AHARAZ: Udělal sem je na obou MT a zatímco u mě vidím, načítání paketů tak na 750 ani ťuk.

Házím sem export z 750, třeba tam je někde nějaká zjevná bota, ale já nic nemůžu najít.

• 750.txt

Udelej si tam pravidlo na forward z jedne site do druhe, at vidis aspon, ze do toho pravidla neco pada. Treba najdes co to pozira... Pokud by to bylo firewallem...

AHARAZ: Jo je to tak jak píšeš, z 10.x si pingnu jen na bránu 192.*, ale je to pouze jednostraný. Z 192.x si pingnu kamkoliv na 10.x Přičemž pravidla firewallu i všechno ostatní je na obou MK totožný.

PISTA1: Firewall a rozdil mezi inputem a forwardem? Teda strilim od boku, nemam uplne na to ted pochopit cely problem z probehle komunikace.
Ted nevim jestli to popisu pochopitelne, ale v konfiguraci: LAN1 10.0.0.0/24 s IP Mikrotiku 10.0.0.1, LAN2 192.168.1.0/24 s IP Mikrotiku 192.168.1.1
Muzes i pri zakazanem forwardu pingnout z libovolneho zarizeni v 10.0.0.0/24 na 192.168.1.1, ale na zarizeni za mikrotikem v 192.168.1.0/24 si uz nepingnes...

ARKIN: proxy arp se zapina pro intervlan routing u ppp

DELVIT: jo to kdybych tušil, sedím nad tím celej den a už prostě nevím proč.
pinkám na bránu .254 a zároveň na AP .200 V connections vidím oboje. Ale jen u brány tečou data a odpovídá mi.

PISTA1: to mě také čeká. Tak určitě napiš kde je problém.

ARKIN: no jestli na obou stranach je verejna tak je to easy az primitivni.

/interface eoip
name="toPraha" mtu=1376 actual-mtu=1376 l2mtu=65535 mac-address=02:9C:02:7B:2B:FA arp=proxy-arp arp-timeout=auto loop-protect=default loop-protect-status=off 
      loop-protect-send-interval=5s loop-protect-disable-time=5m local-address=1.2.3.4 remote-address=4.3.2.1 tunnel-id=0 dscp=inherit clamp-tcp-mss=yes 
      dont-fragment=inherit allow-fast-path=yes 

/ip address
172.16.2.1/30      172.16.2.0      toPraha
/ip route
3 ADC  172.16.2.0/30      172.16.2.1      toPraha
5 A S  172.16.3.0/28      172.16.2.1      172.16.2.2
/ip ipsec peer
address=172.16.2.2/32 local-address=172.16.2.1 auth-method=pre-shared-key secret="strasne_slozite_heslo" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256 dh-group=ec2n185 lifetime=1d dpd-interval=2m dpd-maximum-failures=5 
/ip ipsec proposal
name="Brno-Praha" auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=10m pfs-group=ec2n185
/ip ipsec policy
src-address=172.16.2.1/32 src-port=any dst-address=172.16.2.2/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=no 
       proposal=Brno-Praha ph2-count=1

LEXXA: hele nevim.. se v tom zas tak neorientuju.. delal jsem to podle toho navodu - viz link nize..
PISTA1: tak to uz asi neporadim.. pamatuju si, ze sem se v tom par dni hrabal, nez mi to vsechno jelo..

ARKIN: tohle delas protoze klient nema verejnou ip nebo proc?
jinak mne se docela vyplatilo do gateway dat konkretni ip nez jmeno ifacu

ARKIN: nemám a nastavení nepomohlo

PISTA1: a mas u klienta: bridge> ARP: proxy-arp ?

bude to nějaký nastavení u klienta, protože když trasuju z kienta tak je to lokální brána - remote IP tunelu - IP zařízení
když to vezmu z druhý strany tak skončím na remote IP tunelu

PISTA1: Koukni jeste do toho navodu neco ohledne proxy arp.. Myslim, ze i v nastaveni bridge..

ARKIN: jo podle toho to mám taky jen sem měl jako lokal a remote IP bran sítí, tak sem to přehodil na ty IP mimo a stav je pořád stejnej, prostě mrcha neběží :(

PISTA1: https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Site-to-Site_L2TP

PISTA1: k nicemu dalsimu se to nevztahuje..
ja to taky rozsah lokalniho networku (jako 192.168. nebo 10.), bral jsem to podle navodu.. asi je tam pouzite toto aby se to moc s nicim nemlatilo..
je mozne, ze to jde nastavit i jinak..

ARKIN: ty adresy 172.16.1.x jsou čistě náhodný nebo se k něčemu vztahujou?

PISTA1:
nastavoval jsem to myslim podle navodu na mikrotik wiki..
sit na serveru mam 192.168.213.0 u klienta mam 192.168.214.0 (taky na natem)

na serveru mam PPP secret:
add local-address=172.16.1.1 name=XXX password=YYY profile=vpn remote-address=172.16.1.2 routes="192.168.214.0/24 172.16.1.2 1" service=l2tp

u klienta se pripojuju pres usera XXX (PPP interface) a mam jeste manualni routu:
IP routes:
add distance=1 dst-address=192.168.213.0/24 gateway=*VPN PPP interface*
jinam tam mysim nic zasadniho u klienta nastavovat nemusis..


jeste by te mohlo zajimat "add default route" na mikrotiku, nebo nejak use default gateway (schovany silene v nastaveni IPv4 na win) - to dela, ze vsechen traffic jde pres tu vpn.. coz muze byt zadouci treba na win (myslim, ze se bez toho nedostanu na tu 192.168.214.0), ale u toho mikrotik klienta to primarne nepotrebujes jestli nechces mit vsechen traffic pres ten server..

tak sem rozjel 750 jako klienta za natem spojení navázaný. Z klienta se dostanu do celý svojí sítě v pohodě, ale ale od sebe se dostanu jenom na klienta, dál do sítě ne :(

Nastavení sem na 750 překopíroval ze svýho, takže pravidla jsou identický.