Можно ли задать сразу два ВПН-сервера в роутере?

[Пэтро]

Очень приблизительно.....:

 

а не нужно ли создать peer в разделе IP-ipsec?

[Инквизитор]

Пэтро, по идее, нет - я этого не делал, и работало. К тому же это впн-клиент, а не сервер, разве надо пир прописывать?

[Инквизитор]

начальство сервер попинало, видимо, теперь лог снова такой:

 

[Пэтро]

о идее, нет - я этого не делал, и работало.

 

 

для меня этот ipsec темный лес... так предположил, судя по тексту лога.

[Gennadyi]

Оффтопик:
А вы, красноглазые адепты Секты Свидетелей Микротика, кончайте уже советовать эту технику нормальным людям.
Не портьте им жизнь. Она слишком коротка, чтобы покупать не нужные роутеры.

[Инквизитор]

Насчет моего микрокотика:

1) впн завелся после того, как я пошаманил в interface list (там почему-то слетела настройка).

2) работает всё через мапупу - половина сайтов не открывается, видосы и картинки в телеге и ВК не грузятся. И наш форум тоже недоступен (переключился вот на нормальный интернет - все гуд).

 

в роутере прописаны несколько серверов DNS, но они те же, что и ранее были там - и работали же...

 

А вы, красноглазые адепты Секты Свидетелей Микротика, кончайте уже советовать эту технику нормальным людям.

Не портьте им жизнь. Она слишком коротка, чтобы покупать не нужные роутеры.

увы, в других доступных мне роутерах тупо нет нужных настроек. Кинетик лайт, например, оказался принципиально непригоден для прописывания l2tp+ipsec...

[Пэтро]

увы, в других доступных мне роутерах тупо нет нужных настроек. Кинетик лайт, например, оказался принципиально непригоден для прописывания l2tp+ipsec...

 

 

Нашел кого слушать.

работает всё через мапупу - половина сайтов не открывается

 

 

надо смотреть в сторону ttl

 

сделать пинг до узлов и посмотреть ttl.. такие хитровыверты с кучей VPN могут снизить ttl до неспособности получать пакеты.

ИМХО

А вы, красноглазые адепты Секты Свидетелей Микротика, кончайте уже советовать эту технику нормальным людям.

 

 

Зачем этот идиотизм вещать на публику...

[Инквизитор]

надо смотреть в сторону ttl

 

сделать пинг до узлов и посмотреть ttl.. такие хитровыверты с кучей VPN могут снизить ttl до неспособности получать пакеты.

 

Ну, вот трасерты и пинги до google.ru, google.com и simferopol.in:

 

 

C:\Users\Seva>tracert google.ru

Tracing route to google.ru [142.250.179.163]
over a maximum of 30 hops:

 1     1 ms    <1 ms    <1 ms  router.lan [192.168.88.1]
 2    76 ms    77 ms    76 ms  192.168.42.1
 3    77 ms    89 ms    75 ms  172.18.0.1
 4   103 ms    76 ms    78 ms  5.255.87.1
 5    76 ms    79 ms    79 ms  87.245.213.204
 6   102 ms     *       79 ms  ae18-2.RT.TC2.AMS.NL.retn.net [87.245.232.122]
 7    79 ms    79 ms    78 ms  142.250.160.216
 8    91 ms    86 ms    83 ms  142.251.54.211
 9    82 ms    84 ms    81 ms  142.251.48.177
10    80 ms    82 ms    78 ms  ams15s41-in-f3.1e100.net [142.250.179.163]

Trace complete.

C:\Users\Seva>tracert google.com

Tracing route to google.com [142.251.36.14]
over a maximum of 30 hops:

 1    <1 ms    <1 ms    <1 ms  router.lan [192.168.88.1]
 2    77 ms    75 ms    75 ms  192.168.42.1
 3   118 ms   118 ms   120 ms  172.18.0.1
 4   121 ms   118 ms   116 ms  5.255.87.1
 5   122 ms   137 ms   122 ms  87.245.213.204
 6    99 ms   109 ms   102 ms  ae18-2.RT.TC2.AMS.NL.retn.net [87.245.232.122]
 7    98 ms   104 ms   101 ms  GW-Google.retn.net [87.245.246.22]
 8   106 ms   106 ms   109 ms  108.170.241.161
 9    96 ms   112 ms    94 ms  172.253.71.201
10    81 ms    81 ms    81 ms  ams15s44-in-f14.1e100.net [142.251.36.14]

Trace complete.

C:\Users\Seva>ping google.com

Pinging google.com [142.251.36.14] with 32 bytes of data:
Reply from 142.251.36.14: bytes=32 time=120ms TTL=115
Reply from 142.251.36.14: bytes=32 time=122ms TTL=115
Reply from 142.251.36.14: bytes=32 time=121ms TTL=115
Reply from 142.251.36.14: bytes=32 time=126ms TTL=115

Ping statistics for 142.251.36.14:
   Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
   Minimum = 120ms, Maximum = 126ms, Average = 122ms

C:\Users\Seva>ping simferopol.in

Pinging simferopol.in [195.49.204.244] with 32 bytes of data:
Request timed out.
Request timed out.

Статистика Ping для 195.49.204.244:
   Пакетов: отправлено = 2, получено = 0, потеряно = 2
   (100% потерь)
Control-C
^C
C:\Users\Seva>tracert simferopol.in

Tracing route to simferopol.in [195.49.204.244]
over a maximum of 30 hops:

 1     1 ms    <1 ms    <1 ms  router.lan [192.168.88.1]
 2     *        *        *     Request timed out.
 3     *        *        *     Request timed out.
 4     *        *        *     Request timed out.
 5     *        *     ^C

 

 

 

При этом через ВПН в микрокотике не работают ОБА сайта. Через ВПН в wireguard'e на мобиле работает всё.

 

DNS?

[Пэтро]

Сделай пинг до 62.140.245.80 и 93.191.9.153

 

 

DNS?

 

нет.

 

DNS служба которая превращает имена в IP адреса на данном этапе.

Во всех показанных случаях она сработала.

[Gennadyi]

для проверки DNS такая команда есть :

>nslookup /?

Использование:

nslookup [-opt ...]

# интерактивный режим с использованием сервера по умолчанию

nslookup [-opt ...] - server

# интерактивный режим с использованием сервера "server"

nslookup [-opt ...] host

# поиск узла "host" с использованием сервера по умолчанию

nslookup [-opt ...] host server

# поиск узла "host" с использованием сервера "server"

 

в винде она тоже есть :)

[Инквизитор]

Сделай пинг до 62.140.245.80 и 93.191.9.153

 

Отакое получилось:

 

C:\Users\Seva>ping 62.140.245.80

Pinging 62.140.245.80 with 32 bytes of data:
Request timed out.
Request timed out.

Статистика Ping для 62.140.245.80:
   Пакетов: отправлено = 2, получено = 0, потеряно = 2
   (100% потерь)
Control-C
^C
C:\Users\Seva>tracert 62.140.245.80

Tracing route to msk-m9-b3-ae8-vlan544.fiord.net [62.140.245.80]
over a maximum of 30 hops:

 1     1 ms    <1 ms     2 ms  192.168.88.1
 2     *        *        *     Request timed out.
 3     *        *        *     Request timed out.
 4  ^C
C:\Users\Seva>ping 93.191.9.153

Pinging 93.191.9.153 with 32 bytes of data:
Reply from 93.191.9.153: bytes=32 time=125ms TTL=56
Reply from 93.191.9.153: bytes=32 time=148ms TTL=56
Reply from 93.191.9.153: bytes=32 time=128ms TTL=56
Reply from 93.191.9.153: bytes=32 time=140ms TTL=56

Ping statistics for 93.191.9.153:
   Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
   Minimum = 125ms, Maximum = 148ms, Average = 135ms

C:\Users\Seva>tracert 93.191.9.153

Tracing route to ams-nik-b1-ae10-vlan543.fiord.net [93.191.9.153]
over a maximum of 30 hops:

 1     1 ms    <1 ms    <1 ms  192.168.88.1
 2    89 ms   289 ms   125 ms  192.168.42.1
 3    88 ms    90 ms    96 ms  172.18.0.1
 4    90 ms   111 ms   101 ms  5.255.87.1
 5    80 ms    85 ms    81 ms  87.245.213.204
 6    82 ms    85 ms   178 ms  ae18-2.RT.TC2.AMS.NL.retn.net [87.245.232.122]
 7   144 ms   120 ms   110 ms  et-0-0-29.cr6-ams1.ip4.gtt.net [213.254.225.237]

