Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части темы
 
Официальный сайт
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
актуальные версии RouterOS:
Stable: 7.19.6 changelogs Testing: 7.20rc3
Stable: 6.49.19 Long-term: 6.49.18
актуальная версия SwitchOS: 2.19
актуальная версия WinBox: 3.42 32/64-bit Подробнее...

Mikrotik — Плюсы и минусы

FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти

Официальная документация:
  • MikroTik Documentation
  • Packet Flow in RouterOS (важно знать для понимания сути происходящего в файрволе и шейпере)
  • News
  • Система управления пользователями встроенная в RouterOS (RADIUS server)

    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1, №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти

    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


    		  

    		 

    		 
       


    		  

    		 
    		     
     
    		 
    		     
     
    		 
    		     
     
    		 
    		 


    Смежные ресурсы
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru
    // текущий бэкап шапки..
    • Всего записей: 4464 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 12:34 17-09-2025
    dakskh

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте форумчане. Я сразу говорю, что я только начинающий настройщик микротиков, всегда настраивал обычные домашние роутеры. В корпорациях не работал, только маленькие офисы, где не требуется особо мощных устройств, но я стремлюсь и пытаюсь познавать, так что сильно не ругайтесь. В общем ситуация такая. У меня на компе настроено подключение к VPN-сервер IKEv2/IPsec, который находится в другом городе, сделано для удаленной помощи хорошим людям. Сервер настроен на Keenetic Extra (KN-1710). У меня ранее стоял роутер Asus RT-AX56U и через него все отлично подключалось, клиента настроен на Windows 10. Но вот недавно вместо Asus поставил Mikrotik hEX S. Потому что асус начал барахлить, ну и интересно было разобраться с микротом.Получилось настроить выход в интернет, настроить проброс портов, но вот с VPN не могу разобраться, я понимаю не хватает знаний сетевых технологий, с NAT вообще не понимаю, как и что. Проброс портов настраивал по инструкциям в инете. Но вот по поводу подключения пользователя через миктротик ничего не найти блин. По логам на кинеетике увидел такую, что в конце лога пишет "06[IKE] remote host is behind NAT ", получается что мой хост находится за NAT, значит проблема в настройками NAT у меня в микротике, я правильно понимаю? Помогите пожалуйста с настройками, очень все это интересно, но вот "тямы" не хватает, к сожалению  
     
    Добавлено:
    В роутерах Asus есть такая функция "NAT Passthrough", она как раз позволяет подключать виртуальную частную сеть (VPN) через маршрутизатор к сетевым клиентам. Пытался через терминал посмотреть правила iptables в Asus, но никаких правил не нашел по этому поводу. Как бы организовать такую функцию в Mikrotik.
    Всего записей: 17 | Зарегистр. 24-11-2021 | Отправлено: 16:25 24-04-2025
    HERSOFT



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh
     
    Тут бы фаер глянуть. Подозреваю, что тупо копипастилось всё что не попадя с инета.
    В терминале микротика выполнить команду ip firewall export file=rules и образовавшийся файлик, или его содержимое, выложить сюда. На досуге будем посмотреть, что и как там.
    Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 20:15 24-04-2025
    dakskh

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ip firewall export file=rules и образовавшийся файлик, или его содержимое, выложить сюда.

    Честно говоря не понял, как тут файл выложить, вот содержимое файла:
    ---------------------------------------------------------------------------------
    # apr/25/2025 07:19:23 by RouterOS 6.49.18
    # software id = M958-XUDV
    #
    # model = RB760iGS
    # serial number = HGW0A0FY6NN
    /ip firewall filter
    add action=drop chain=forward connection-state=!established,related \
        in-interface=VostokTel
    add action=drop chain=input connection-state=!established,related \
        in-interface=VostokTel
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=VostokTel
    ---------------------------------------------------------------------------------
    У меня всего -то 2 правила в фаерволе и одно в нат и все
     
