Проблемы с маршрутизацией трафика l2tp/ipsec

[itspec984]

Добрый день. Есть одна проблема с маршрутизацией.
Связал между собой роутеры через l2tp/IPsec. Сеть 172.16.1.0
Центральный роутер имеет сеть 192.168.0.0/24 Видит все сети. Всё пингуется и трассируется.
1 роутер имеет адресацию 192.168.1.0/24 Его тоже отовсюду видно, вся его сеть пингуется и трассируется.
2 роутер имеет адресацию 10.9.0.0/24 До его сети не пингуется и не трассируется. Затыкается на центральном роутере.
3 ВПН сеть имеет 10.10.0.0/24 С ней та же история. Затыкается на центральном роутере.
Все маршруты прописывал, межсетевые экраны всё пропускают.
Я предполагаю, что роутер не может прокидывать маршрут в сети с адресацией, начинающейся на 10
Пытался уже через Telnet прописывать маршруты до сетей, менял метрики.
Подскажите что ещё можно сделать, чтобы все видели всех через l2tp.

 

Edited April 23 by itspec984
добавил схему

[Илья Картавенко]

4 часа назад, itspec984 сказал:

Добрый день. Есть одна проблема с маршрутизацией.
Связал между собой роутеры через l2tp/IPsec. Сеть 172.16.1.0
Центральный роутер имеет сеть 192.168.0.0/24 Видит все сети. Всё пингуется и трассируется.
1 роутер имеет адресацию 192.168.1.0/24 Его тоже отовсюду видно, вся его сеть пингуется и трассируется.
2 роутер имеет адресацию 10.9.0.0/24 До его сети не пингуется и не трассируется. Затыкается на центральном роутере.
3 ВПН сеть имеет 10.10.0.0/24 С ней та же история. Затыкается на центральном роутере.
Все маршруты прописывал, межсетевые экраны всё пропускают.
Я предполагаю, что роутер не может прокидывать маршрут в сети с адресацией, начинающейся на 10
Пытался уже через Telnet прописывать маршруты до сетей, менял метрики.
Подскажите что ещё можно сделать, чтобы все видели всех через l2tp.

 

https://support.keenetic.ru/skipper/kn-1910/ru/21241.html#21241-маршрутизация-сетей-через-vpn

[itspec984]

Всё так и сделано. Работает только в сторону где ип адрес 192.168.1.0,

На адресации 10.9.0.0 и 10.10.0.0 нет трассировки.

С сети центрального роутера ходит спокойно по этим сетям.

Не хочет идти в сети с клиентского роутера. Все маршруты прописаны и на клиенте и на центральном роутере.

Межсетевые экраны разрешены.

Вот с клиентского роутера:

starting traceroute to 10.10.0.1...
traceroute to 10.10.0.1 (10.10.0.1), 30 hops maximum, 52 byte packets.
 1  192.168.0.1 (192.168.0.1)  14.336 ms  13.911 ms  13.886 ms
 2  * * *
 3  * * *
 4  * * *
 
 
 sending ICMP ECHO request to 10.10.0.1...
PING 10.10.0.1 (10.10.0.1) 24 (52) bytes of data.

--- 10.10.0.1 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss,
0 duplicate(s), time 4281.62 ms.

Вот с центрального роутера(ну естессно один хоп)):

starting traceroute to 10.10.0.1...
traceroute to 10.10.0.1 (10.10.0.1), 30 hops maximum, 52 byte packets.
 1  10.10.0.1 (10.10.0.1)  6.529 ms  6.410 ms  6.416 ms
 
 
 
 sending ICMP ECHO request to 10.10.0.1...
PING 10.10.0.1 (10.10.0.1) 24 (52) bytes of data.
52 bytes from 10.10.0.1: icmp_req=1, ttl=64, time=6.35 ms.
52 bytes from 10.10.0.1: icmp_req=2, ttl=64, time=6.24 ms.
52 bytes from 10.10.0.1: icmp_req=3, ttl=64, time=6.18 ms.

--- 10.10.0.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss,
0 duplicate(s), time 2252.48 ms.
Round-trip min/avg/max = 6.18/6.25/6.35 ms.

