Проблемы с маршрутизацией трафика l2tp/ipsec

[itspec984]

Добрый день. Есть одна проблема с маршрутизацией.
Связал между собой роутеры через l2tp/IPsec. Сеть 172.16.1.0
Центральный роутер имеет сеть 192.168.0.0/24 Видит все сети. Всё пингуется и трассируется.
1 роутер имеет адресацию 192.168.1.0/24 Его тоже отовсюду видно, вся его сеть пингуется и трассируется.
2 роутер имеет адресацию 10.9.0.0/24 До его сети не пингуется и не трассируется. Затыкается на центральном роутере.
3 ВПН сеть имеет 10.10.0.0/24 С ней та же история. Затыкается на центральном роутере.
Все маршруты прописывал, межсетевые экраны всё пропускают.
Я предполагаю, что роутер не может прокидывать маршрут в сети с адресацией, начинающейся на 10
Пытался уже через Telnet прописывать маршруты до сетей, менял метрики.
Подскажите что ещё можно сделать, чтобы все видели всех через l2tp.

 

Изменено вчера в 14:27 пользователем itspec984
добавил схему

[Илья Картавенко]

4 часа назад, itspec984 сказал:

Добрый день. Есть одна проблема с маршрутизацией.
Связал между собой роутеры через l2tp/IPsec. Сеть 172.16.1.0
Центральный роутер имеет сеть 192.168.0.0/24 Видит все сети. Всё пингуется и трассируется.
1 роутер имеет адресацию 192.168.1.0/24 Его тоже отовсюду видно, вся его сеть пингуется и трассируется.
2 роутер имеет адресацию 10.9.0.0/24 До его сети не пингуется и не трассируется. Затыкается на центральном роутере.
3 ВПН сеть имеет 10.10.0.0/24 С ней та же история. Затыкается на центральном роутере.
Все маршруты прописывал, межсетевые экраны всё пропускают.
Я предполагаю, что роутер не может прокидывать маршрут в сети с адресацией, начинающейся на 10
Пытался уже через Telnet прописывать маршруты до сетей, менял метрики.
Подскажите что ещё можно сделать, чтобы все видели всех через l2tp.

 

https://support.keenetic.ru/skipper/kn-1910/ru/21241.html#21241-маршрутизация-сетей-через-vpn

[itspec984]

Всё так и сделано. Работает только в сторону где ип адрес 192.168.1.0,

На адресации 10.9.0.0 и 10.10.0.0 нет трассировки.

С сети центрального роутера ходит спокойно по этим сетям.

Не хочет идти в сети с клиентского роутера. Все маршруты прописаны и на клиенте и на центральном роутере.

Межсетевые экраны разрешены.

Вот с клиентского роутера:

starting traceroute to 10.10.0.1...
traceroute to 10.10.0.1 (10.10.0.1), 30 hops maximum, 52 byte packets.
 1  192.168.0.1 (192.168.0.1)  14.336 ms  13.911 ms  13.886 ms
 2  * * *
 3  * * *
 4  * * *
 
 
 sending ICMP ECHO request to 10.10.0.1...
PING 10.10.0.1 (10.10.0.1) 24 (52) bytes of data.

--- 10.10.0.1 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss,
0 duplicate(s), time 4281.62 ms.

Вот с центрального роутера(ну естессно один хоп)):

starting traceroute to 10.10.0.1...
traceroute to 10.10.0.1 (10.10.0.1), 30 hops maximum, 52 byte packets.
 1  10.10.0.1 (10.10.0.1)  6.529 ms  6.410 ms  6.416 ms
 
 
 
 sending ICMP ECHO request to 10.10.0.1...
PING 10.10.0.1 (10.10.0.1) 24 (52) bytes of data.
52 bytes from 10.10.0.1: icmp_req=1, ttl=64, time=6.35 ms.
52 bytes from 10.10.0.1: icmp_req=2, ttl=64, time=6.24 ms.
52 bytes from 10.10.0.1: icmp_req=3, ttl=64, time=6.18 ms.

--- 10.10.0.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss,
0 duplicate(s), time 2252.48 ms.
Round-trip min/avg/max = 6.18/6.25/6.35 ms.