    Так же, на всякий случай,ниже скину еще логи кинетика при попытке к нему подсоединится. Как сделать логи в микторе, что-то не могу разобраться, я имею ввиду самого процесса, знаю только, если поставить галочку log правилах, можно увидеть, что происходит по этим правилам
     
    Добавлено:
    Вот лог кинетика при подключении к нему с рабочего компа через микротик(xx-мой внешний айпишник):
    ------------------------------------------------------------------------------------------------------------------------------
    Апр 25 08:26:52
    ipsec
    08[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID
    Апр 25 08:26:52
    ipsec
    08[IKE] received MS-Negotiation Discovery Capable vendor ID
    Апр 25 08:26:52
    ipsec
    08[IKE] received Vid-Initial-Contact vendor ID
    Апр 25 08:26:52
    ipsec
    08[IKE] xx.xx.xx.xx is initiating an IKE_SA
    Апр 25 08:26:52
    ipsec
    08[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC=192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=192/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_GCM_16=128/PRF_HMAC_SHA1/MODP_1024, IKE:AES_GCM_16=128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_GCM_16=128/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_GCM_16=256/PRF_HMAC_SHA1/MODP_1024, IKE:AES_GCM_16=256/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_GCM_16=256/ [...]
    Апр 25 08:26:52
    ipsec
    08[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
    Апр 25 08:26:52
    ipsec
    08[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
    Апр 25 08:26:52
    ipsec
    08[IKE] remote host is behind NAT
    Апр 25 08:27:22
    ipsec
    06[JOB] deleting half open IKE_SA with xx.xx.xx.xx after timeout  
    -----------------------------------------------------------------------------------------------------------------------------
     
    А вот лог при подключении с домашнего компа, дома стоит TP-Link Archer C64 (айпишники замазал, xx-мой внешний дома,zz-внешний кинетика,yy-мой внутренний,ff-выданый кинетиком при подключении к VPN)
     
