[Tonny_Bennet]

Цитата BBKa:

Я подозреваю, что таблица NAT (или ещё что-то в этом роде) не успевает обновиться и пакеты пытаются идти по старому маршруту. »

Вам нужно снифить пакеты на интерфейсах и смотреть кто и куда направляется в момент переключения. Возможно задержка во время поднятия 3G сессии или VPN сессии. Пока нет подключения - пакеты не идут.

К слову о какой задержке во времени идёт речь?

Цитата BBKa:

Как заставить пакеты идти по новому маршруту сразу после переключения? »

Можно держать подключенными сразу оба канала, но с разной метрикой (стоимостью). При падении одного будет переход на другой и т.д.

[BBKa]

Цитата Tonny_Bennet:

Возможно задержка во время поднятия 3G сессии или VPN сессии. Пока нет подключения - пакеты не идут. »

Цитата Tonny_Bennet:

К слову о какой задержке во времени идёт речь? »

Это то понятно, что пока переключаются интерфейсы, пакеты не идут. Задержка от 3 до 15 минут. Т.е. пинг идёт, а UDP трафик нет.

Цитата Tonny_Bennet:

Можно держать подключенными сразу оба канала, но с разной метрикой (стоимостью). При падении одного будет переход на другой и т.д. »

Не очень удобно в моей конфигурации. Да и попытки подключения, к примеру, клиента VPN-LAN, при отсутствии связи по локалке, весь лог загадят. В общем, удобнее переключать.

Цитата Tonny_Bennet:

Вам нужно снифить пакеты на интерфейсах и смотреть кто и куда направляется в момент переключения. »

А вот здесь поподробнее, пожалуйста. Как это сделать? И можно ли штатными средствами микротика?

[Tonny_Bennet]

Цитата BBKa:

Т.е. пинг идёт, а UDP трафик нет. »

Вот этот момент интересен как ни какой другой! Если идёт ICMP - то канал поднялся. Дальше уже стыки ПО. Возможно где-то соединения повисают и ПО ждёт ответа, а только после истечения времени считает соединение зависшим и переподключается.

Цитата BBKa:

весь лог загадят »

Вы в праве отключить логирование любого процееса.

Цитата BBKa:

Как это сделать? И можно ли штатными средствами микротика? »

В МТ есть встроенная утилита Tools -> Packet Sniffer. Выбираете интерфейс и указываете фильтры. Если кратко, то система слушает и все пакеты сохраняет в отдельный файл. Далее можно воспользоваться утилитой Wireshark и в удобной форме просмотреть все пакеты и их заголовки. Советую почитать теорию (tcpdump, wireshark)

[BBKa]

Вопрос с пропаданием связи при переключении отошёл на второй план, сейчас вылезла другая проблема.

Нет связи между двумя VPN клиентами.

Вот структурная схема:

Оборудование в Филиале 1 передаёт данные на компьютер в Центральный офис и в Филиал 2. Правила NAT прописаны. В Центральном офисе программа данные получает, а в Филиале 2 - нет, причём пинг есть.
Роутер 10.0.0.1 является VPN сервером. Если посмотреть ip firewall connections, то увидим, что сервер подменил своим IP-адресом адрес отправителя. Возможно, поэтому программа и не устанавливает соединение с оборудованием.

Филиал 1. ip firewall connections

Филиал 2. ip firewall connections

Есть ли какая-нибудь возможность построить VPN сеть, чтобы пакеты от одного VPN-клиента отправлялись на другой без подмены VPN-сервером IP адреса?

[BBKa]

Цитата BBKa:

Вопрос с пропаданием связи при переключении отошёл на второй план, сейчас вылезла другая проблема. Нет связи между двумя VPN клиентами. Вот структурная схема: Оборудование в Филиале 1 передаёт данные на компьютер в Центральный офис и в Филиал 2. Правила NAT прописаны. В Центральном офисе программа данные получает, а в Филиале 2 - нет, причём пинг есть. Роутер 10.0.0.1 является VPN сервером. Если посмотреть ip firewall connections, то увидим, что сервер подменил своим IP-адресом адрес отправителя. Возможно, поэтому программа и не устанавливает соединение с оборудованием. Филиал 1. ip firewall connections Филиал 2. ip firewall connections Есть ли какая-нибудь возможность построить VPN сеть, чтобы пакеты от одного VPN-клиента отправлялись на другой без подмены VPN-сервером IP адреса? »

Всё, разобрался. Зачем-то поставил маскарадинг из сети 10.0.0.0/24, вот роутер и подставлял свой адрес. Убрал, теперь весь трафик между VPN клиентами идёт нормально.

[Tonny_Bennet]

Цитата BBKa:

Вот структурная схема: »

BBKa, меня смутил один факт. У вас в трёх разных физических сегментах сети используется один и тот же логический сегмент (сеть 192.168.88.0/24)?
Для филиалов в качестве шлюза используется 192.168.88.1? И у вас на картинке есть два девайса с одним и тем же адресом 192.168.88.2? Или трафик из филиала в центр натится?

[BBKa]

Цитата Tonny_Bennet:

BBKa, меня смутил один факт. У вас в трёх разных физических сегментах сети используется один и тот же логический сегмент (сеть 192.168.88.0/24)? Для филиалов в качестве шлюза используется 192.168.88.1? И у вас на картинке есть два девайса с одним и тем же адресом 192.168.88.2? Или трафик из филиала в центр натится? »

Да, LAN - это за NAT'ом роутеров.

[Tonny_Bennet]

NAT в VPN сети как мне кажется не нужен.

Как сделал я:
- у всех филиалов разные непересекающиеся сети 192.168.88.0/24, 192.168.77.0/24, 192.168.66.0/24,
- отдельная сеть для VPN клиентов и VPN сервера 192.168.22.0/24 (можно взять сеть меньше; /29 вам подойдёт)
- настроить подключение между VPN сервером и VPN клиентом
- прописать маршруты между сетями, через VPN интерфейсы.

Что получим в итоге:
- из любой точки сети можно подключиться в любую точку сети (в условиях работы NAT это в общем виде невозможно)
- ресурсы роутера расходуются оптимальнее т.к. маршрутизировать пакет проще чем натить
- схема логичнее.

[BBKa]

Цитата Tonny_Bennet:

Как сделал я: - у всех филиалов разные непересекающиеся сети 192.168.88.0/24, 192.168.77.0/24, 192.168.66.0/24, - отдельная сеть для VPN клиентов и VPN сервера 192.168.22.0/24 (можно взять сеть меньше; /29 вам подойдёт) - настроить подключение между VPN сервером и VPN клиентом - прописать маршруты между сетями, через VPN интерфейсы. »

Да, спасибо за замечание, так намного логичнее получается.
Сделал так, но возникла проблема. Компьютеры с Windows не пингуют и не пингуются.

Допустим, компьютер IP 192.168.100.1/24, шлюз 192.168.100.254. С него пингуем 192.168.200.1. Маршруты на роутерах прописаны.
Вывод команды ping:

Код:

Ответ от 192.168.100.1: Заданный узел недоступен.

При этом машина на Linux'е нормально пингует при такой схеме. Что я делаю не так?