Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    AlekseyK

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
    хм, расскажу тогда все.
    у меня в сети микротик, провайдер билайн, нат и все дела и т.п.
    я арендую VPS с Windows Server 2008
    сделал туда с микротика OpenVPN соединение, но почему-то не работает маршрутизация, приходится натить это впн-соединение.
    вот я и подумал, что если сделать без костылей в виде опенвпн, через IPSec-туннель, то заработает простая маршрутизация, как это работает с запасным провайдером МГТС.

    Всего записей: 193 | Зарегистр. 27-01-2002 | Отправлено: 13:26 11-11-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AlekseyK
    я не совсем понял, у тебя VPS с виндой, а поверху стоит RouterOS ? если да. то не проще ли просто на VPS разместить RouterOS сразу?  
    Пару страниц назад обсуждали решение от Пичулина Дмитрия, у него презенташка на ютубе и PDF в сети валяются
     
    маскарадить полюбому нужно твою виртуальныую п/сеть (которая существует лишь для осуществления хождения пакетов от VPN сервера до VPN клиента)
    если же ты хочешь иметь L2 на VPS и на микротике дома/работе , то элементарно пропиши статику той же сети на второй стороне, и добавь маршруты

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 13:47 11-11-2016 | Исправлено: DrDEVIL666, 13:47 11-11-2016
    AlekseyK

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    на VPS винда
    на микротике Router OS
     
    на VPS openvpn в режиме сервер.
    микротик с ним соединяется.
    прописываю на винде маршрут в свою локалку через IP который получил микротик от openvpn.
    ни хрена не работает !
     
    начинает работать, только когда на микротике поднимаю второй нат на это соединение.
     
    однако, у меня есть запасной провайдер мгтс, со своим роутером, который подключен к микротику на порт 10.
    вот тут натить не надо, работает маршрутизация, на роутере мгтс я пописал маршрут в свою сеть через ip на Eth10
     
    вот мне и не понятно, почему openvpn так не работает и хотел сделать другие варианты.
    l2tp если делать будет работать маршрутизация или опять надо натить ?

    Всего записей: 193 | Зарегистр. 27-01-2002 | Отправлено: 13:59 11-11-2016 | Исправлено: AlekseyK, 14:04 11-11-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AlekseyK
    тут следующие варианты:
    1. выдавать для VPN сервера и VPN клиента не виртуальную п/сеть, а туже из той же п/сети
    2. маскарадить в нате, виртуальную п/сеть  
    3. возможен конечно вариант с ipip (вроде так называется. т.е. сопоставление IP из одной сети с IP из другой п/сети)
    4. EoIP поверх VPN  

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 14:09 11-11-2016
    Murder302



    Adguard
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
    пробовал без файера, бриджевал только одно радио и один порт - один хрен - выше 20 метров при любых настройках не поднимается и всё тут. Давал знакомым вайфайщикам - тоже ничего не вышло. Наверное неудачный экземпляр, максимально удешевлённый, даже внутренние антенны на плате вытравлены, а не припаяны, как на 951.

    Всего записей: 3173 | Зарегистр. 28-06-2006 | Отправлено: 14:23 11-11-2016
    AlekseyK

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
    1. на vps единственная сетевуха с внешним IP
    2. ну так щас и работает, но хотелось бы из VPS иметь доступ к своей локалке.
    3. вот я не пойму как на винде поднять IPIP, на микротике при его поднятии появляется IPSec.
    я на гуглил как в винде его понять в тоннельном режиме ,но лезет ошибка INVALID-ID
    4. хорошо, а как на винде поднять EoIP тоннель ?