    -----------------------------------------------------------------------------------------------------------------------------
    Апр 25 08:45:38
    ipsec
    09[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID
    Апр 25 08:45:38
    ipsec
    09[IKE] received MS-Negotiation Discovery Capable vendor ID
    Апр 25 08:45:38
    ipsec
    09[IKE] received Vid-Initial-Contact vendor ID
    Апр 25 08:45:38
    ipsec
    09[IKE] xx.xx.xx.xx is initiating an IKE_SA
    Апр 25 08:45:38
    ipsec
    09[CFG] received proposals: IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC=192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=192/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=192/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_GCM_16=128/PRF_HMAC_SHA1/MODP_1024, IKE:AES_GCM_16=128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_GCM_16=128/PRF_HMAC_SHA2_384/MODP_1024, IKE:AES_GCM_16=256/PRF_HMAC_SHA1/MODP_1024, IKE:AES_GCM_16=256/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_GCM_16=256/ [...]
    Апр 25 08:45:38
    ipsec
    09[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256
    Апр 25 08:45:38
    ipsec
    09[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024
    Апр 25 08:45:38
    ipsec
    09[IKE] remote host is behind NAT
    Апр 25 08:45:38
    ipsec
    07[IKE] received 84 cert requests for an unknown ca
    Апр 25 08:45:38
    ipsec
    07[CFG] looking for peer configs matching zz.zz.zz.zz[%any]...xx.xx.xx.xx[yy.yy.yy.yyy]
    Апр 25 08:45:38
    ipsec
    07[CFG] selected peer config 'VirtualIPServerIKE2'
    Апр 25 08:45:38
    ipsec
    07[IKE] initiating EAP_IDENTITY method (id 0x00)
    Апр 25 08:45:38
    ipsec
    07[IKE] peer supports MOBIKE, but disabled in config
    Апр 25 08:45:38
    ipsec
    07[IKE] authentication of 'lalala.keenetic.link' (myself) with RSA signature successful
    Апр 25 08:45:38
    ipsec
    07[IKE] sending end entity cert "CN=lalala.keenetic.link"
    Апр 25 08:45:38
    ipsec
    07[IKE] sending issuer cert "C=US, O=Let's Encrypt, CN=R10"
    Апр 25 08:45:38
    ipsec
    06[IKE] received EAP identity 'dak'
    Апр 25 08:45:38
    ipsec
    06[IKE] initiating EAP_MSCHAPV2 method (id 0x60)
    Апр 25 08:45:38
    ipsec
    08[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established
    Апр 25 08:45:39
    ipsec
    09[IKE] authentication of 'yy.yy.yy.yy' with EAP successful
    Апр 25 08:45:39
    ipsec
    09[IKE] authentication of 'lalala.keenetic.link' (myself) with EAP
    Апр 25 08:45:39
    ipsec
    09[IKE] IKE_SA VirtualIPServerIKE2[211] established between zz.zz.zz.zz[lalala.keenetic.link]...xx.xx.xx.xx[yy.yy.yy.yyy]
    Апр 25 08:45:39
    ipsec
    09[IKE] peer requested virtual IP %any
    Апр 25 08:45:39
    ndm
    Core::Server: started Session /var/run/ndm.core.socket.
    Апр 25 08:45:39
    ndm
    IpSec::CryptoMapInfo: "VirtualIPServerIKE2": allocated address "ff.ff.ff.f" for user "dak" @ "yy.yy.yy.yyy" from "xx.xx.xx.xx".
    Апр 25 08:45:39
    ipsec
    09[IKE] assigning virtual IP ff.ff.ff.f to peer 'dak'
    Апр 25 08:45:39
    ipsec
    09[IKE] peer requested virtual IP %any6
    Апр 25 08:45:39
    ipsec
    09[IKE] no virtual IP found for %any6 requested by 'dak'
    Апр 25 08:45:39
    ipsec
    09[CFG] received proposals: ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ
    Апр 25 08:45:39
    ipsec
    09[CFG] configured proposals: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=128/HMAC_SHA2_256_128/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC=256/HMAC_SHA2_256_128/NO_EXT_SEQ
    Апр 25 08:45:39
    ipsec
    09[CFG] selected proposal: ESP:AES_CBC=128/HMAC_SHA1_96/NO_EXT_SEQ
    Апр 25 08:45:39
    ndm
    Core::Session: client disconnected.
    Апр 25 08:45:39
    ipsec
    09[IKE] CHILD_SA VirtualIPServerIKE2{81} established with SPIs cdeee542_i c31e95ca_o and TS 0.0.0.0/0 === ff.ff.ff.f/32
    Апр 25 08:45:39
    ndm
    IpSec::CryptoMapInfo: "VirtualIPServerIKE2": crypto map is up: remote client "dak" @ "yy.yy.yy.yyy" with IP "ff.ff.ff.f" connected.
    Апр 25 08:45:39
    ipsec
    09[CFG] scheduling RADIUS Interim-Updates every 5s
    Апр 25 08:45:39
    ndm
    IpSec::IpSecNetfilter: start reloading netfilter configuration...
    Апр 25 08:45:39
    ndm
    IpSec::IpSecNetfilter: netfilter configuration reloading is done.
    Апр 25 08:45:42
    ndhcps
    DHCPINFORM received for ff.ff.ff.f from 00:00:00:00:00:00.
    Апр 25 08:45:42
    ndhcps
    sending INFORM to 00:00:00:00:00:00.  
    ---------------------------------------------------------------------------------------------------------------------------
    Выложил файл rules.rsc ня яндекс, вот ссылка https://disk.yandex.ru/d/mo10dU4HNU0zFw
    Всего записей: 17 | Зарегистр. 24-11-2021 | Отправлено: 00:34 25-04-2025 | Исправлено: dakskh, 10:12 26-04-2025
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh

    Цитата:
    Выложил файл rules.rsc ня яндекс

    интересно по какому мануалу настраивали что в фаере всего два правила и те только на внешний интерфейс
     

    Цитата:
    Проброс портов настраивал по инструкциям в инете

    какой то невидимый проброс портов.
     
