Problema PPTP vs PCC

[uniconnect]

Buonasera a tutti,

vi espongo rapidamente il mio "odierno" problema!!! ... in ufficio ho una rb che gestisce varie connessioni su radius, circa 20 connessioni PPTP, 15 VPN ed un paio di EOIP ... inoltre fa anche bilanciamento di carico tra 3 flussi in fibra e tutto funziona bene ... per esigenze personali ho cercato di riprodurre (in piccolo) la cose nella mia rete domestica programmando su una rb 751 un bilanciamento di carico tra due adsl in rame due connessioni PPTP (in quanto a casa non ho IP pubblico) per collegarmi alle reti dell'ufficio.... Il problema è che se attivo il bilanciamento di carico fra le adsl le connessioni PPTP mi "cadono" .... ovvero non riesco a pingare più nulla delle rispettive reti remote (anche se apparentemente le interfacce pptp sono attive e connesse), ma se disattivo il PCC tutto torna normale.
Inizialmente avevo pensato che il problema potesse essere nella creazione di una regola specifica nel mangle che indirizzasse le connessioni pptp su di una sola delle due connessioni ma anche in questo modo non cambia nulla!!! ... che per caso qualcuno di voi ha idea di quale possa essere il problema?!? ...
Ringrazio anticipatamente tutti per la pazienza .

Ciao e buona serata.

[xanio]

prova a postare la configurazione e ci diamo un occhio.

[uniconnect]

Grazie mille!!!! .....

Ecco qui di seguito .... fammi sapere se ho dimenticato qualcosa.
-------------------------------------------------------------------

/ip firewall mangle
add action=mark-connection chain=prerouting comment=\
"Load balancing WAN | PCC Method" connection-mark=no-mark disabled=yes \
in-interface=pppoe-out1 new-connection-mark=WAN1_conn
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=\
yes in-interface=pppoe-out2 new-connection-mark=WAN2_conn
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=\
yes dst-address-type=!local in-interface=bridge-lan new-connection-mark=\
WAN1_conn per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=\
yes dst-address-type=!local in-interface=bridge-lan new-connection-mark=\
WAN2_conn per-connection-classifier=both-addresses-and-ports:2/1
add action=mark-routing chain=prerouting connection-mark=WAN1_conn disabled=\
yes in-interface=bridge-lan new-routing-mark=to_WAN1
add action=mark-routing chain=prerouting connection-mark=WAN2_conn disabled=\
yes in-interface=bridge-lan new-routing-mark=to_WAN2
add action=mark-routing chain=output connection-mark=WAN1_conn disabled=yes \
new-routing-mark=to_WAN1
add action=mark-routing chain=output connection-mark=WAN2_conn disabled=yes \
new-routing-mark=to_WAN2

chain=prerouting action=mark-routing new-routing-mark=to_WAN1
passthrough=yes src-address-list=Local_address_to_wan1
connection-mark=WAN1_conn log=no log-prefix=""
--------------------------------------------------------------------------------
note:
bridge-lan è il lato lan,
Local_address_to_WAN1 sono le subnet delle vlan che voglio far transitare solo per la wan1



...... e grazie mille a tutti.

Ciao.

[figheras]

In questo modo costringi qualsiasi src-address ad utilizzare la tabella di routing che hai creato.
Quindi o discrimini il src-address quando marchi le connessioni e crei le tabelle di routing oppure aggiungi delle regole di accept in cima alle regole specificando le subnet che vuoi non debbano partecipare a quella tabella di routing....

[uniconnect]

Grazie mille figheras, tutto chiaro!!! ....

[kitttri]

Ciao a tutti.
Ho un problema simile e non ne vengo fuori.
2 Wan configurate in load balancing PCC e VPN PPTP server che non mi fa vedere la rete LAN in VPN.
La VPN pinga solo il firewall.

Ecco la configurazione del firewall:

/interface ethernet
set [ find default-name=ether1 ] comment="WAN1 TIM"
set [ find default-name=ether2 ] comment="WAN2 NetAndWork"
set [ find default-name=ether6 ] arp=proxy-arp comment="LAN Uffici"

/ip pool
add name=dhcp_pool_LAN ranges=195.100.100.151-195.100.100.170
add name=dhcp_pool_Wifi_guest ranges=192.168.60.100-192.168.60.150
add name=pool_pptp ranges=192.168.61.1-192.168.61.10

/ppp profile
set *0 local-address=195.100.100.254 remote-address=pool_pptp

/interface pptp-server server
set default-profile=default enabled=yes max-mru=1500 max-mtu=1500

/ip address
add address=192.168.50.2/24 interface=ether2 network=192.168.50.0
add address=195.100.100.254/24 interface=ether6 network=195.100.100.0
add address=192.168.60.254/24 interface=vlan10-wifi network=192.168.60.0

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
interface=ether1 use-peer-dns=no

/ip dhcp-server network
add address=192.168.60.0/24 dns-server=195.100.100.254 gateway=192.168.60.254
add address=195.100.100.0/24 dns-server=195.100.100.254 gateway=\
195.100.100.254

