[Dennis]

Инквизитор, вводить ничего не надо, надо выбрать интерфейсы, соответствующие вашим впн-ам

[Инквизитор]

Вернусь к теме. Плиз хелп!

Проблема:

Есть микротик, в котором прописан VPN (L2TP + IPSEC). интернет есть (через еще один роутер). Все работало.
ВПН-сервер, к которому коннектится первый микротик, отвалился. Потом воскрес.
После этого микротик ни в какую не желает коннектиться к ВПН. Я попробовал такое:

• Десять раз ребутил все что только можно
  
• пять раз вырубал из сети тупо
  
• Забэкапил конфиг, заресетил микротик, залил конфиг.
  
• заресетил микротик, прописал все с нуля.

после всех манипуляций - хрен по всей морде. Не коннектится, зараза, ни в какую. При этом с теми же параметрами, логином и паролем с мобильника (через wireguard) коннект нормальный.

ПЛИЗ ХЕЛП!111 =( вот настройки и лог:

[Пэтро]

Я не очень врубаюсь в ipsec. Он там точно нужен?

[Инквизитор]

Пэтро сказал:

Он там точно нужен?

К сожалению, обязателен. Возможности отрубать-менять на сервере нет.

Обновил ось микрокотика до 7.2.1, теперь лог выглядит так:

Прикрепленные изображения

• 

[Инквизитор]

"интуитивно я, конечно, догадываюсь, но" (с) какого чебурека он хочет? через мобильный wireguard пашет, у остальных коллег работает. не знаю какой именно зоопарк впн-подключений у других, но засунуто в микротик это походу только у меня...

[Пэтро]

Очень приблизительно.....:

а не нужно ли создать peer в разделе IP-ipsec?

[Инквизитор]

Пэтро, по идее, нет - я этого не делал, и работало. К тому же это впн-клиент, а не сервер, разве надо пир прописывать?

[Инквизитор]

начальство сервер попинало, видимо, теперь лог снова такой:

[Пэтро]

Инквизитор сказал:

о идее, нет - я этого не делал, и работало.

для меня этот ipsec темный лес... так предположил, судя по тексту лога.

[Gennadyi]

Оффтопик:
А вы, красноглазые адепты Секты Свидетелей Микротика, кончайте уже советовать эту технику нормальным людям.
Не портьте им жизнь. Она слишком коротка, чтобы покупать не нужные роутеры.

[Инквизитор]

Насчет моего микрокотика:
1) впн завелся после того, как я пошаманил в interface list (там почему-то слетела настройка).
2) работает всё через мапупу - половина сайтов не открывается, видосы и картинки в телеге и ВК не грузятся. И наш форум тоже недоступен (переключился вот на нормальный интернет - все гуд).

в роутере прописаны несколько серверов DNS, но они те же, что и ранее были там - и работали же...

Gennadyi сказал:

А вы, красноглазые адепты Секты Свидетелей Микротика, кончайте уже советовать эту технику нормальным людям.
Не портьте им жизнь. Она слишком коротка, чтобы покупать не нужные роутеры.

увы, в других доступных мне роутерах тупо нет нужных настроек. Кинетик лайт, например, оказался принципиально непригоден для прописывания l2tp+ipsec...

[Пэтро]

Инквизитор сказал:

увы, в других доступных мне роутерах тупо нет нужных настроек. Кинетик лайт, например, оказался принципиально непригоден для прописывания l2tp+ipsec...

Нашел кого слушать.

Инквизитор сказал:

работает всё через мапупу - половина сайтов не открывается

надо смотреть в сторону ttl

сделать пинг до узлов и посмотреть ttl.. такие хитровыверты с кучей VPN могут снизить ttl до неспособности получать пакеты.
ИМХО

Gennadyi сказал:

А вы, красноглазые адепты Секты Свидетелей Микротика, кончайте уже советовать эту технику нормальным людям.

Зачем этот идиотизм вещать на публику...

[Инквизитор]

Пэтро сказал:

надо смотреть в сторону ttl

сделать пинг до узлов и посмотреть ttl.. такие хитровыверты с кучей VPN могут снизить ttl до неспособности получать пакеты.