    по дефолту для начала в фаере в полне нормальные правила, для чего вы всё очистили.
    по дефолту в полне работоспособный вариант настроек минимальный.
    тема по микротику и другого не надо сюда постить.
     

    Цитата:
    Mikrotik hEX S

    слабенькая железка для серьёзных задач.
    Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 08:50 25-04-2025 | Исправлено: alexnov66, 09:07 25-04-2025
    HERSOFT



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh
    alexnov66 Вам верно говорит. Да и не вижу правил

    Код:
    /ip firewall filter
    add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec

    Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 09:22 25-04-2025
    dakskh

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    какой то невидимый проброс портов.

    Проброс я делал, всмысле проверял, как работает.

    Цитата:
    по дефолту для начала в фаере в полне нормальные правила, для чего вы всё очистили.
    по дефолту в полне работоспособный вариант настроек минимальный.

    Настраивал по этой ссылке
    https://stupidhouse.ru/node/59/

    Цитата:
    тема по микротику и другого не надо сюда постить.  

    Я извиняюсь, я что-то написал не по микротику?

    Цитата:
    слабенькая железка для серьёзных задач.

    а серьезных задач ему и не предстоит, 25 компов выходят в инет и все
    Всего записей: 17 | Зарегистр. 24-11-2021 | Отправлено: 09:31 25-04-2025 | Исправлено: dakskh, 09:34 25-04-2025
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh

    Цитата:
    25 компов выходят в инет и все

    он бы один комп вытянул
    если только по сайтам лазить и больше ни чего.
    Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 09:34 25-04-2025 | Исправлено: alexnov66, 09:36 25-04-2025
    dakskh

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Может кто-нибудь дать либо ссылку на мануал по настройке? Или мне его сбросить и оставить все правила по дефолту? Вы попросили меня скинуть правила, я скинул. потом еще решил скинуть логи с кинетика, если это не в тему, то прошу прощения, хотел как лучше
     
    Добавлено:

    Цитата:
    он бы один комп вытянул
    если только по сайтам лазить и больше ни чего.

    вы хотите сказать, что для 25 пк это слабая машина? Ну неделю все работает, не греется, не зависает. Каких-то глюков пока не было
    Всего записей: 17 | Зарегистр. 24-11-2021 | Отправлено: 09:40 25-04-2025
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh

    Цитата:
    ссылку на мануал по настройке

    мануалов полно в интернете, каждый настраивает под себя и свои задачи, сказать что какой то мануал точный и полноценный нету ни одного в интернете.
    под шлюз на 25 компьютеров которые наверняка будут качать большие обьёмы данных да еще и раздавать торент вы не ту железку выбрали.
    у неё и диск всего 16 мб что проблематично установить дополнительные пакеты.
    Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 09:46 25-04-2025 | Исправлено: alexnov66, 09:47 25-04-2025
    dakskh

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    мануалов полно в интернете, каждый настраивает под себя и свои задачи, сказать что какой то мануал точный и полноценный нету ни одного в интернете.
    под шлюз на 25 компьютеров которые наверняка будут качать большие обьёмы данных да еще и раздавать торент вы не ту железку выбрали.  