    Всего записей: 193 | Зарегистр. 27-01-2002 | Отправлено: 14:27 11-11-2016
    freewood



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    3. вот я не пойму как на винде поднять IPIP, на микротике при его поднятии появляется IPSec.
    я на гуглил как в винде его понять в тоннельном режиме ,но лезет ошибка INVALID-ID  

    ipip в микротиках, если не ошибаюсь, работает только с микротиками. На винде можно к микротику подключиться или через l2tp+ipsec или попробовать просто ike туннель сделать. Последнее правда между виндой и микротиком ниразу не делал.
    Погуглил, судя по всему микротик не умеет ike туннель с виндой. Вообщем самый простой вариант, это l2tp+ipsec.
     
    К слову.

    Цитата:
    ошибка INVALID-ID  

    Означает, что в настройках ipsec policy неверно указана удаленная подсеть.

    Всего записей: 307 | Зарегистр. 28-12-2008 | Отправлено: 15:41 11-11-2016 | Исправлено: freewood, 16:29 11-11-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Murder302
    ну тогда только один вариант, снять Support.rif и отправить в супорт, пиши прям на русском - хотя бы тот сабж с прошлой страницы с картинками
     
    AlekseyK
    1. на VPS тогда надо подымать маршрутизацию и натить самого на себя, чтобы разграничить трафик, самой винды и виртуалки  
    2. ну а в чём тогда проблема прописать на винде 2008 маршрут к виртуальной п/сети ?  
    route add -p п/сеть домашняя ПРОБЕЛ mask ПРОБЕЛ 255.255.255.0 ПРОБЕЛ шлюз
    3. на винде без понятия, знаю что EoIP на винде не возможен. т.к. это чисто разработка микротика (хотя возможно есть сторонний софт)
    4. см. п/п 3

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 16:18 11-11-2016
    AlekseyK

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
    1. я на VPS добавил "адаптер микрософт замыкания на себя" или как там он называется, чтоб там была хоть какая-то локалка.
    2. прописывал, не работает, из-за ната а выключить нат и сделать, как на мгтс не могу, пропадает доступ из локалки в VPS

    Всего записей: 193 | Зарегистр. 27-01-2002 | Отправлено: 16:36 11-11-2016
    vaniuhaha



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа.
    Удалось прописать правило:
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address=!192.168.24.0/24 action=drop
     
    Нужно прописать такое же с другим ip:
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address=!87.248.160.0/27 action=drop
     
    Чтоб только с этих адресов был доступ к портам выше указанным.  
    НО при прописки в терминал 2-го адреса, он переписывает первое правило, и соответственно связь теряется к рутеру.
     
    первый ip моей внутреней домашней сети.
    второй провайдера.  
    Нужно чтоб только из моей и его подсети был доступ. Добавить доп адрес в существующее правило не позволяет.

    Всего записей: 239 | Зарегистр. 23-03-2011 | Отправлено: 14:28 13-11-2016
    vertex4

    Moderator
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vaniuhaha
    вначале создай address list например с именем access_IP_list, в котором оба, и 192.168.24.0/24 и 87.248.160.0/27, потом его примени
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address-list=!access_IP_list action=drop  
     

    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 15:51 13-11-2016 | Исправлено: vertex4, 15:54 13-11-2016
    vaniuhaha



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    вначале создай address list например с именем access_IP_list, в котором оба, и 192.168.24.0/24 и 87.248.160.0/27, потом его примени  
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address-list=!access_IP_list action=drop  

    Супер спасибо! Буду пробовать по результатам отпишусь!

    Всего записей: 239 | Зарегистр. 23-03-2011 | Отправлено: 16:55 13-11-2016
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vaniuhaha
    Во втором правиле вместо 2222 добавить 22222, правило появится. Затем вручную исправить 22222 на 2222 и готовы два правила. Но через list конечно правильнее.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 18:44 13-11-2016 | Исправлено: leshiy_odessa, 18:45 13-11-2016
    vertex4

    Moderator
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    leshiy_odessa
    вот только firewall так не работает, с двумя правилами.  
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address=!192.168.24.0/24 action=drop
    если этот будет первым - значит он дропнет всё, что не относится к 192.168.24.0, и уже второе правило будет чистой формальностью, так как 87.248.160.0/27 дропнуто. Логического ИЛИ не будет (костыльный укуренный вариант не рассматриваем)

    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 18:56 13-11-2016
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vertex4

    Цитата:
    вот только firewall так не работает, с двумя правилами.  

