Email or username:

Password:

Forgot your password?
Dolphin

@rf
Сетевиков призываю на помощь в организации соединения двух страждущих!

Ситуация - беспроводное подключение типа "точка-многоточка" на оборудовании #Микротик . Два микротика (пусть будут "абоненты") подключены по 2.4 к базовой станции (БС) провайдера. Провайдер организует доступ в Сеть по pppoe. Оба абонента видят себя в ip-nei, спокойно пингуют друг друга по mac-ping, подключаются друг к другу по mac-telnet, зная айпишники друг друга устанавливают между собой VPN соединение. И все бы хорошо, НО. Когда линия провайдера ложится - БС перезагружается (watchdog) и айпи адреса назначаются всем повторно. Другие. Потому вариант соединения двух устройств через pptp и тому подобное отпадает (каждый раз лезть, смотреть новые ip). А еще провайдер шейпит скорость прямо на БС и pptp не поднимается выше тарифа (1 мегабит/с).

Хотелось бы организовать VPN через L2, но как это сделать (с учетом pppoe у обоих абонентов) - технически не хватает понимания. Потому прошу помощи.

16 comments
Alexey Skobkin

@Dolphin
У вас на этих MikroTik поддерживается ZeroTier. Ему будет пофиг на ваши динамические IP.
Но можете, конечно, побаловаться в динамический DNS.

Dolphin

@skobkin благодарю. Но проблема в том, что и ZT и DynDNS требуют выхода во внешний мир. А его зачастую просто нет, а связь между "абонентами" желательна и без доступа к Интернету.

Alexey Skobkin

@Dolphin
Вот тут не уверен. ZT имеет P2P природу и, скорее всего, может координироваться и без доступа во внешний интернет. У него есть ноды к которым он коннектится и они не обязаны быть в интернетах.

Alexey Skobkin

@Dolphin
Даже если нет возможности взять ноду во внутреннем контуре, то по идее ZT достаточно один раз скоординироваться через внешнюю нолду и дальше она не нужна.
То есть когда у вас восстановилась связь, ZT сходил, получил ваши внутренние адреса и дальше вы внутри своей сети дружите.

КМБ-4

@Dolphin

Я так понял, они же оба в одном L2-сегменте?
По IPv6 link-local можно попробовать, они статичные должны быть.
Или, почему бы не навешать каждому IPv4 link-local статические при поднятии интерфейса?

Dolphin

@coaxial премного благодарен! Вариант навешать на внешние интерфейсы статику IPv4 - оказался идеален.
Да, оба "абонента" в одном L2, потому оказалось, что все на самом деле очень просто и безо всяких "лишних сущностей". С route немного недоразобрался, но старый вариант с VPN, но теперь по статическим адресам - показал, что все прекрасно работает.
Спасибо вам огромное!

Sheri Gulam

@Dolphin @rf Установить Yggdrasil и подключаться по ipv6.

Dolphin

@rf итак, благодаря совету @coaxial удалось соединить два микротика, навесив в L2 среде статические ip на внешние порты (провайдер все равно по pppoe отдает инет) и подняв простенькое pptp.
Но возня с этим всем, две разных сети и прочие нюансы привели к гуглению до EOIP и это здоровски! Поднимаем соединение через те же статические ip и имеем на другом краю населенного пункта продолжение своей домашней сетки. Знакомые ip, простота мониторинга, работа из мастерской с домашним принтером, ура! 🥳
Но лучшее - враг хорошего и через пару дней в "корневом" доме перестал работать Сбербанк. В присоединяемом оказалась та же картина. Туда же полетел Vk. Путем проверки - оказалось,что и Хабр, и ещё куча нужных. DNS отдает ip, на пинги не отвечает. Traceroute показывает "обрыв" где-то уже за сетью провайдера, отключаешь eoip и через какое-то время все работает,включаешь - та же картина. И казалось бы, ну где-то ж затык, но... Но банально не хватает знаний понять в чем дело.

@rf итак, благодаря совету @coaxial удалось соединить два микротика, навесив в L2 среде статические ip на внешние порты (провайдер все равно по pppoe отдает инет) и подняв простенькое pptp.
Но возня с этим всем, две разных сети и прочие нюансы привели к гуглению до EOIP и это здоровски! Поднимаем соединение через те же статические ip и имеем на другом краю населенного пункта продолжение своей домашней сетки. Знакомые ip, простота мониторинга, работа из мастерской с домашним принтером, ура! 🥳
Но...

КМБ-4

@Dolphin

Здаров.
Скажи пожалуйста, у каждого микротика свой независимый выход в Интернет по PPPOE?

Dolphin

@coaxial

Приветствую.

Нет, один микротик ходит по pppoe и получает инет через него, второй через eoip подключается к первому и берет инет через первого.
И pppoe и eoip висят на одном аппаратном порту первого микрота (если это важно).
Схематически эта "сеть" выглядит вот таким образом.

КМБ-4

@Dolphin
Как-то хитро сеть 10.10.10.0/24 расшарена между точками?

Dolphin

@coaxial ну по сути ничего хитрого. Ну или я неправильно понимаю вопрос 🤷‍♂️ dhcp сервер там, откуда pppoe во внешний мир идёт, и оттуда же eoip в "удаленку".

КМБ-4

@Dolphin
Понял теперь, EOIP это L2TP или подобное.
Попробуй разделить эти сети, например. Сделать два честных разделенных L2 сегмента с независимыми сетями. Линк между ними - тоннель этот EOIP, заменить на GRE/IPSEC например попробуй. Выход в Интернет из второй сети соответственно маршрутом через тоннель в корневой дом.
Интересно конечно, почему сейчас не работает

Dolphin

@coaxial на всякий - причина нерабочести найдена. eoip при добавлении его в бридж локалки - меняет MTU у бриджа на свои значения. И с такими значениями что-то ломает в SSL, как я понял. Если прописать MTU бриджа вручную после добавления EOIP, то все замечательно работает. В общем, причина нерабочести найдена, спасибо за советы. Реально, ценю́ 🤝

Go Up