    нет никто ничего не качает вообще, в основном только просмотр почты, не до этого тут людям, такая специфика работы
     
    Добавлено:
    Мне бы с этим пока научится и разобраться, как и что настраивать, а потом можно и мощнее купить машину. А так смысл тратить деньги пока.
    Всего записей: 17 | Зарегистр. 24-11-2021 | Отправлено: 09:48 25-04-2025
    HERSOFT



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh
    Для начала
    Это стандартный firewall. Только правила ОUTPUT (на следующей станице) не вставляйте, они для более тонкой настройки. И не воспринимайте слишком близко критику, все мы проходили через это.
    Кстати, смотрю, Вы начали интерфейсам имена менять на свой вкус, я бы не советовал так делать, потому, что потом будет тяжело воспринимать "ху есть ху". Сделайте стандартные листы WAN и LAN и внесите туда интерфейсы с "общепринятыми" названиями, а то не понятно, что такое VostokTel. Может так свой VPN назвали?
    Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 17:54 25-04-2025
    dakskh

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Для начала
    Это стандартный firewall.

    Два старых правила удалил и добавил те, что по ссылке. В самом начале одно мое правило для проброса портов и последнее в nat еще добавил, потому что сегодня выходной день, подключаюсь по Radmin к машине. Так же пришлось конфигу подогнать к дефолту, добавил interface list и interface list member, как там указано. Вот новый файл правил теперь такой:
    https://disk.yandex.ru/d/j6E63gM7X26oPQ

    Цитата:
    Вы начали интерфейсам имена менять на свой вкус, я бы не советовал так делать, потому, что потом будет тяжело воспринимать "ху есть ху".  

    Это не имя интерфейса,VostokTel это PPPoE Client для подключения к провайдеру, интерфейс в нем указал ether1 к нему подключен кабель провайдера. До сегодняшнего дня был назван WAN, я переделал по ссылке на дефолт,добавил interface list (add name=WAN,add name=LAN) и interface list member (add interface=ether1 list=WAN и add interface=bridge-localnet list=LAN).
    вот скрин https://disk.yandex.ru/i/j7JPhzsZDSejgQ
     
    Но соединение так и не работает. Подскажите, как можно в микротике посмотреть лог соединения по типу, как я скинул с кинетика? Нашел, что можно галки "log "ставить на правилах, и на каких правила же их поставить, чтобы увидеть процесс подключения с моего компа
    Всего записей: 17 | Зарегистр. 24-11-2021 | Отправлено: 02:13 26-04-2025 | Исправлено: dakskh, 05:52 26-04-2025
    HERSOFT



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh

    Цитата:
    Подскажите, как можно в микротике посмотреть лог соединения по типу, как я скинул с кинетика?

    Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 17:58 26-04-2025
    dakskh

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HERSOFT
    Я сделал такое правило, но все равно отображает только правило nat
     
       
    https://disk.yandex.ru/i/_Dx-o4TqFvQe7w
    Всего записей: 17 | Зарегистр. 24-11-2021 | Отправлено: 18:17 26-04-2025 | Исправлено: dakskh, 18:19 26-04-2025
    HERSOFT



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh

    Код:
     
    /ip firewall filter
    add action=accept chain=forward connection-state=!established,related \
        dst-port=40899 in-interface=VostokTel protocol=tcp
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked

    Сравните эти два правила в части "connection-state". Зачем в форварде знак "!"? Этот знак обозначает "все кроме". Вы разрешили даже invalid, но запретили established,related. Да и потом, не вижу imput по порту 40899. По его счётчику можно было бы уже судить, что пакеты на этот порт поступают.
    Начинайте с входящих правил и двигайтесь дальше по прохождению, перенаправлению.
    Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 18:39 26-04-2025
    dakskh

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Сравните эти два правила в части "connection-state". Зачем в форварде знак "!"? Этот знак обозначает "все кроме". Вы разрешили даже invalid, но запретили established,related.

    Восклицательный знак я уберу, по незнанию поставил, но подключение стало работать по радмину, я подключаюсь к машине без проблем.
    Надо добавить еще правило input по порту 40899? Подскажите какое правило должно быть. Мне нужно чтобы была переадресация по порту 40899 на нужную машину с таким же портом
    А со вторым правилом все нормально?
    Всего записей: 17 | Зарегистр. 24-11-2021 | Отправлено: 18:57 26-04-2025 | Исправлено: dakskh, 19:01 26-04-2025
    HERSOFT



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh

    Цитата:
    Надо добавить еще правило input по порту 40899? Подскажите какое правило должно быть.


