Два офиса - AT-AR415S

Здесь обсуждаются вопросы связанные с маршрутизаторами, сетевыми экранами, VPN

Модератор: Allied Telesis Russia

Два офиса - AT-AR415S

Сообщение Blizzard » 19 фев 2016, 11:20

Есть два офиса, и две железки AT-AR415S

Задача тривиальная, на микротике/cisco решается за час, но вот с АТ я намучался, не привычный конфиг...
Я не думал что потрачу пару дней, да еще и приходилось читать японские сайты с конфигами...

Задача, офис 1 (master)
=======================
Поднять DHCP (192.168.1.200 - 250)
Поднять PPPoE через ростелеком
Поднять NAT
Пробросить порты 443 на 192.168.1.4 и 34589 на 192.168.1.4
Поднять L2TP сервер
Настроить между офисами маршутизацию

Задача, офис 2 (slave)
======================
Поднять DHCP (192.168.2.100 - 150)
Поднять PPPoE через ростелеком
Поднять NAT
Поднять L2TP клиент
Настроить между офисами маршутизацию


Конфиги
Код: Выделить всё
# System configuration
set help=400-291a.hlp

# User configuration
set user=manager pass=3af00c6cad11f7ab5db4467b66ce503eff priv=manager lo=yes
set user=manager telnet=yes desc="Manager Account"

# TTY configuration
add alias="sh run" string="show config dynamic"
add alias="wr" string="create config=boot1.cfg"

# L2TP configuration
enable l2tp
enable l2tp server=lns
add l2tp password="secret"
add l2tp call="client" rem="master" ip=0.0.0.0 ty=virtual prec=in

# PPP configuration
create ppp=0 over=eth0-any
set ppp=0 bap=off iprequest=on username="username" password="password"
set ppp=0 over=eth0-any lqr=off echo=10
create ppp=10 over=tnl-client
set ppp=10 over=tnl-client lqr=off echo=15

# IP configuration
enable ip
enable ip remote
ena ip dnsrelay
add ip int=vlan1 ip=192.168.1.5
add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0
add ip int=ppp10 ip=192.168.255.253 mask=255.255.255.252
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
add ip rou=192.168.2.0 mask=255.255.255.0 int=ppp10 next=192.168.255.254

# Firewall configuration
enable firewall
create firewall policy="l2tp"
create firewall policy="main"
create firewall policy="l2tp" dy=dynamic
add firewall policy="l2tp" dy=dynamic us=any
add firewall policy="l2tp" int=dyn-dynamic type=private
disable firewall policy="main" identproxy
enable firewall policy="main" log=deny
enable firewall policy="main" icmp_f=unre,ping,timee
add firewall policy="main" int=ppp10 type=private
add firewall policy="main" int=vlan1 type=private
add firewall policy="main" int=ppp0 type=public
add firewall poli="main" nat=enhanced int=vlan1 gblin=ppp0
add firewall poli="main" ru=1 ac=allo int=ppp0 prot=udp po=1701 ip=62.1.1.1 gblip=62.1.1.1 gblp=1701
add firewall poli="main" ru=2 ac=allo int=ppp0 prot=tcp po=443 ip=192.168.1.4 gblip=62.1.1.1 gblp=443
add firewall poli="main" ru=3 ac=allo int=ppp0 prot=tcp po=34589 ip=192.168.1.4 gblip=62.1.1.1 gblp=34589
add firewall poli="main" ru=4 ac=allo int=vlan1 prot=ALL

# DHCP (Post IP) configuration
enable dhcp
create dhcp poli="0" lease=28800
add dhcp poli="0" subn=255.255.255.0
add dhcp poli="0" rou=192.168.1.5
add dhcp poli="0" dnss=192.168.1.1
create dhcp ran="0" poli="0" ip=192.168.1.200 num=50
set dhcp ran="0" pro=ARP