     
    Да вы правы, про это я забыл.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 19:02 13-11-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vaniuhaha
    Разрешаем 87.248.160.0/27,
    разрешаем 192.168.24.0/24,
    запрещаем все остальное.
     

    Код:
     
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address=87.248.160.0/27 action=allow
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 src-address=192.168.24.0/24 action=allow
    /ip firewall filter add chain=input protocol=tcp dst-port=2222,8291,2323,2121,8080,8729 action=drop  
     

     
    И все равно я провайдеру ограничил бы доступ только на чтение.

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 23:00 13-11-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AlekseyK
    Тогда могу посоветовать только сделать детальные скриншоты настроек и схему нарисовать, чтобы уже понимать топологию и от этого отталкиваться

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 09:20 14-11-2016
    vaniuhaha



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Simply_Kot
    Как вариант можно попробовать.  
     
    Но мне с adres list-ом больше идея понравилась. Только вот подскажите как правильно его создать и подцепить.

    Всего записей: 239 | Зарегистр. 23-03-2011 | Отправлено: 11:25 14-11-2016 | Исправлено: vaniuhaha, 11:30 14-11-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vaniuhaha
    У вас доступ к сервисам какие ip адреса прописаны и прописаны ли вообще, и какие порты прописаны, и у пользователя какие ip адреса прописаны ?
    И на какой адрес подключаетесь винбоксом с внутренней сети ?
    А у компьютера шлюз какой прописан, микротика ?
     
    покажите

    Код:
    /ip service print

     
     

    Цитата:
    Но мне с adres list-ом больше идея понравилась. Только вот подскажите как правильно его создать и подцепить

     
    Зайти в раздел и создать, что сложного.
     

    Код:
    /ip firewall address-list
    add address=87.248.160.0/27 list=list_allow_all
    add address=192.168.24.0/24 list=list_allow_all
     

     
     
    с такими вопросами в мануал сначала.

    Всего записей: 1167 | Зарегистр. 29-08-2005 | Отправлено: 11:34 14-11-2016 | Исправлено: alexnov66, 11:59 14-11-2016
    AlekseyK

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
    попробую пока описать словами:
    порты с 1-5 моя локалка, 1 - мастер на нем DHCP выдает адреса 192.168.1.0/24
    порты с 6-9 билайн, 6 - мастер получает от DHCP билайна белый адрес. На Eth6 нат в мою локалку.
    порт 10 подключен к роутеру мгтс, получает IP 192.168.10.200/24 от DHCP сервера на роутере.
    Чтобы иметь доступ к роутеру мгтс из своей локалки, я прописал на нем маршрут в свою подсеть 192.168.1.0/24 через 192.168.10.200 - все работает как надо, нат на Eth10 я не включал.
     
    Дальше: обзавелся я VPS'кой, установил на нее Win2008Srv и запустил OpenVPN сервер.
    на VPS два сетевых интерфейса: один с белым IP, другой от OpenVPN с IP 192.168.42.1
    Микротик в качестве клиента подключается к VPS и получает IP 192.168.42.200
    по аналогии с мгтс, прописываю на винде маршрут в свою сеть 192.168.1.0/24 через 192.168.42.200 и получаю фиг !!!
    Только после включения нат на интерфейсе OpenVPN-Out (на микротике), заработало.
     
    Вот мне и не понятно, почему в случае мгтс работает без ната, в случае vps и openvpn - нет.
     
    если нужны какие-то настройки - могу скинуть

    Всего записей: 193 | Зарегистр. 27-01-2002 | Отправлено: 14:48 14-11-2016 | Исправлено: AlekseyK, 14:49 14-11-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru