Πρόσβαση σε Mikrotik πίσω από CGNAT

[BillyVan]

Δεν ειδα ολο το config αλλα σιγουρα ενα απ τα παρακατω....

Bridge βαλε arp=proxy-arp

Αν παιξει οκ.

Αν οχι κανε ενα γενικο masquerade και θα ειναι οκ

[atux_null]

Δεν ειδα ολο το config αλλα σιγουρα ενα απ τα παρακατω....

Bridge βαλε arp=proxy-arp

Αν παιξει οκ.

Αν οχι κανε ενα γενικο masquerade και θα ειναι οκ

για βοήθα λίγο που. σε ποιό από τα 2 router? δες το όλο αν μπορείς κ πες μου.

- - - Updated - - -

έβαλα στο bridge την επιλογή proxy-arp. έτσι κατάφερα από το client pc να βλέπω τα μηχανήματα πίσω από τον server router.
το αντίθετο δεν μου δουλεύει. δηλαδή από pc στο κεντρικό router δεν μπορώ να δω μηχάνημα πίσω από τον client. ούτε ping στα interfaces του client router δεν μπορώ.

[BillyVan]

Το αρχικο σου ερωτημα εχει απαντηθει κι εχει γινει η συνδεση μεταξυ των σημειων που ηθελες.

Οι μικρορυθμισεις εχουν να κανουν με την ιδιαιτεροτητα του καθε δικτυου πισω απ τα ρουτερ.

Δεν μπορουμε ναμαστε στο μυαλο σου ουτε και την εικονα του δικτυου έχουμε οπως καταλαβαινεις.

Επισης αν δεν κατσεις και δεν προσπαθησεις και λιγο μονος σου δεν θα το μαθεις ποτε.

Και στα λεω φιλικα ολα αυτα.

Παμε τωρα.

1. Κανε tracert απο εκει που θες να βγεις προς το δικτυο που θες να βλεπεις. α) Σε πηγαινει απ το vpn δικτυο? β) Ειναι διαφορετικο subnet?

Απαραίτητη προυπόθεση στα vpn δικτυα ειναι να μην εχουμε ιδια subnet στα ρουτερ γιατι το χασαμε μετα.

2. Μεσα απ το Μικροτικ κανε traceroute ip του αλλου δικτυου και αν το βλεπεις οκ τοτε πρεπει να κανεις masquerade για να μπορεσουν οι πισω σου να το δουν

Αν και παλι δε βγαλεις ακρη

4. Κανε reboot ξανα και δοκιμασε.

5. export file xxxxxx terse και απ τα δυο ρουτερ να το δουμε

Δεν παει καπου αλλου το μυαλό μου και δεν ειμαι expert.


υ.γ.
Υπάρχει και μια μικρη πιθανοτητα να ειναι κατι στα windows, καπου τελευταια διαβασα για ενα πακετο αναβαθμισης που δημιουργουσε θεματα.

Δοκιμασε μια φορα με dhcp και μετα με στατικη ip στο PC που κανεις τη δοκιμή.

[dalex]

Απαραίτητη προυπόθεση στα vpn δικτυα ειναι να μην εχουμε ιδια subnet στα ρουτερ γιατι το χασαμε μετα.

Πολυ σωστα! Αλλα και οχι... Τελευταια (ξανα) ανακαλυψα το EoIP tunnel που σηκωνει ενα virtual ethernet που ενωνει δυο εκατερωθεν bridges με τη MAC του και τα ολα του! Και ετσι τα δυο ακρα μοιραζονται ενα κοινο υποδικτυο. Μεταφερω τα extensions του PBX σε remote bases ετσι τελευταια με μεγαλη επιτυχια. Ουτε ΝΑΤ, ουτε τιποτα.

Αυτα θα τα δει αργοτερα αφου δουλεψει πρωτα με την πεπατημενη (οπως του συνιστας).

[atux_null]

επισυνάπτω το διάγραμμά δικτύου, τα configs, όπως και traceroute από κάθε σημείο. ένα router σε κάθε σημείο όπου ενώνονται μέσω l2tp. Δεν βλέπω από τα PC του ενός δικτύου, τα PCs του άλλου δικτύου.