Ну, вот трасерты и пинги до google.ru, google.com и simferopol.in:

Скрытый текст

C:\Users\Seva>tracert google.ru

Tracing route to google.ru [142.250.179.163]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  router.lan [192.168.88.1]
  2    76 ms    77 ms    76 ms  192.168.42.1
  3    77 ms    89 ms    75 ms  172.18.0.1
  4   103 ms    76 ms    78 ms  5.255.87.1
  5    76 ms    79 ms    79 ms  87.245.213.204
  6   102 ms     *       79 ms  ae18-2.RT.TC2.AMS.NL.retn.net [87.245.232.122]
  7    79 ms    79 ms    78 ms  142.250.160.216
  8    91 ms    86 ms    83 ms  142.251.54.211
  9    82 ms    84 ms    81 ms  142.251.48.177
 10    80 ms    82 ms    78 ms  ams15s41-in-f3.1e100.net [142.250.179.163]

Trace complete.

C:\Users\Seva>tracert google.com

Tracing route to google.com [142.251.36.14]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  router.lan [192.168.88.1]
  2    77 ms    75 ms    75 ms  192.168.42.1
  3   118 ms   118 ms   120 ms  172.18.0.1
  4   121 ms   118 ms   116 ms  5.255.87.1
  5   122 ms   137 ms   122 ms  87.245.213.204
  6    99 ms   109 ms   102 ms  ae18-2.RT.TC2.AMS.NL.retn.net [87.245.232.122]
  7    98 ms   104 ms   101 ms  GW-Google.retn.net [87.245.246.22]
  8   106 ms   106 ms   109 ms  108.170.241.161
  9    96 ms   112 ms    94 ms  172.253.71.201
 10    81 ms    81 ms    81 ms  ams15s44-in-f14.1e100.net [142.251.36.14]

Trace complete.

C:\Users\Seva>ping google.com

Pinging google.com [142.251.36.14] with 32 bytes of data:
Reply from 142.251.36.14: bytes=32 time=120ms TTL=115
Reply from 142.251.36.14: bytes=32 time=122ms TTL=115
Reply from 142.251.36.14: bytes=32 time=121ms TTL=115
Reply from 142.251.36.14: bytes=32 time=126ms TTL=115

Ping statistics for 142.251.36.14:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 120ms, Maximum = 126ms, Average = 122ms

C:\Users\Seva>ping simferopol.in

Pinging simferopol.in [195.49.204.244] with 32 bytes of data:
Request timed out.
Request timed out.

Статистика Ping для 195.49.204.244:
    Пакетов: отправлено = 2, получено = 0, потеряно = 2
    (100% потерь)
Control-C
^C
C:\Users\Seva>tracert simferopol.in

Tracing route to simferopol.in [195.49.204.244]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  router.lan [192.168.88.1]
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.
  4     *        *        *     Request timed out.
  5     *        *     ^C

При этом через ВПН в микрокотике не работают ОБА сайта. Через ВПН в wireguard'e на мобиле работает всё.

DNS?

[Пэтро]

Сделай пинг до 62.140.245.80 и 93.191.9.153

Инквизитор сказал:

DNS?

нет.

DNS служба которая превращает имена в IP адреса на данном этапе.
Во всех показанных случаях она сработала.

[Gennadyi]

для проверки DNS такая команда есть :

Цитата

>nslookup /?
Использование:
nslookup [-opt ...]
# интерактивный режим с использованием сервера по умолчанию
nslookup [-opt ...] - server
# интерактивный режим с использованием сервера "server"
nslookup [-opt ...] host
# поиск узла "host" с использованием сервера по умолчанию
nslookup [-opt ...] host server
# поиск узла "host" с использованием сервера "server"

в винде она тоже есть

[Инквизитор]

Пэтро сказал:

Сделай пинг до 62.140.245.80 и 93.191.9.153

Отакое получилось:

Скрытый текст

C:\Users\Seva>ping 62.140.245.80

Pinging 62.140.245.80 with 32 bytes of data:
Request timed out.
Request timed out.

Статистика Ping для 62.140.245.80:
    Пакетов: отправлено = 2, получено = 0, потеряно = 2
    (100% потерь)
Control-C
^C
C:\Users\Seva>tracert 62.140.245.80

Tracing route to msk-m9-b3-ae8-vlan544.fiord.net [62.140.245.80]
over a maximum of 30 hops:

  1     1 ms    <1 ms     2 ms  192.168.88.1
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.
  4  ^C
C:\Users\Seva>ping 93.191.9.153

Pinging 93.191.9.153 with 32 bytes of data:
Reply from 93.191.9.153: bytes=32 time=125ms TTL=56
Reply from 93.191.9.153: bytes=32 time=148ms TTL=56
Reply from 93.191.9.153: bytes=32 time=128ms TTL=56
Reply from 93.191.9.153: bytes=32 time=140ms TTL=56

Ping statistics for 93.191.9.153:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 125ms, Maximum = 148ms, Average = 135ms