Код: Выделить всё
# System configuration
set help=400-291a.hlp

# User configuration
set user=manager pass=3af00c6cad11f7ab5db4467b66ce503eff priv=manager lo=yes
set user=manager telnet=yes desc="Manager Account"

# TTY configuration
add alias="sh run" string="show config dynamic"
add alias="wr" string="create config=boot1.cfg"

# L2TP configuration
enable l2tp
enable l2tp server=lac
add l2tp call="master" rem="client" ip=62.1.1.1 ty=virtual prec=out
set l2tp call="master" pass=secret

# PPP configuration
create ppp=0 over=eth0-any
set ppp=0 bap=off iprequest=on username="Skoraja3-kspd" password="123456"
set ppp=0 over=eth0-any lqr=off echo=10
create ppp=10 over=tnl-master
set ppp=10 over=tnl-master lqr=off echo=15

# IP configuration
enable ip
enable ip remote
ena ip dnsrelay
add ip int=vlan1 ip=192.168.2.1
add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0
add ip int=ppp10 ip=192.168.255.254 mask=255.255.255.252
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
add ip rou=192.168.1.0 mask=255.255.255.0 int=ppp10 next=192.168.255.253
enable ip nat
add ip nat ip=192.168.2.0 mask=255.255.255.0 gblint=ppp0

# DHCP (Post IP) configuration
enable dhcp
create dhcp poli="0" lease=28800
add dhcp poli="0" subn=255.255.255.0
add dhcp poli="0" rou=192.168.2.1
add dhcp poli="0" dnss=192.168.2.1
create dhcp ran="0" poli="0" ip=192.168.2.100 num=50 pro=ARP


Проблемы:
Офис №1:
1. Теряеются пакеты. возможно фаер дропает пакеты. как юзерам с локалки vlan1 разрешить все ?
2. с роутера видно ип 192.168.2.101, но вот за роутером уже фиг, все идет сразу по дефолт маршруту
3. После ребута из конфига не вгружаются строчки:
add firewall poli="main" ru=1 ac=allo int=ppp0 prot=udp po=1701 ip=62.1.1.1 gblip=62.1.1.1 gblp=1701
add firewall poli="main" ru=2 ac=allo int=ppp0 prot=tcp po=443 ip=192.168.1.4 gblip=62.1.1.1 gblp=443
add firewall poli="main" ru=3 ac=allo int=ppp0 prot=tcp po=34589 ip=192.168.1.4 gblip=62.1.1.1 gblp=34589
т.е. в файле есть а в "show config dynamic" их нет...
4. После того как уронил l2tp тунель, не поднимается, поднимать приходится только через "reset ppp=10"

Что я делаю не так ?! :)
Blizzard
 
Сообщения: 7
Зарегистрирован: 19 фев 2016, 01:53

Re: Два офиса - AT-AR415S

Сообщение dmitry_tarakanov » 20 фев 2016, 12:30

Офис №1:
1. Теряеются пакеты. возможно фаер дропает пакеты. как юзерам с локалки vlan1 разрешить все ?

1.а На 415s имеется весьма ограниченное количество firewall-сессий без покупки доплицензии. Гляньте, не забили ли пользователи торрентами. Вы можете лимитировать количество сессий например на хост. Также 415s не как другие закрывает эти сессии и они "висят". Лечится настройкой таймаута неживой сессии tcp, udp.
1.б Безотносительно железки, будь это AT, cisco или что-то еще, если у Вас есть туннель и потеря пакетов, стоит проверить MTU. А из Вашей настройки DHCP видно, что Вы это не делаете.
2. с роутера видно ип 192.168.2.101, но вот за роутером уже фиг, все идет сразу по дефолт маршруту

А как в этот момент выглядит табличка маршрутизации? Просто роутер определят натить или не натить, насколько я помню, еще до маршрутизации. Соответственно, пакет вошел в фаирволл и занатился. А во второй маршрутизатор он попадает, т.к. сеть внутри тоннеля для маршрутизатора считается локальной.
Да и еще. У add ip rou есть параметр template.