Κώδικας:

Server_LAN:172.16.5.1/24

&

Κώδικας:

Client_LAN:192.168.175.1/24

Κώδικας:

l2tp:192.168.22.121-122

Client routes/traceroute

Client Config

Κώδικας:

/interface bridge add comment=WAN name=bridge1
/interface bridge add comment=LAN name=bridge2
/interface l2tp-client add comment=VPN connect-to=atuxnull.sn.mynetname.net disabled=no ipsec-secret=yadafooatuxn name=l2tp-out1 password=atuxnull use-ipsec=yes user=muj
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/interface wireless security-profiles add authentication-types=wpa2-psk,wpa2-eap mode=dynamic-keys name=internet_password supplicant-identity="" wpa2-pre-shared-key=4gbtn2f7gk2kskt2
/interface wireless security-profiles add authentication-types=wpa2-psk,wpa2-eap mode=dynamic-keys name=my_wifi_passowrd supplicant-identity="" wpa2-pre-shared-key=atuxnull
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC country=greece disabled=no frequency=2432 security-profile=internet_password ssid=COSMOTE-123456 wireless-protocol=802.11
/interface wireless add disabled=no keepalive-frames=disabled mac-address=76:4D:28:84:DB:44 master-interface=wlan1 multicast-buffering=disabled name=wlan2 security-profile=my_wifi_passowrd ssid=Mikrotik_hap_mini wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip pool add name=dhcp_pool1 ranges=192.168.175.170-192.168.175.199
/ip dhcp-server add address-pool=dhcp_pool1 disabled=no interface=bridge2 name=dhcp1
/interface bridge port add bridge=bridge1 interface=wlan1
/interface bridge port add bridge=bridge2 interface=wlan2
/interface bridge port add bridge=bridge2 interface=ether2
/interface bridge port add bridge=bridge2 interface=ether3
/interface bridge port add bridge=bridge1 interface=ether1
/ip neighbor discovery-settings set discover-interface-list=!dynamic
/ip address add address=192.168.175.1/24 interface=bridge2 network=192.168.175.0
/ip dhcp-client add disabled=no interface=bridge1
/ip dhcp-server network add address=192.168.175.0/24 dns-server=8.8.8.8,4.4.2.2 gateway=192.168.175.1
/ip firewall nat add action=masquerade chain=srcnat out-interface=bridge1
/system clock set time-zone-name=Europe/Athens
/system ntp client set enabled=yes primary-ntp=62.12.167.189 secondary-ntp=162.159.200.123

Server routes/traceroutes


Server config

Κώδικας:

/interface bridge add arp=proxy-arp name=bridge1
/interface bridge add name=bridge2
/interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=yadafoodooxyz service-name=otenet use-peer-dns=yes user=atuxnull@otenet.gr
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des
/ip ipsec proposal set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-gcm,aes-192-cbc,aes-192-gcm,aes-128-cbc,aes-128-gcm,3des pfs-group=modp2048
/ip pool add name=dhcp_pool0 ranges=172.16.5.150-172.16.5.199
/ip pool add name=pool2 ranges=10.0.0.100-10.0.0.149
/ip dhcp-server add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/ip dhcp-server add address-pool=pool2 disabled=no interface=bridge2 name=dhcp2
/ppp profile add dns-server=172.16.5.1,8.8.8.8 name=l2tp-vpn
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge2 interface=ether4
/interface bridge port add bridge=bridge2 interface=ether5
/interface l2tp-server server set allow-fast-path=yes default-profile=l2tp-vpn enabled=yes ipsec-secret=yadafooatuxn use-ipsec=required
/ip address add address=172.16.5.1/24 interface=bridge1 network=172.16.5.0
/ip address add address=10.0.0.1/24 interface=bridge2 network=10.0.0.0
/ip cloud set ddns-enabled=yes
/ip dhcp-server network add address=10.0.0.0/24 dns-server=8.8.8.8,9.9.9.9 gateway=10.0.0.1
/ip dhcp-server network add address=172.16.5.0/24 dns-server=8.8.8.8,9.9.9.9 gateway=172.16.5.1
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ip firewall filter add action=accept chain=input comment="Allow L2PT / IPSec VPN access" dst-port=500,1701,4500 in-interface-list=all protocol=udp
/ip firewall filter add action=accept chain=input in-interface-list=all protocol=ipsec-esp
/ip firewall filter add action=accept chain=forward in-interface-list=all protocol=ipsec-ah
/ip firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set ssh disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ppp secret add local-address=192.168.22.121 name=muj-phone password=atuxnull profile=l2tp-vpn remote-address=192.168.22.122
/ppp secret add local-address=192.168.22.120 name=PC1 password=atuxnull profile=l2tp-vpn remote-address=192.168.22.119
/ppp secret add local-address=192.168.22.123 name=user1 password=atuxnull profile=l2tp-vpn remote-address=192.168.22.124
/ppp secret add local-address=192.168.22.125 name=PC2 password=atuxnull profile=l2tp-vpn remote-address=192.168.22.126
/system clock set time-zone-name=Europe/Athens
/system identity set name=MikroTikServer
/system ntp client set enabled=yes primary-ntp=193.93.164.194 secondary-ntp=195.219.205.9