 8   110 ms   102 ms   106 ms  ae11.cr1-waw1.ip4.gtt.net [213.200.114.202]
 9   108 ms   109 ms   114 ms  ip4.gtt.net [212.221.1.102]
10   116 ms   134 ms   123 ms  riga-tvt-b1-ae5-vlan3601.fiord.net [93.191.9.113
]
11   127 ms   132 ms   127 ms  msk-m9-b1-ae6-vlan3701.fiord.net [62.140.245.128
]
12   143 ms   129 ms   130 ms  ams-nik-b1-ae10-vlan543.fiord.net [93.191.9.153]


Trace complete.

 

 

для проверки DNS такая команда есть :

 

ага:

 

C:\Users\Seva>nslookup simferopol.in
Server:  UnKnown
Address:  192.168.88.1

Non-authoritative answer:
Name:    simferopol.in
Address:  195.49.204.244

 

 

 

А потом роутер на ровном месте завы*бывался и ком от вифи отключился.

 

Судя по поведению, роутер заглючил как зараза. Возможно ,связано с обновлением прошивки до 7.2.1 (из-за wireguard'a), щас попробую вернуться на 6.4...

[Инквизитор]

В общем, после кучи странностей, я задолбался и заменил второй микротик на роутер Keenetic Lite. Прописал VPN L2TP+IPSEC в (предварительно пришлось доустановить нужные компоненты). Тьфу-тьфу-тьфу, сработало, даже несмотря на то, что в кинетике так и не нашел, где задать Default Route Distance.

 

Осталось последнее: теперь есть второй микротик (мини), который хочу воткнуть в зад основному для того, чтобы в дальней комнате был wifi (отдельная сеть нормально, на бесшовность плевать). Кабель проложен. Но второй микротик в упор не выходит в интернет, хотя прекрасно работает.

 

В общем, два микротика друг в друга втыкаются, но не уживаются =))) Попробую перенастроить его в точку доступа. Или может поменяться кто захочет?

[Gennadyi]

Или может поменяться кто захочет?

что на что менять ? У меня есть пара точек доступа Tp-Link перешитых в 15 OpenWRT

[Инквизитор]

Гена, у меня - MikroTik hAP mini. Практически новый, вот этот: https://komtek.net.ru/mikrotik-hap-mini-rb931-2nd?. Его задача - быть воткнутым главному роутеру в жо LAN и давать интернет подключенным к нему устройствам: телевизору по кабелю и мобилкам по WiFi.

 

В режиме "роутер" теоретически он должен просто получить IP от главного роутера и раздать айпишники устройствам в своей подсети. На практике микротик, воткнутый в другой микротик, не работает. Я в свое время предположил, что это из-за одинаковых по умолчанию IP. Вообще-то, емнип, это приведет к конфликту адресов, если эти IP будут заданы статически и будут в одной подсети, т.е., не мой случай - но вот не работало, пока главному микротику IP не поменял.

 

После моей недавней эпопеи с настройками этот мини-микротик был заресечен, прописан только WiFi. Но свою задачу, описанную в первом абзаце, он выполнять отказался. При этом работает напрямую "роутером интернета" прекрасно, специально проверил.

 

Вывод: два микротика уживаются друг с другом хуже, чем среднестатистические невестка со свекровью.

 

Планы:

а) попробовать еще раз и подождать - ситуации, когда роутеру надо дать подумать денек, наблюдал неоднократно.

б) перенастроить мини-микротик в режим точки доступа. Никогда с точками доступа дела не имел, вот и узнаю, что к чему.

в) поменять микротик на что-то, что согласится работать адекватно. Например, TP-Link какой-нибудь аналогичный, или кинетик.

[Gennadyi]

В openwrt его перешить - https://openwrt.org/toh/hwdata/mikrotik/mikrotik_rb931-2nd_hap_mini

[Пэтро]

В общем, два микротика друг в друга втыкаются, но не уживаются =))) Попробую перенастроить его в точку доступа. Или может поменяться кто захочет?

 

 

Существует 2 метода как микротики соединить друг с другом.