C:\Users\Seva>tracert 93.191.9.153

Tracing route to ams-nik-b1-ae10-vlan543.fiord.net [93.191.9.153]
over a maximum of 30 hops:

  1     1 ms    <1 ms    <1 ms  192.168.88.1
  2    89 ms   289 ms   125 ms  192.168.42.1
  3    88 ms    90 ms    96 ms  172.18.0.1
  4    90 ms   111 ms   101 ms  5.255.87.1
  5    80 ms    85 ms    81 ms  87.245.213.204
  6    82 ms    85 ms   178 ms  ae18-2.RT.TC2.AMS.NL.retn.net [87.245.232.122]
  7   144 ms   120 ms   110 ms  et-0-0-29.cr6-ams1.ip4.gtt.net [213.254.225.237]

  8   110 ms   102 ms   106 ms  ae11.cr1-waw1.ip4.gtt.net [213.200.114.202]
  9   108 ms   109 ms   114 ms  ip4.gtt.net [212.221.1.102]
 10   116 ms   134 ms   123 ms  riga-tvt-b1-ae5-vlan3601.fiord.net [93.191.9.113
]
 11   127 ms   132 ms   127 ms  msk-m9-b1-ae6-vlan3701.fiord.net [62.140.245.128
]
 12   143 ms   129 ms   130 ms  ams-nik-b1-ae10-vlan543.fiord.net [93.191.9.153]


Trace complete.

Gennadyi сказал:

для проверки DNS такая команда есть :

ага:

Скрытый текст

C:\Users\Seva>nslookup simferopol.in
Server:  UnKnown
Address:  192.168.88.1

Non-authoritative answer:
Name:    simferopol.in
Address:  195.49.204.244

А потом роутер на ровном месте завы*бывался и ком от вифи отключился.

Судя по поведению, роутер заглючил как зараза. Возможно ,связано с обновлением прошивки до 7.2.1 (из-за wireguard'a), щас попробую вернуться на 6.4...

[Инквизитор]

В общем, после кучи странностей, я задолбался и заменил второй микротик на роутер Keenetic Lite. Прописал VPN L2TP+IPSEC в (предварительно пришлось доустановить нужные компоненты). Тьфу-тьфу-тьфу, сработало, даже несмотря на то, что в кинетике так и не нашел, где задать Default Route Distance.

Осталось последнее: теперь есть второй микротик (мини), который хочу воткнуть в зад основному для того, чтобы в дальней комнате был wifi (отдельная сеть нормально, на бесшовность плевать). Кабель проложен. Но второй микротик в упор не выходит в интернет, хотя прекрасно работает.

В общем, два микротика друг в друга втыкаются, но не уживаются =))) Попробую перенастроить его в точку доступа. Или может поменяться кто захочет?

[Gennadyi]

Инквизитор (27 апреля 2022 - 15:41) писал:

Или может поменяться кто захочет?

что на что менять ? У меня есть пара точек доступа Tp-Link перешитых в 15 OpenWRT

[Инквизитор]

Гена, у меня - MikroTik hAP mini. Практически новый, вот этот: https://komtek.net.r...ini-rb931-2nd?. Его задача - быть воткнутым главному роутеру в жо LAN и давать интернет подключенным к нему устройствам: телевизору по кабелю и мобилкам по WiFi.

В режиме "роутер" теоретически он должен просто получить IP от главного роутера и раздать айпишники устройствам в своей подсети. На практике микротик, воткнутый в другой микротик, не работает. Я в свое время предположил, что это из-за одинаковых по умолчанию IP. Вообще-то, емнип, это приведет к конфликту адресов, если эти IP будут заданы статически и будут в одной подсети, т.е., не мой случай - но вот не работало, пока главному микротику IP не поменял.

После моей недавней эпопеи с настройками этот мини-микротик был заресечен, прописан только WiFi. Но свою задачу, описанную в первом абзаце, он выполнять отказался. При этом работает напрямую "роутером интернета" прекрасно, специально проверил.

Вывод: два микротика уживаются друг с другом хуже, чем среднестатистические невестка со свекровью.

Планы:
а) попробовать еще раз и подождать - ситуации, когда роутеру надо дать подумать денек, наблюдал неоднократно.
б) перенастроить мини-микротик в режим точки доступа. Никогда с точками доступа дела не имел, вот и узнаю, что к чему.
в) поменять микротик на что-то, что согласится работать адекватно. Например, TP-Link какой-нибудь аналогичный, или кинетик.

[Gennadyi]

В openwrt его перешить - https://openwrt.org/...31-2nd_hap_mini