Был настроен VPN и со стороны WAN я могу заходить на микротик, и с компа пингуется 192.168.88.1, но не пингуются и невозможно зайти на устройства подключенные к LAN микротика. Какие еще настройки нужны что бы можно было зайти на устройства лана ? к лан подключена убнт точка доступа.
-
-
Включите proxy-arp на внутреннем интерфейсе микротика к которому подключена внутренняя сеть, если внутренние интерфейсы объединены в bridge - то у bridge.
.Спойлер (+/-) (например)
С уважением, Sheavy. -
Здравствуйте ! У меня похожая проблема, но arp proxy не помог. Имеются так же еще 2 микротика с аналогичными настройками, но там все работает.
Пытался смотреть через снифер, rx есть, tx нету.
Что может быть не так?
Спасибо !
http://rghost.ru/54982552/image.pngПоследний раз редактировалось Sn1ffer; 06.05.2014, 13:57.Комментарий
-
Маршруты и их приоритеты смотрите. Это наиболее частая проблема.Комментарий
-
Тут все работает
Спойлер (+/-) (1)
А вот тут нет
Спойлер (+/-) (2)
вроде все идентично.Комментарий
-
Ну я же вам уже ответил, пропишите правильно приоритеты маршрутов и всё должно работать!
У вас сейчас что локальные, что VPN, что маршрут на интернет - всё с одинаковым приоритетом. Микротик ваши мысли читать не умеет, ему надо четко указывать, что куда и в какой последовательности отправлять.
Нулевой приоритет должны иметь только интерфейсы самого Микротика (LAN и WLAN порты), все VPN должны иметь приоритет меньше, а маршрут на Интернет всегда должен иметь самый низкий приоритет.Комментарий
-
Как можно задать приоритет у DAC и DAS ???Комментарий
-
Тип подключения какой? Я не экстрасенс.
Для VPN-подключений приоритеты задаются не в маршрутах, а в настройке самих VPN.
Комментарий
-
У Вас выставлена галка на add default route, да тогда distance задать можно, но мне не нужно использовать vpn как default route и соответственно если галка снята возможность задать distance отсутствует.Комментарий
-
Вот микротик на котором все работает
Спойлер (+/-) (interface)
lte1 как WAN сюда приходит инет, остальные порты ether1 и wlan1 объединены в bridge-local (активен только ether1 остальные вырублены), так же есть pptp_tunel (он тоже включен в bridge-local) без галки add default route
вот маршруты
Спойлер (+/-) (route)
.Этот видимо умеет.Микротик ваши мысли читать не умеет
Вот микротик, где все аналогично, но он не блещет экстрасенсорными способностями
Спойлер (+/-) (interface)
тут 3g_modem как WAN, остальные объединены в bridge-local включая и pptp_tunel, но тут работает как точка, активен wlan1, а ether1 только как PoE
вот маршруты
Спойлер (+/-) (route)
Последний раз редактировалось Sn1ffer; 07.05.2014, 15:23.Комментарий
-
Я вам еще раз говорю, маршрут на интернет у вас не должен иметь приоритет 0! Это понятно?
Иначе у вас всё будет работать не так, как надо, а "куда бог пошлет". Что и наблюдается.
При одинаковых приоритетах маршрутов и частично пересекающихся диапазонах адресов (а 0.0.0.0 пересекается со всеми другими адресами, поскольку означает "все возможные адреса"), ваш локальный трафик будет ходить по первому попавшемуся маршруту. Одному Микротику видимо первым попался правильный маршрут (повезло) а второй всё шлет на шлюз по умолчанию.Комментарий
-
VPN должны иметь приоритет меньше, а маршрут на Интернет всегда должен иметь самый низкий приоритет.
Спойлер (+/-) (route priority)
Сделал как Вы сказали, но результата нет.Комментарий
-
То есть вы пытаетесь подключиться к МТ по PPtP, но при этом не можете попасть в локалку за МТ, я вас правильно понимаю?
На сам МТ попасть можете?
С МТ ваш адрес по VPN доступен?
И еще, сделайте пожалуйста трассировку маршрута с устройства, с которого подключаетесь, на любое устройство в локалке МТ. А затем наоборот. Надо разобраться, куда отправляются пакеты. А уже потом будем разбираться, почему туда.Комментарий
-
Да, Микротик (LAN 192.168.223.0/24) как VPN клиент конектится к коробке с Debian (LAN 192.168.222.0/24). Он получает ip 192.168.222.10, соответственно на Debian прописывается маршрут route add -net 192.168.223.0/24 gw 192.168.222.10
пингуется 192.168.222.10, 192.168.223.1, можем зайти на сам микротик, но дальше никак. Пробовал пробросить порты на железки внутри 223.0, тоже глухо
Вот route Debian
Спойлер (+/-) (route debian)
trace из сети 223.0 до Debian
Спойлер (+/-) (trace from 223)
trace из сети 223.0 в сеть 224.0 (тоже микротик)
Спойлер (+/-) (trace from 223)
trace с Debian в сеть 223.0
Спойлер (+/-) (trace to 223)Комментарий
-
Возможно вопрос покажется дурацким, но нигде ничего "лишнего" не осталось? Типа NAT, Mangle, Firewall?Комментарий
Комментарий