 

1. Каскадом. Когда WAN 2го втыкается в LAN 1го.

На втором микротике надо сменить подсеть LAN с 192.168.88.x на любую кроме 192.168.88.x например 192.168.99.x

В quick set меняем в пунктах Ip Address и DHCP pool 88 например на 99

 

 

2. Точкой доступа. Когда LAN 2го втыкается в LAN 1го.

На втором микротике надо поменять Ip Address с 192.168.88.1 на 192.168.88.2 например. И выключить dhcp

 

По вкусу можно вернуть wan порт в bridge.

[Пэтро]

Так же на нескольких микротиках можно сделать mesh сеть.

 

могу через anydesk за 5 минут настроить.

[Инквизитор]

1. Каскадом. Когда WAN 2го втыкается в LAN 1го.

На втором микротике надо сменить подсеть LAN с 192.168.88.x на любую кроме 192.168.88.x например 192.168.99.x

В quick set меняем в пунктах Ip Address и DHCP pool 88 например на 99

вот у меня каскадом. Только на первом микротике подсеть поменяна на 192.168.0.1, соответственно, DHCP Pool тоже на 192.168.0.***

 

только нет коннекта =)

 

Так же на нескольких микротиках можно сделать mesh сеть.

нафиг-нафиг, чем сложнее, тем больше шансов, что что-то пойдет раком. Дополнительня сеть меня вполне устраивает.

у всех моих домашних роутеров (а их у меня перебывало 8 штук) есть несколько общих особенностей:

* аптайм не бывает вечным, время от времени они начинают глючить или виснуть и приходится их ребутать.

* настройки могут слететь на ровном месте сами по себе. Либо целиком, либо некоторые. Свежайший пример - в Security Profile главного микротика шифрование вифи свалилось в дефолтное.

* чем больше меняешь настроек, тем медленнее работает и больше шансов на глюки. Идеальный режим - дефолтное состояние "из коробки". Засетапил вифи - тупее. Всунул ВПН - еще тупее.

 

Кстати, как в микротике запихать вифи на дальний канал? В асусе было просто - выбрал канал, и радуешься. А тут мало того, что тупо в гигагерцах, так еще и оказалось, что максимально доступная частота соответствует 9 каналу, а диапазон с 1-го по 9-й засран соседями по полной. Хотел перекинуть на 12-14 каналы, дык нету их...

[Пэтро]

Кстати, как в микротике запихать вифи на дальний канал? В асусе было просто - выбрал канал, и радуешься. А тут мало того, что тупо в гигагерцах, так еще и оказалось, что максимально доступная частота соответствует 9 каналу, а диапазон с 1-го по 9-й засран соседями по полной. Хотел перекинуть на 12-14 каналы, дык нету их...

 

 

1. уменьшить полосу с 40 мгц/авто на 20 мгц,

 

откроется по 11 канал

 

 

2. поменять страну. На Украину))) Есть некоторые микротики где страна вшита наглухо.

 

откроется 13 каналов.

 

 

вот у меня каскадом. Только на первом микротике подсеть поменяна на 192.168.0.1, соответственно, DHCP Pool тоже на 192.168.0.***

 

 

стукни мне в вайбер подскажу.

 

вообще универсальный метод. "ping mail.ru" и по ответу будет все понятно.

у всех моих домашних роутеров (а их у меня перебывало 8 штук) есть несколько общих особенностей:* аптайм не бывает вечным, время от времени они начинают глючить или виснуть и приходится их ребутать.* настройки могут слететь на ровном месте сами по себе. Либо целиком, либо некоторые. Свежайший пример - в Security Profile главного микротика шифрование вифи свалилось в дефолтное.* чем больше меняешь настроек, тем медленнее работает и больше шансов на глюки. Идеальный режим - дефолтное состояние "из коробки". Засетапил вифи - тупее. Всунул ВПН - еще тупее.

 

 

Нужен шаман....

 

Основные преимущества микротика, как раз в том:

 

1. он не виснет.

2. он работает с огромным конфигом как с завода.

3. он ничего не сбрасывает.

[Инквизитор]

он не виснет.

...

он ничего не сбрасывает.

 

ну, вот, у меня свой, особенный микротик =)))

[Пэтро]

Нужен шаман....