3. После ребута из конфига не вгружаются строчки:
add firewall poli="main" ru=1 ac=allo int=ppp0 prot=udp po=1701 ip=62.1.1.1 gblip=62.1.1.1 gblp=1701
add firewall poli="main" ru=2 ac=allo int=ppp0 prot=tcp po=443 ip=192.168.1.4 gblip=62.1.1.1 gblp=443
add firewall poli="main" ru=3 ac=allo int=ppp0 prot=tcp po=34589 ip=192.168.1.4 gblip=62.1.1.1 gblp=34589
т.е. в файле есть а в "show config dynamic" их нет...


Все логично, т.к. в этот момент интерфейса еще нет.

Я прошу прощения, если что не допонял, не могу никак точно предсказать, как должен вести себя маршрутизатор, если, как и у Вас, сразу несколько политик.
dmitry_tarakanov
 
Сообщения: 33
Зарегистрирован: 28 янв 2009, 22:59

Re: Два офиса - AT-AR415S

Сообщение Blizzard » 13 апр 2016, 12:54

Все почти хорошо, кроме того что упал L2TP между офисами и подниматься не хочет по неизвестным причинам, помогите, оба конфига прикрепил
Где накосячил? Подозреваю настроил криво фаервол?

Код: Выделить всё
MASTER:


# User configuration
set user=manager pass=3af00c6cad11f7ab5db4467b66ce503eff priv=manager lo=yes
set user=manager telnet=yes desc="Manager Account"

# TTY configuration
add alias="sh run" string="show config dynamic"
add alias="wr" string="create config=boot1.cfg"

# L2TP configuration
enable l2tp
enable l2tp server=lns
add l2tp password="123123"
add l2tp call="client" rem="master" ip=0.0.0.0 ty=virtual prec=in

# PPP configuration
create ppp=0 over=eth0-any
set ppp=0 bap=off iprequest=on username="login" password="password"
set ppp=0 over=eth0-any lqr=off echo=10
create ppp=10 over=tnl-client
set ppp=10 over=tnl-client lqr=off echo=15

# IP configuration
enable ip
enable ip remote
ena ip dnsrelay
add ip int=vlan1 ip=192.168.1.5
add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0
add ip int=ppp10 ip=192.168.255.253 mask=255.255.255.252
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
add ip rou=192.168.2.0 mask=255.255.255.0 int=ppp10 next=192.168.255.254

# Firewall configuration
enable firewall
create firewall policy="l2tp"
create firewall policy="main"
create firewall policy="l2tp" dy=dynamic
add firewall policy="l2tp" dy=dynamic us=any
add firewall policy="l2tp" int=dyn-dynamic type=private
disable firewall policy="main" identproxy
enable firewall policy="main" log=deny
enable firewall policy="main" icmp_f=unre,ping,timee
add firewall policy="main" int=ppp10 type=private
add firewall policy="main" int=vlan1 type=private
add firewall policy="main" int=ppp0 type=public
add firewall poli="main" nat=enhanced int=vlan1 gblin=ppp0
add firewall poli="main" ru=1 ac=allo int=ppp0 prot=udp po=1701 ip=1.1.1.1 gblip=1.1.1.1 gblp=1701
add firewall poli="main" ru=2 ac=allo int=ppp0 prot=tcp po=443 ip=192.168.1.4 gblip=1.1.1.1 gblp=443
add firewall poli="main" ru=3 ac=allo int=ppp0 prot=tcp po=34589 ip=192.168.1.4 gblip=1.1.1.1 gblp=34589
add firewall poli="main" ru=5 ac=allo int=ppp10 prot=ALL
add firewall poli="main" ru=4 ac=allo int=vlan1 prot=ALL

# DHCP (Post IP) configuration
enable dhcp
create dhcp poli="0" lease=28800
add dhcp poli="0" subn=255.255.255.0
add dhcp poli="0" rou=192.168.1.5
add dhcp poli="0" dnss=192.168.1.1
create dhcp ran="0" poli="0" ip=192.168.1.200 num=50
set dhcp ran="0" pro=ARP


Код: Выделить всё
SLAVE:

# User configuration
set user=manager pass=3af00c6cad11f7ab5db4467b66ce503eff priv=manager lo=yes
set user=manager telnet=yes desc="Manager Account"

# TTY configuration
add alias="sh run" string="show config dynamic"
add alias="wr" string="create config=boot1.cfg"

# L2TP configuration
enable l2tp
enable l2tp server=lac
add l2tp call="master" rem="client" ip=1.1.1.1 ty=virtual prec=out
set l2tp call="master" pass=123123

# PPP configuration
create ppp=0 over=eth0-any
set ppp=0 bap=off iprequest=on username="login" password="password"
set ppp=0 over=eth0-any lqr=off echo=10
create ppp=10 over=tnl-master
set ppp=10 over=tnl-master lqr=off echo=15

# IP configuration
enable ip
enable ip remote
ena ip dnsrelay
add ip int=vlan1 ip=192.168.2.1
add ip int=ppp0 ip=0.0.0.0 mask=0.0.0.0
add ip int=ppp10 ip=192.168.255.254 mask=255.255.255.252
add ip rou=0.0.0.0 mask=0.0.0.0 int=ppp0 next=0.0.0.0
add ip rou=192.168.1.0 mask=255.255.255.0 int=ppp10 next=192.168.255.253

# Firewall configuration
enable firewall
create firewall policy="main"
disable firewall policy="main" identproxy
enable firewall policy="main" log=deny
enable firewall policy="main" icmp_f=unre,ping,timee
add firewall policy="main" int=vlan1 type=private
add firewall policy="main" int=ppp10 type=private
add firewall policy="main" int=ppp0 type=public
add firewall poli="main" nat=enhanced int=vlan1 gblin=ppp0

# DHCP (Post IP) configuration
enable dhcp
create dhcp poli="0" lease=28800
add dhcp poli="0" subn=255.255.255.0
add dhcp poli="0" rou=192.168.2.1
add dhcp poli="0" dnss=192.168.2.1
create dhcp ran="0" poli="0" ip=192.168.2.100 num=50 pro=ARP
Blizzard
 
Сообщения: 7
Зарегистрирован: 19 фев 2016, 01:53

Re: Два офиса - AT-AR415S

Сообщение Ginodman Mikhail » 13 апр 2016, 13:32

стр 32
Why you need to use an idle timer on a PPPoE link
http://alliedtelesis.ru/media/fount/how ... s_RevE.pdf
Ginodman Mikhail
Site Admin
 
Сообщения: 2489
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: Два офиса - AT-AR415S

Сообщение Blizzard » 14 апр 2016, 12:13

Ginodman Mikhail писал(а):стр 32
Why you need to use an idle timer on a PPPoE link
http://alliedtelesis.com/media/fount/ho ... s_RevE.pdf

create ppp=10 idle=100000
На клиенте только ?
Blizzard
 
Сообщения: 7
Зарегистрирован: 19 фев 2016, 01:53

Re: Два офиса - AT-AR415S

Сообщение Blizzard » 14 апр 2016, 15:47

Разобрался в чем косяк, после перезагрузки вот эти правила пропадают

Код: Выделить всё
add firewall poli="main" ru=1 ac=allo int=ppp0 prot=udp po=1701 ip=1.1.1.1 gblip=1.1.1.1 gblp=1701
add firewall poli="main" ru=2 ac=allo int=ppp0 prot=tcp po=443 ip=192.168.1.4 gblip=1.1.1.1 gblp=443
add firewall poli="main" ru=3 ac=allo int=ppp0 prot=tcp po=34589 ip=192.168.1.4 gblip=1.1.1.1 gblp=34589


