 1 ADC  192.168.18.0/24      192.168.18.243    ether1 WAN                0

 2 ADC  192.168.88.0/24      192.168.88.1        bridge-local                 0

 3 ADC  193.33.241.240/32  172.16.3.126        pptp-Internet               0

[xaker1]

@grabla, похоже что add-default-route у  pptp-Internet выставлен в no. Установите yes и проверьте. Возможно понадобится увеличить default-route-distance у dhcp client и прописать маршрут до 1.1.1.1/32 через 192.168.18.1

[Mr.Pig]

@grabla, похоже что add-default-route у  pptp-Internet выставлен в no. Установите yes и проверьте. Возможно понадобится увеличить default-route-distance у dhcp client и прописать маршрут до 1.1.1.1/32 через 192.168.18.1

 

192.168 - не Реал, а соседский роутер задом наперёд.

 

Реал - это 10.168,  и на конце 2, а не 1 шлюз.

 

Вот скрин с одной железки, работающей на Реале:  http://prntscr.com/6njpzu

 

ps. Сосед, падла, ну не даёшь людям pptp поднять - ну ты хоть дай инета своего народу !!!

[Миша777]

тока шлюз у автора может быть другой

[jnc]

@grabla, зачем вам PPTP?  Мы его не поддерживаем, используйте PPPoE.