Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190

Открыть новую тему     Написать ответ в эту тему

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.43.7 Long-term: 6.42.10

актуальная версия SwitchOS: 2.7
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 120 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: Chupaka, 16:06 12-12-2018
    DenSyo

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    маскарадинг включен для всех WAN (дефолтное правило последних прошивок), для всех ppp и в бридж локалки на тике

    Всего записей: 134 | Зарегистр. 19-01-2008 | Отправлено: 15:10 12-12-2018
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    Если debug log включить - дополнительной инфы про ошибку не появляется?  

    Нет, ничего не пишет.  
     
    Chupaka

    Цитата:
    Можно ещё Packet Sniffer'ом эту сессию заснифить и в WireShark'е посмотреть...

     
    Я пока думаю другой FTP поднять и проверить.

    Всего записей: 447 | Зарегистр. 23-09-2001 | Отправлено: 15:12 12-12-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    DenSyo

    Цитата:
    маскарадинг включен <...> в бридж локалки на тике

    Вот и ответ

    Всего записей: 3461 | Зарегистр. 05-05-2006 | Отправлено: 15:23 12-12-2018
    DenSyo

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    отключил и потерял доступ к узлам сети офиса из дома((( доступ есть только к подсети впн-сервера, а на роутере доступ закрыт для впн-клиентов, настраивал его из сессии на компе в офисе. соответственно, если отключу маскарадинг для ррр, то потеряю доступ к подсети впн. точно в маскарадинге дело? и как тогда обеспечить связь с узлами офиса без него?
     
    но вообще, похоже что маскарадинг влияет на адрес. на другом тике нет необходимости делать маскарадинг для бриджа локалки, там только для всех ppp включен (кроме ванов), и там на узлах сети предприятия все впн-подключения происходят от адреса local впн-сервера, а не адреса роутера в локальной сети. т.е., чтобы добиться адреса remote для своих подключений, надо отключить маскарадинг на все ppp, а как тогда жить без него?..
     
    добавлю. обсуждаемый тик, с включенным маскарадингом на бридже локалки, не образует сеть офиса и не является шлюзом для сети. поэтому на нем без маскарадинга на бридж нет доступа к узлам локалки.

    Всего записей: 134 | Зарегистр. 19-01-2008 | Отправлено: 15:32 12-12-2018 | Исправлено: DenSyo, 16:02 12-12-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    DenSyo

    Цитата:
    обсуждаемый тик, с включенным маскарадингом на бридже локалки, не образует сеть офиса и не является шлюзом для сети

    Видимо, для этого и был сделан костыль в виде маскарадинга. По-хорошему, надо на шлюзе прописать маршрут к пулу адресов vpn-клиентов через vpn-роутер.

    Всего записей: 3461 | Зарегистр. 05-05-2006 | Отправлено: 16:05 12-12-2018
    DenSyo

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    прописаны. с локальной сети я вижу клиентов впн, все ок. может с маркировкой пакетов что-то подумать или все-таки искать более правильное решение?

    Всего записей: 134 | Зарегистр. 19-01-2008 | Отправлено: 16:11 12-12-2018 | Исправлено: DenSyo, 16:13 12-12-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    DenSyo

    Цитата:
    прописаны. с локальной сети я вижу клиентов впн, все ок

    Тогда ещё раз расскажите, что у вас не работает, а то я совсем запутался. Ещё и трассировку приложите, чтобы понятнее было.

    Всего записей: 3461 | Зарегистр. 05-05-2006 | Отправлено: 16:20 12-12-2018
    DenSyo

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    подключения к серверам предприятия для впн-клиентов происходят от адреса локальной сети роутера на котором запущен сервер-впн (на предыдущей странице скинул команды как посмотреть адрес с которого подключился пользователь). это как в инет под серым адресом выходить, связь будет, но для сервера в инете мы не под своим адресом. собственно мне требуется, чтобы сервер терминалов в локальной сети видел, что пользователь подключился под выданным ему remote адресом впн-сервером, а не под local адресом впн-сервера или, как сейчас, под адресом локальной сети роутера.  
     
    например: есть локалка 192.168.1.0/24, в ней основной шлюз 192.168.1.1, сервер терминалов 192.168.1.2 и микротик с впн-сервером 192.168.1.3. на впн-сервере микротика задан local адрес 192.168.2.1 и пул адресов клиентов 192.168.2.11-192.168.2.253. впн-клиент из другой сети 192.168.3.3 получив remote адрес 192.168.2.13 зайдя в сеанс терминал-сервера видит, что его адрес 192.168.1.3, т.е. адрес микротика. при это клиенту из терминала доступны перенесенные в сеанс ресурсы, доступна собственная машина по адресам 192.168.3.3 и 192.168.2.13, надо чтобы сервер-терминалов видел пользователя вошедшим с адреса 192.168.2.13

    Всего записей: 134 | Зарегистр. 19-01-2008 | Отправлено: 16:58 12-12-2018 | Исправлено: DenSyo, 17:08 12-12-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    DenSyo

    Цитата:
    подключения к серверам предприятия для впн-клиентов происходят от адреса локальной сети роутера на котором запущен сервер-впн

    Я уже написал, что надо выключить маскарад в локалку, почитайте уже наконец, что вам пишут в ответ.

    Всего записей: 3461 | Зарегистр. 05-05-2006 | Отправлено: 17:06 12-12-2018
    DenSyo

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    после отключения маскарада связи нет, узлы сети офиса не доступны для впн-клиентов, я уже писал
    и так же уже писал, что на другом микротике (это вообще другая сеть и другое предприятие) нет маскарадинга на локальную сеть, там для сервера терминалов мое подключение идет от адреса locel впн-сервера. в моем примере это адрес 192.168.2.1, т.е. все равно не даст решения отключение.

    Всего записей: 134 | Зарегистр. 19-01-2008 | Отправлено: 17:10 12-12-2018 | Исправлено: DenSyo, 17:13 12-12-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    DenSyo
    Вот об этом я вас и спрашивал: что именно не работает после отключения маскарадинга в локалку? Именно эту проблему надо решать, потому что предыдущую уже решили. И попросил трассировку. В идеале - с обеих сторон.

    Всего записей: 3461 | Зарегистр. 05-05-2006 | Отправлено: 17:13 12-12-2018
    DenSyo

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    трасировка терминал-сервера с впн-клиента:
    192.168.2.1
    192.168.1.2
    а вот с локалки доступ на впн-подсеть упал. уже завтра буду его смотреть...

    Всего записей: 134 | Зарегистр. 19-01-2008 | Отправлено: 17:22 12-12-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    DenSyo
    Т.е. доступ к терминал-серверу сохраняется, и теперь сервер видит реальный IP клиента, а не IP роутера?

    Всего записей: 3461 | Зарегистр. 05-05-2006 | Отправлено: 17:42 12-12-2018
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды



    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru

    Рейтинг.ru