    Код:
     
    /ip firewall filter
    add action=accept chain=imput \
        dst-port=40899 in-interface=pppoe-out1 protocol=tcp
    add action=accept chain=imput \
        dst-port=40899 in-interface=pppoe-out1 protocol=udp

    На всякий случай и UDP разрешить по этому порту.

    Цитата:
    А со вторым правилом все нормально?

    Отлично. Хоть там не своевольничали )))
     
    PS/ Под ковриком # тоже посмотрите.
     
    Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 23:54 26-04-2025 | Исправлено: HERSOFT, 00:50 27-04-2025
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh

    Цитата:
    но подключение стало работать по радмину, я подключаюсь к машине без проблем

    что бы к машинам подключаться к сети за микротиком включите на бридже прокси арп
    Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 03:00 27-04-2025
    dakskh

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    что бы к машинам подключаться к сети за микротиком включите на бридже прокси арп

    для чего? Я я же итак без проблем подключаюсь
     
    Добавлено:

    Цитата:
    HERSOFT

    Спасибо! А правило forward  

    Цитата:
    /ip firewall filter
    add action=accept chain=forward connection-state=!established,related \
        dst-port=40899 in-interface=VostokTel protocol=tcp  

    нужно или его убрать?

    Цитата:
    Да и потом, не вижу imput по порту 40899. По его счётчику можно было бы уже судить, что пакеты на этот порт поступают.  

    я не понял, про какой счетчик идет речь и как его посмотреть потом,после того, как правила эти сделаю?
    Цитата:
    Подскажите, как можно в микротике посмотреть лог соединения по типу, как я скинул с кинетика?
     
     

    и про лог соединения вы так ничего и не написали? я сделал, как на скриншоте, но ничего не изменилось, при попытке подключится в логи ничего не происходит
    Всего записей: 17 | Зарегистр. 24-11-2021 | Отправлено: 05:00 27-04-2025
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dakskh

    Цитата:
    Надо добавить еще правило input по порту 40899? Подскажите какое правило должно быть. Мне нужно чтобы была переадресация по порту 40899 на нужную машину с таким же портом

    при пробросе портов с внешнего интерфейса на машину в локальной сети работает форвард трафика а не инпут, соответственно должно быть разрешающее правило на форвард для определённого порта или для всей сети в обе стороны, что бы не заморачиваться отдельными правилами.
    пока лучше создайте два разрешающих правила для всей локальной сети в обе стороны и будет работать, потом можете добавлять правила выше на отдельные порты и адреса если нужно будет.

    Цитата:
    для чего? Я я же итак без проблем подключаюсь

    вы подключаетесь через dst-nat, через тунель если понадобится нужно будет включить.
    кому как а я Fast Path и FastTrack сразу отключаю
    интерфейс ну или тунель сочетающий Fast Path и IPsec не совместимы и работать не будет
     
    Добавлено:

    Цитата:
    Спасибо! А правило forward  
     
    Цитата:
    /ip firewall filter
    add action=accept chain=forward connection-state=!established,related \
        dst-port=40899 in-interface=VostokTel protocol=tcp  
     
    нужно или его убрать?

    вы указали в правиле определённый интерфейс и разрешили трафик только этому интерфейсу, если другого разрешающего правила нет в фаере то остальное и работать не будет, делайте или разрешение на всё или на каждый нужный трафик своё правило.
    восклицательный знак означает всё кроме указанного параметра, этим знаком исключается из правила всё кроме к примеру указанных интерфейсов, адресов, портов ну и тд тп
    Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 08:28 27-04-2025 | Исправлено: alexnov66, 08:45 27-04-2025
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2025

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru