netwatch

da **fed7** » mer 11 nov 2020, 9:15

Buongiorno a tutti.
Ho messo 5 RB (modello RB1100AHx4) e ho configurato dei tunnel vpn (ipsec) tra questi.
O meglio:
A «» B
A «» C
A «» D
A «» E

dove A..E sono le RB.

Il problema si presenta su tutti i tunnel.
Ad esempio:
A è 192.168.0.10/24
D è 192.168.100.1/24

Se effettuo un ping da un host della rete 192.168.0.0/24 verso un host della rete 192.168.100.0/24 questo funge. E tutti i servizi che mi serve siano visibili vanno.
Ma ... perchè se dalla RB "A" faccio "/ping 192.168.100.1" questo non va?
Anche dalla "D" è così.

Codice: Seleziona tutto: [admin@Centro Stella #######] > ping 192.168.100.11 SEQ HOST SIZE TTL TIME STATUS 0 192.168.100.11 timeou 1 192.168.100.11 timeou 2 192.168.100.11 timeou 3 192.168.100.11 timeou sent=4 received=0 packet-loss=100%

Ora torno all'oggetto. Ovviamente anche il servizio netwatch non va.
Sia che nel netwatch di "A" metta l'IP di "D" o un IP di un host della rete 192.168.100.0/24

Idee?

Fed

da **ppraz** » mer 11 nov 2020, 10:43

Ciao, semplicemente non ci sono le rotte correttamente installate
Perché ogni RB sappia dove andare deve avere nella propria tabella di routing la destinazione
In assenza di una destinazione deve avere una default route

Prova aggiungendo manualmente le rotte, sia di andata che di ritorno
Per fare le cose fatte bene invece dovresti usare un protocollo di routing dinamico
In ambito LAN quello che solitamente si usa è OSPF

da **fed7** » mer 11 nov 2020, 14:14

Grazie della risposta.
Quindi una cosa tipo: RB "A" con IP 192.168.0.10 verso 192.168.100.1
sul "A"

Codice: Seleziona tutto: /ip route add disabled=no dst-address=192.168.100.0/24 gateway=Lan

sul "B"

Codice: Seleziona tutto: /ip route add disabled=no dst-address=192.168.0.0/24 gateway=Lan

ho capito bene?
Fed

da **ppraz** » mer 11 nov 2020, 16:36

Sì, esattamente, qualcosa del genere, magari non mettere come gateway l'interfaccia, ma l'indirizzo IP del next hop.

da **abbio90** » mer 11 nov 2020, 19:57

ma la vpn usa una terza subnet?? se fosse cosi chi è il sever vpn A? in teoria se fosse A devi fre cosi...su a imposti una route con dst address la lan di B e gateway l'ip statico assegnato dallserver vpn a B e u B imposti una route con dst address lan di A e gateway l'ip del server vpn... non usare le interfacce sul gateway

da **fed7** » gio 12 nov 2020, 7:58

ppraz ha scritto:Sì, esattamente, qualcosa del genere, magari non mettere come gateway l'interfaccia, ma l'indirizzo IP del next hop.

cioè
visto che A ha IP 192.168.0.10

Codice: Seleziona tutto: /ip route add disabled=no dst-address=192.168.100.0/24 gateway=192.168.0.10

e visto che D ha IP 192.168.100.1

Codice: Seleziona tutto: /ip route add disabled=no dst-address=192.168.0.0/24 gateway=192.168.100.1

corretto?

da **fed7** » gio 12 nov 2020, 8:05

abbio90 ha scritto:ma la vpn usa una terza subnet?? se fosse cosi chi è il sever vpn A? in teoria se fosse A devi fre cosi...su a imposti una route con dst address la lan di B e gateway l'ip statico assegnato dallserver vpn a B e u B imposti una route con dst address lan di A e gateway l'ip del server vpn... non usare le interfacce sul gateway

le vpn sono tutte site-to-site
il server vpn A è la RB stessa con IP 192.168.0.10

netwatch

netwatch

Re: netwatch

Re: netwatch

Re: netwatch

Re: netwatch

Re: netwatch

Re: netwatch

Chi c’è in linea