[dalex]

Αφου δεν εχεις περασει κανενα κανονα route, πως θες το ΜΤ να ξερει που θα βρει το αλλο δικτυο; Προσπαθει να στειλει τα πακετα στο default gw (internet)...

[atux_null]

στο κεντρικό ή στα υποκαταστήματα θέλει?

[dalex]

στο κεντρικό ή στα υποκαταστήματα θέλει?

Οπου θες να γινεται η δουλεια. Παντου!

[BillyVan]

/ip route add comment="VPN apo ΧΧΧΧΧ pros XXXXXXi" disabled=no distance=1 dst-address=XXX.XXX.XXX.0/24 gateway=την vpn ip του l2tp pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10

κανεις μετα traceroute και βλεπει αν το πρωτο hop ειναι αυτη η ip και λογικα εισαι οκ

υ.γ.
Εμενα ειναι απο ros 7 το παραπανω και αν δεν κανω λαθος το routing table δεν υπαρχει στην 6

[atux_null]

λοιπόν το πέρασα και από τους 2 απομακρυσμένους χρήστες, δουλεύει μόνο ο ένας. ο 2ος χρήστης δείχνει συνδεδεμένος, αλλά δεν μπορώ να τον δω, ούτε αυτός να με δει. η διαφορά των 2 clients που το ένα παίζει κ το άλλο όχι είναι ότι το ένα είναι πίσω από dsl (doubleNAT) ενώ το άλοο πίσω από CGNAT. εκτός αν έχω κάτι λάθος στο config.

server config

Κώδικας:

/interface bridge add arp=proxy-arp name=bridge1
/interface bridge add name=bridge2
/interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=xxxx service-name=otenet use-peer-dns=yes user=xyz@otenet.gr
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec profile set [ find default=yes ] enc-algorithm=aes-256,aes-128,3des
/ip ipsec proposal set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-gcm,aes-192-cbc,aes-192-gcm,aes-128-cbc,aes-128-gcm,3des pfs-group=modp2048
/ip pool add name=dhcp_pool0 ranges=172.16.5.150-172.16.5.199
/ip pool add name=pool2 ranges=10.0.0.100-10.0.0.149
/ip dhcp-server add address-pool=dhcp_pool0 disabled=no interface=bridge1 name=dhcp1
/ip dhcp-server add address-pool=pool2 disabled=no interface=bridge2 name=dhcp2
/ppp profile add dns-server=172.16.5.1,8.8.8.8 name=l2tp-vpn
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether3
/interface bridge port add bridge=bridge2 interface=ether4
/interface bridge port add bridge=bridge2 interface=ether5
/ip neighbor discovery-settings set discover-interface-list=all
/interface l2tp-server server set allow-fast-path=yes default-profile=l2tp-vpn enabled=yes ipsec-secret=atuxnullkjsdfbw use-ipsec=required
/ip address add address=172.16.5.1/24 interface=bridge1 network=172.16.5.0
/ip address add address=10.0.0.1/24 interface=bridge2 network=10.0.0.0
/ip cloud set ddns-enabled=yes
/ip dhcp-server network add address=10.0.0.0/24 dns-server=8.8.8.8,9.9.9.9 gateway=10.0.0.1
/ip dhcp-server network add address=172.16.5.0/24 dns-server=8.8.8.8,9.9.9.9 gateway=172.16.5.1
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
/ip firewall filter add action=accept chain=input comment="Allow L2PT / IPSec VPN access" dst-port=500,1701,4500 in-interface-list=all protocol=udp
/ip firewall filter add action=accept chain=input in-interface-list=all protocol=ipsec-esp
/ip firewall filter add action=accept chain=forward in-interface-list=all protocol=ipsec-ah
/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
/ip firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall nat add action=masquerade chain=srcnat out-interface=pppoe-out1
/ip route add comment=VPN_Alix_Frog distance=1 dst-address=192.168.5.0/24 gateway=*F00002
/ip route add comment=VPN_HAP+Mini_Lite disabled=yes distance=1 dst-address=192.168.175.0/24 gateway=<l2tp-alix>
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set ssh disabled=yes
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ppp secret add local-address=192.168.22.121 name=hap_mini password=xyzbvcx profile=l2tp-vpn remote-address=192.168.22.122
/ppp secret add local-address=192.168.22.120 name=PC1 password=xyzbvcx profile=l2tp-vpn remote-address=192.168.22.119
/ppp secret add local-address=192.168.22.123 name=alix password=xyzbvcx profile=l2tp-vpn remote-address=192.168.22.124
/ppp secret add local-address=192.168.22.125 name=PC2 password=xyzbvcx profile=l2tp-vpn remote-address=192.168.22.126
/system clock set time-zone-name=Europe/Athens
/system identity set name=MikroTikServer
/system ntp client set enabled=yes primary-ntp=193.93.164.194 secondary-ntp=195.219.205.9