 

Изменено 10 часов назад пользователем itspec984
добавил картину

[Leshiyart]

на роутере1 нужен маршрут к 172.16.1.4 l2tp

[Leshiyart]

ну и картинка не соответствует описанию, 10.10 же на роутере что по wg подключен, почему вы маршрут по л2тп пишите
или имеется ввиду что все три объединены все таки по л2тп, и нужен маршрут в сеть за третьим роутером

Изменено 10 часов назад пользователем Leshiyart

[vvfd]

15 часов назад, itspec984 сказал:

Я предполагаю, что роутер не может прокидывать маршрут в сети с адресацией, начинающейся на 10

Может. Начинай постепенно. Сначала настрой устойчивую работу канала wg между роутером и vps сервером. У wg интересная маршрутизация и часть разрешений задается в настройках соединений через allowed ip. ИИ в помощь. Потом настрой l2tp канал с роутером так чтобы роутер видел сеть за клиента l2tp или сеть за ним, если есть такое.

[itspec984]

Да есть такое. Ошибся. wg на 10.9.0.0

Уже просто два дня бьюсь с этим делом.

WG вообще в принципе пока не нужен, хотя бы эту троицу связать.

 

Маршрут этот есть.

[vvfd]

я бы кстати посоветовал на ЦР поднять один WG сервер и всех клиентов тоже подключить через WG

[itspec984]

Вообщем пересоздал маршруты, вроде завелось.

Вообще странные баги эти. Я уже всяко бился.

Сейчас все всех видят. Видимо надо было это озвучить чтобы заработало:)

Спасибо за помощь.

Честно не понимаю что это было) Всё то же самое пересоздавал несколько раз....

За wg +, но там сеть слегка сложнее будет, чем я показал. Спасибо за советы.

Изменено 9 часов назад пользователем itspec984

[itspec984]

 

Вообще странный глюк. Если я на центральном роутере прописываю принудительно Маршрут до сети, тогда работает. Только удаляю правило: всё сеть недоступна.

Ну и в таблице при этом такая картина. Так странно и работает.

[Leshiyart]

2 минуты назад, itspec984 сказал:

Вообще странный глюк. Если я на центральном роутере прописываю принудительно Маршрут до сети, тогда работает.

в чем глюк? маршрут нужен этот, с галкой добавлять автоматически (при этом клиентом надо переподключиться чтоб он начал действовать)

[itspec984]

Глюк в том, что в таблице маршрутизации тогда идут два правила. А по хорошему должно быть только одно.

По идее, когда клиент подключается этот маршрут создаётся автоматом. Но так не хочет работать...

[Leshiyart]

покажи как выглядит при создании этот маршрут и что ты в итоге потом пытаешься удалить

[itspec984]

Кажется разобрался. У провайдера есть этот маршрут, уходит куда-то в инет.

Поэтому принудительно приходится его прописывать на всех роутерах.

Теперь следующий вопрос. У l2tp сервера есть ип адрес? Можно ли его ему присвоить?

Это нужно, чтобы через него следующие маршруты проложить.

Заранее благодарю.

[Leshiyart]

25 минут назад, itspec984 сказал:

У провайдера есть этот маршрут, уходит куда-то в инет.

о каком конкретно маршруте речь? если это сета 10.10 то надо сменить ее на оном из роутеров

[itspec984]

Да уже работает, спасибо.

Как серверу l2tp можно добавить адрес сети?

[Leshiyart]

расшифруй

[itspec984]

Ну вот. Пытаюсь прокинуть маршрут до WG. Опять на центральном маршрутизаторе затык идёт....

 

starting traceroute to 10.9.0.1...
traceroute to 10.9.0.1 (10.9.0.1), 30 hops maximum, 52 byte packets.
 1  192.168.0.1 (192.168.0.1)  7.458 ms  6.886 ms  3.472 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *

 

Изменено 7 часов назад пользователем itspec984

[itspec984]

Итак Великое колдунство свершилось. Я поставил на WG NAT на центральном маршрутизаторе.. Естессно ниже приоритет чем у интернета.

И так завелось, сейчас за натом видна сеть WG.

Ну интернет туда не идёт, если основной инет отваливается, то и WG тоже не отвечает.

Всем спасибо!

Изменено 7 часов назад пользователем itspec984

[Leshiyart]

10 минут назад, itspec984 сказал:

Я поставил на WG NAT на центральном маршрутизаторе.. Естессно ниже приоритет чем у интернета

можно попробовать без этой галки
через cli сделать
interface Wireguard0 ip access-group _WEBADMIN_Wireguard0 out
(при этом в межсетевом экране уже должны быть разрешающие правила на ip протокол для вг)
возможно еще это ip nat Wireguard0 (но не обязательно)

[itspec984]

Работает. Сейчас вкратце скажу почему L2tp.

Проблема WG в том, что не виден конец тоннеля, и что там происходит непонятно.

Потому сделал две сети. L2tp: сервисная сеть, там не будет ходить трафик, она нужна для того, чтобы было видно кто онлайн, а кто отвалился.

WG: транспортная сеть, там будет ходить весь нужный мне трафик по маршрутам. Как то так.