 

Edited April 24 by itspec984
добавил картину

[Leshiyart]

на роутере1 нужен маршрут к 172.16.1.4 l2tp

[Leshiyart]

ну и картинка не соответствует описанию, 10.10 же на роутере что по wg подключен, почему вы маршрут по л2тп пишите
или имеется ввиду что все три объединены все таки по л2тп, и нужен маршрут в сеть за третьим роутером

Edited April 24 by Leshiyart

[vvfd]

15 часов назад, itspec984 сказал:

Я предполагаю, что роутер не может прокидывать маршрут в сети с адресацией, начинающейся на 10

Может. Начинай постепенно. Сначала настрой устойчивую работу канала wg между роутером и vps сервером. У wg интересная маршрутизация и часть разрешений задается в настройках соединений через allowed ip. ИИ в помощь. Потом настрой l2tp канал с роутером так чтобы роутер видел сеть за клиента l2tp или сеть за ним, если есть такое.

[itspec984]

Да есть такое. Ошибся. wg на 10.9.0.0

Уже просто два дня бьюсь с этим делом.

WG вообще в принципе пока не нужен, хотя бы эту троицу связать.

 

Маршрут этот есть.

[vvfd]

я бы кстати посоветовал на ЦР поднять один WG сервер и всех клиентов тоже подключить через WG

[itspec984]

Вообщем пересоздал маршруты, вроде завелось.

Вообще странные баги эти. Я уже всяко бился.

Сейчас все всех видят. Видимо надо было это озвучить чтобы заработало:)

Спасибо за помощь.

Честно не понимаю что это было) Всё то же самое пересоздавал несколько раз....

За wg +, но там сеть слегка сложнее будет, чем я показал. Спасибо за советы.

Edited April 24 by itspec984

[itspec984]

 

Вообще странный глюк. Если я на центральном роутере прописываю принудительно Маршрут до сети, тогда работает. Только удаляю правило: всё сеть недоступна.

Ну и в таблице при этом такая картина. Так странно и работает.

[Leshiyart]

2 минуты назад, itspec984 сказал:

Вообще странный глюк. Если я на центральном роутере прописываю принудительно Маршрут до сети, тогда работает.

в чем глюк? маршрут нужен этот, с галкой добавлять автоматически (при этом клиентом надо переподключиться чтоб он начал действовать)

[itspec984]

Глюк в том, что в таблице маршрутизации тогда идут два правила. А по хорошему должно быть только одно.

По идее, когда клиент подключается этот маршрут создаётся автоматом. Но так не хочет работать...

[Leshiyart]

покажи как выглядит при создании этот маршрут и что ты в итоге потом пытаешься удалить

[itspec984]

Кажется разобрался. У провайдера есть этот маршрут, уходит куда-то в инет.

Поэтому принудительно приходится его прописывать на всех роутерах.

Теперь следующий вопрос. У l2tp сервера есть ип адрес? Можно ли его ему присвоить?

Это нужно, чтобы через него следующие маршруты проложить.

Заранее благодарю.

[Leshiyart]

25 минут назад, itspec984 сказал:

У провайдера есть этот маршрут, уходит куда-то в инет.

о каком конкретно маршруте речь? если это сета 10.10 то надо сменить ее на оном из роутеров

[itspec984]

Да уже работает, спасибо.

Как серверу l2tp можно добавить адрес сети?

[Leshiyart]

расшифруй

[itspec984]

Ну вот. Пытаюсь прокинуть маршрут до WG. Опять на центральном маршрутизаторе затык идёт....

 

starting traceroute to 10.9.0.1...
traceroute to 10.9.0.1 (10.9.0.1), 30 hops maximum, 52 byte packets.
 1  192.168.0.1 (192.168.0.1)  7.458 ms  6.886 ms  3.472 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *

 

Edited April 24 by itspec984

[itspec984]

Итак Великое колдунство свершилось. Я поставил на WG NAT на центральном маршрутизаторе.. Естессно ниже приоритет чем у интернета.

И так завелось, сейчас за натом видна сеть WG.

Ну интернет туда не идёт, если основной инет отваливается, то и WG тоже не отвечает.

Всем спасибо!

Edited April 24 by itspec984

[Leshiyart]

10 минут назад, itspec984 сказал:

Я поставил на WG NAT на центральном маршрутизаторе.. Естессно ниже приоритет чем у интернета

можно попробовать без этой галки
через cli сделать
interface Wireguard0 ip access-group _WEBADMIN_Wireguard0 out
(при этом в межсетевом экране уже должны быть разрешающие правила на ip протокол для вг)
возможно еще это ip nat Wireguard0 (но не обязательно)

[itspec984]

Работает. Сейчас вкратце скажу почему L2tp.

Проблема WG в том, что не виден конец тоннеля, и что там происходит непонятно.

Потому сделал две сети. L2tp: сервисная сеть, там не будет ходить трафик, она нужна для того, чтобы было видно кто онлайн, а кто отвалился.

WG: транспортная сеть, там будет ходить весь нужный мне трафик по маршрутам. Как то так.