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip firewall filter
add action=accept chain=input comment=Ping protocol=icmp
add action=accept chain=input comment="Winbox WAN1" dst-port=8291 \
in-interface=ether1 protocol=tcp
add action=accept chain=input comment="Winbox WAN2" dst-port=8291 \
in-interface=ether2 protocol=tcp
add action=accept chain=input comment="Gre WAN1" in-interface=ether1 \
protocol=gre
add action=accept chain=input comment="Gre WAN2" in-interface=ether2 \
protocol=gre
add action=accept chain=input comment="VPN WAN1" dst-port=1723 in-interface=\
ether1 protocol=tcp
add action=accept chain=input comment="VPN WAN2" dst-port=1723 in-interface=\
ether2 protocol=tcp
add action=accept chain=input comment="Estab, Related WAN1" connection-state=\
established,related in-interface=ether1
add action=accept chain=input comment="Estab, Related WAN2" connection-state=\
established,related in-interface=ether2
add action=accept chain=forward comment="Permetti Forward tra VPN e LAN" \
dst-address=195.100.100.0/24 src-address=192.168.61.0/24
add action=accept chain=forward comment="Permetti Forward tra LAN e VPN" \
dst-address=192.168.61.0/24 src-address=195.100.100.0/24
add action=drop chain=forward comment="Blocca Forward tra Wifi e LAN" \
dst-address=195.100.100.0/24 src-address=192.168.60.0/24
add action=drop chain=forward comment="Blocca Forward tra LAN e Wifi" \
dst-address=192.168.60.0/24 src-address=195.100.100.0/24
add action=drop chain=input connection-state=invalid in-interface=ether1
add action=drop chain=input connection-state=invalid in-interface=ether2
add action=drop chain=input in-interface=ether1
add action=drop chain=input in-interface=ether2

/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.51.0/24 in-interface=\
ether6
add action=accept chain=prerouting dst-address=192.168.50.0/24 in-interface=\
ether6
add action=mark-connection chain=prerouting connection-mark=no-mark \
in-interface=ether1 new-connection-mark=ISP1_conn passthrough=no
add action=mark-connection chain=prerouting connection-mark=no-mark \
in-interface=ether2 new-connection-mark=ISP2_conn passthrough=no
add action=mark-connection chain=prerouting connection-mark=no-mark \
dst-address-type=!local new-connection-mark=ISP1_conn passthrough=yes \
per-connection-classifier=both-addresses:2/0 src-address=195.100.100.0/24
add action=mark-connection chain=prerouting connection-mark=no-mark \
dst-address-type=!local new-connection-mark=ISP2_conn passthrough=yes \
per-connection-classifier=both-addresses:2/1 src-address=195.100.100.0/24
add action=mark-routing chain=prerouting connection-mark=ISP1_conn \
new-routing-mark=to_ISP1 passthrough=yes src-address=195.100.100.0/24
add action=mark-routing chain=prerouting connection-mark=ISP2_conn \
new-routing-mark=to_ISP2 passthrough=yes src-address=195.100.100.0/24
add action=mark-routing chain=output connection-mark=ISP1_conn \
new-routing-mark=to_ISP1 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2_conn \
new-routing-mark=to_ISP2 passthrough=yes
add action=mark-packet chain=prerouting comment="Microsoft Update" \
layer7-protocol=MicrosoftUpdates new-packet-mark=Microsoft passthrough=no
add action=mark-packet chain=prerouting comment="Apple Update" \
layer7-protocol=AppleUpdate new-packet-mark=Apple passthrough=no
add action=mark-packet chain=prerouting comment=Torrent layer7-protocol=\
Torrent new-packet-mark=Torrent passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade WAN1" out-interface=\
ether1
add action=masquerade chain=srcnat comment="Masquerade WAN2" out-interface=\
ether2
add action=masquerade chain=srcnat comment="Masquerade VPN" out-interface=\
all-ppp
add action=redirect chain=dstnat comment=\
"Forza DNS attraverso firewall (TCP)" dst-port=53 protocol=tcp to-ports=\
53
add action=redirect chain=dstnat comment=\
"Forza DNS attraverso firewall (UDP)" dst-port=53 protocol=udp to-ports=\
53

/ip route
add check-gateway=ping distance=1 gateway=192.168.51.1 routing-mark=to_ISP1
add check-gateway=ping distance=2 gateway=192.168.50.1 routing-mark=to_ISP2
add distance=1 gateway=192.168.51.1
add distance=2 gateway=192.168.50.1
add distance=1 dst-address=192.168.61.0/24 gateway=ether6

/ppp secret
add name=andrea password=xx12xxx service=pptp

Grazie per la collaborazione

[radiation]

Perchè come GW assegni 195.100.100.254 e non un IP appartenente alla classe del pool?

[kitttri]

Come gateway ho dato l'idirizzo lato LAN della RB.
Devo creare un secondo indirizzo IP sull'interfaccia per poi assegnarlo come gateway per le VPN?
L'ho fatto ma non cambia nulla.

Provando e riprovando ho risolto modificando il Masquerade della connessione VPN con out interface la LAN (non ALL PPP come avevo messo).
Ora riesco a pingare la LAN anche tramite la VPN PPTP.

Grazie

[radiation]

Bastava che creavi come GW un IP appartenente al pool VPN.
Cosi natti tutto.

[kitttri]

L'avevo fatto ma pingavo solo il gateway, non l'intera LAN.