Problematic client

Κώδικας:

/interface bridge add arp=proxy-arp comment="LAN-- WLAN1, Eth 2,3" name=bridge1
/interface l2tp-client add comment=VPN_Test_Mikrotik connect-to=atuxnull.sn.mynetname.net disabled=no ipsec-secret=dfghsdfgd name=VPN_Test password=xyzbvcx use-ipsec=yes user=Alix_Frog
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk,wpa2-eap mode=dynamic-keys supplicant-identity=SIP_1 wpa2-pre-shared-key=atuxnull1234
/ip pool add name=dhcp_pool0 ranges=192.168.5.150-192.168.5.179
/ip dhcp-server add address-pool=dhcp_pool0 disabled=no interface=bridge1 lease-time=1m name=dhcp1
/port set 2 baud-rate=9600 data-bits=8 flow-control=none name=usb3 parity=none stop-bits=1
/port set 3 name=usb4
/interface ppp-client add apn=internet disabled=no name=Cosmote port=usb4
/tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/user group set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port add bridge=bridge1 interface=*1
/interface bridge port add bridge=bridge1 interface=ether2
/interface bridge port add bridge=bridge1 interface=ether1
/ip neighbor discovery-settings set discover-interface-list=!dynamic
/ip address add address=192.168.5.1/24 interface=bridge1 network=192.168.5.0
/ip cloud set update-time=no
/ip dhcp-client add disabled=no interface=ether3
/ip dhcp-server network add address=192.168.5.0/24 dns-server=8.8.8.8 gateway=192.168.5.1
/ip dns set servers=8.8.8.8,8.8.4.4
/ip firewall filter add action=accept chain=input comment="Allow Ping" protocol=icmp
/ip firewall filter add action=accept chain=forward comment="Forward all connection via bridge" connection-state=established,related,new in-interface=bridge1
/ip firewall filter add action=accept chain=input comment="Accept input for established and related connection only" connection-state=established,related
/ip firewall filter add action=accept chain=forward comment="Accept forward for established and related connection only" connection-state=established,related
/ip firewall filter add action=drop chain=input comment="Drop input for all other traffic"
/ip firewall filter add action=drop chain=forward comment="Drop forward for all other traffic"
/ip firewall filter add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid
/ip firewall nat add action=masquerade chain=srcnat disabled=yes out-interface=Q_internet
/ip firewall nat add action=masquerade chain=srcnat comment=Cosmote_Internet out-interface=Cosmote
/ip firewall nat add action=masquerade chain=srcnat comment=Eth3_DHCP_client_Internet_Access disabled=yes out-interface=ether3
/ip route add comment="VPN _access_to_Server_LAN" distance=1 dst-address=172.16.5.0/24 gateway=VPN_Test
/system clock set time-zone-name=Europe/Athens
/system identity set name=alix
/system ntp client set enabled=yes mode=broadcast primary-ntp=195.167.30.249 secondary-ntp=185.144.161.170
/system ntp server set enabled=yes multicast=yes
/tool sms set channel=1 port=usb4 receive-enabled=yes secret=abcd123!
/tool user-manager database set db-path=user-manager

[BillyVan]

Κανε disable το firewall στον προβληματικο και δοκιμασε.