Я так понимаю это происходит из за того что нет интерфейса ppp0, как быть тогда ?
Blizzard
 
Сообщения: 7
Зарегистрирован: 19 фев 2016, 01:53

Re: Два офиса - AT-AR415S

Сообщение Ginodman Mikhail » 14 апр 2016, 16:56

Blizzard писал(а):
Ginodman Mikhail писал(а):стр 32
Why you need to use an idle timer on a PPPoE link
http://alliedtelesis.com/media/fount/ho ... s_RevE.pdf

create ppp=10 idle=100000
На клиенте только ?

На обоих
Ginodman Mikhail
Site Admin
 
Сообщения: 2489
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: Два офиса - AT-AR415S

Сообщение Ginodman Mikhail » 14 апр 2016, 16:56

Blizzard писал(а):Разобрался в чем косяк, после перезагрузки вот эти правила пропадают

Код: Выделить всё
add firewall poli="main" ru=1 ac=allo int=ppp0 prot=udp po=1701 ip=1.1.1.1 gblip=1.1.1.1 gblp=1701
add firewall poli="main" ru=2 ac=allo int=ppp0 prot=tcp po=443 ip=192.168.1.4 gblip=1.1.1.1 gblp=443
add firewall poli="main" ru=3 ac=allo int=ppp0 prot=tcp po=34589 ip=192.168.1.4 gblip=1.1.1.1 gblp=34589


Я так понимаю это происходит из за того что нет интерфейса ppp0, как быть тогда ?

Он у вас статически настроен почему нет? Версия прошивки на обоих?
Ginodman Mikhail
Site Admin
 
Сообщения: 2489
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: Два офиса - AT-AR415S

Сообщение Blizzard » 19 апр 2016, 23:00

Да точно, он же статический, создается ведь в конфиге. тогда странно очень почему такое происходит, вот версия, на двух железках одинаково

Код: Выделить всё
Current Configuration

Release File 54292-01.rez
Release Version 2.9.2
GUI Resource File 415s_292-01_en_d.rsc
Gui Resource File Version 00
Command Line Help File 400-291a.hlp
Blizzard
 
Сообщения: 7
Зарегистрирован: 19 фев 2016, 01:53

Re: Два офиса - AT-AR415S

Сообщение Blizzard » 22 апр 2016, 06:25

Обновил ПО, не помогло, на мастере при ребуте, так и пропадают правила!
Blizzard
 
Сообщения: 7
Зарегистрирован: 19 фев 2016, 01:53

Re: Два офиса - AT-AR415S

Сообщение Ginodman Mikhail » 22 апр 2016, 10:29

Blizzard писал(а):Обновил ПО, не помогло, на мастере при ребуте, так и пропадают правила!

используйте следующий документ для настройки, там есть и PPPoE и L2TP
http://alliedtelesis.ru/media/fount/how ... asics1.pdf
Ginodman Mikhail
Site Admin
 
Сообщения: 2489
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow

Re: Два офиса - AT-AR415S

Сообщение Blizzard » 27 апр 2016, 00:43

Угу, настраивал по этому ману, конфиги же выше приложил, все ок, тупо правило слетает после ребута...
Blizzard
 
Сообщения: 7
Зарегистрирован: 19 фев 2016, 01:53

Re: Два офиса - AT-AR415S

Сообщение Ginodman Mikhail » 27 апр 2016, 10:11

Blizzard писал(а):Угу, настраивал по этому ману, конфиги же выше приложил, все ок, тупо правило слетает после ребута...

настройте триггер на поднятие интерфейса ppp0, по нему запуск скрипта, а в скрипт ваши правила
Ginodman Mikhail
Site Admin
 
Сообщения: 2489
Зарегистрирован: 29 янв 2008, 14:32
Откуда: AlliedTelesis Moscow


Вернуться в Маршрутизаторы и фаерволы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2