Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Jedan link za Internet + Drugi link samo za VPN - pomoć

[es] :: Wireless :: Mikrotik :: Jedan link za Internet + Drugi link samo za VPN - pomoć

[ Pregleda: 800 | Odgovora: 7 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 4954

Sajt: www.bachi.in.rs


+2716 Profil

icon Jedan link za Internet + Drugi link samo za VPN - pomoć11.10.2018. u 18:24 - pre 20 meseci
Molim da me neko uputi u kom pravcu da idem kako bih rešio sledeći problem.

Postoje dva dolazna linka.

Prvi je SBBov link, brzina je 100/6 i nakačen je na ether1 interfejs i dobija IP od DHCP servera i Internet iz LAN mreže radi.

Kako je taj link nestabilan, sa situacijama gde upload ne prelazi 0.1Mb/s (da, da, dobro ste videli), performanse unutar OpenVPN tunela su tada očajne. OpenVPN server je podignut na Mikrotiku.

E sad, uveden je još jedan link, veza se ostvaruje preko PPPOE (ether 10) i to je link 10/10. Kako je reč o 10/10 linku, koristiće se samo i bukvalno samo za OpenVPN server<>klijent komunikaciju. Dakle, ne treba mi failover u slučaju da ako padne SBB da ovaj preuzima, treba mi samo sledeća stvar.

Računari unutar mreže koriste Internet preko SBBa.

Udaljene prodavnice se kače na OpenVPN server koji se nalazi na toj drugom linku, TCP:20000 i to je sve što treba.

Dodam sam PPPoE client interfejs i onda se lepo nakači i dobije statičku javnu IP adresu, pod routes sam dodao 0.0.0.0/0 i za distance postavio 2 (distance 1 je SBBov link) i piše da je gateway reachable.

Mogu da pingujem bilo šta sa PPPoE interfejsa, međutim, obrnuti smer ne radi, niti mogu da pingujem spolja IP adresu od pppoe interfejsa, niti mogu da se VPNujem iako su portovi otvoreni.

Rešenja na koja sam nailazio jeste PCC metoda sa ili bez failovera, ali bih da izbegnem to, već da dobijem samo gore opisano.

Imajte u vidu da sam totalni n00b što se Mikrotika tiče.


Uređaj je RB2011il, 6.93.9.

Napomena: OpenVPN klijenti u udaljenim prodavnicama imaju dinamičke ip adrese koje se menjaju.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

rajco

Član broj: 19348
Poruke: 1019

Sajt: rajco.me/blog


+44 Profil

icon Re: Jedan link za Internet + Drugi link samo za VPN - pomoć12.10.2018. u 11:48 - pre 20 meseci
Pozdrav,

Ne mozes da pingujes jer pokusava da ti vrati preko default rute koja je u tvom slucaju SBB, potrebno je uradis za pocetak markiranje input konekcija(connection state mozes samo new), zatim u output chain kreiras routing mark u odnosu na input konekcije i napravis default rutu, ali sa tim routing mark-om. Sva podesavanja radis pod ip firewall mangle. Ovo je iz glave, a ako se ne budes snasao mogu da ti exportujem konfig sa nekog rutera.
rajco.me/blog

 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 4954

Sajt: www.bachi.in.rs


+2716 Profil

icon Re: Jedan link za Internet + Drugi link samo za VPN - pomoć12.10.2018. u 11:52 - pre 20 meseci
Pa ne bi bilo loše ako može export, jer nikad to nisam radio. :(

Možda bi bilo najbolje rešenje da ruter vraća pakete preko onog interfejsa na kom je primio novu konekciju? U stvari, realno mi to treba. Da računari iz LANa idu preko SBBa, a da Mikrotik pokraj toga vraća pakete (odgovor) preko onog interfejsa na kom je primio dolazni paket.

Ti sam iskreno i očekivao da bude podrazumevan način rada, ali avaj - Mikrotik. :(



[Ovu poruku je menjao bachi dana 12.10.2018. u 13:07 GMT+1]
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 4954

Sajt: www.bachi.in.rs


+2716 Profil

icon Re: Jedan link za Internet + Drugi link samo za VPN - pomoć12.10.2018. u 20:45 - pre 20 meseci
Uspeo sam malo proučavajući PCC pa sam ubo deo koji meni treba i dobio ovo:

1. Ip/Firewall/Mange

-



-


2. Ip/Routes

-

I sad radi!

Ali se pitam da li je ovo najbolji način?

Čemu služi passthrough u mangle pravilima?

Edit: Sad vidim rajco da si mi napisao isto to, ali to tada nisam razumeo šta mi pišeš. Hvala.


[Ovu poruku je menjao bachi dana 12.10.2018. u 21:58 GMT+1]
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

milosbeo
Loading...

Član broj: 220015
Poruke: 438
*.dynamic.sbb.rs.

Sajt: www.umrezen.in.rs


+82 Profil

icon Re: Jedan link za Internet + Drugi link samo za VPN - pomoć12.10.2018. u 21:03 - pre 20 meseci
To sto ti podesavas se zove PBR - Policy Based Routing.
Citat:
Čemu služi passthrough u mangle pravilima?


Pomocu passthrough mozes da to sto si kreirao upotrebis u pravilu ispod.
Najceseca je upotreba da se u prvom pravilu recimo markiraju paketi, a posle se u sledecem pravilu poziva taj packet mark za action=connection mark... Kao neka optimizacija i efikasnije iskoriscenje hardvera.

Valjda je malo jasnije :D
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 4954

Sajt: www.bachi.in.rs


+2716 Profil

icon Re: Jedan link za Internet + Drugi link samo za VPN - pomoć12.10.2018. u 21:39 - pre 20 meseci
Ok, a u ovom slučaju mi to nije potrebno?
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

valjan
Janko Valencik
Inženjer/programer
Alfanum d.o.o.
Novi Sad

Član broj: 158605
Poruke: 3461
*.mediaworksit.net.

Sajt: www.alfanum.co.rs


+543 Profil

icon Re: Jedan link za Internet + Drugi link samo za VPN - pomoć15.10.2018. u 08:00 - pre 19 meseci
Paket može imati samo jednu oznaku u jednom trenutku, (možeš markirati pojedinačni paket, konekciju, ili rutu, pa od svake te vrste u jednom trenutku možeš imati samo po jednu aktivnu "markicu"), pa ako štrikliraš passtrough to znači da dozvoljavaš da se izvrši neko naredno pravilo u mangle tabeli, što može da dovede do toga da se tvoja markica pregazi nekom drugom, i paket ne završi gde bi trebalo. Znači, ugašen passthrough ti obezbeđuje da će to što si markirao imati baš tu markicu koju si zadao, ali u nekim situacijama moraš praviti algoritme tipa "if... then... else..." pa tu moraš dozvoliti passthrough i omogućiti da se markica prepiše nekom drugom jer taj paket ili konekcija zadovoljavaju neke dodatne specifičnije uslove...

[Ovu poruku je menjao valjan dana 15.10.2018. u 09:43 GMT+1]
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 4954

Sajt: www.bachi.in.rs


+2716 Profil

icon Re: Jedan link za Internet + Drugi link samo za VPN - pomoć15.10.2018. u 09:54 - pre 19 meseci
Nisam još stigao do if then else, ali hvala na objašnjenju, sad znam više nego što sam do skoro znao u vezi MT, tj. mangleovanja (muljanja?) :) paketa.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: Jedan link za Internet + Drugi link samo za VPN - pomoć

[ Pregleda: 800 | Odgovora: 7 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.