Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Darktime

    Код:
    /ip firewall mangle
    add action=mark-connection chain=prerouting comment=to_pptp dst-address=192.168.0.0/24 new-connection-mark=ovpn_conn passthrough=yes src-address=172.21.108.0/24
    add action=mark-routing chain=prerouting connection-mark=ovpn_conn dst-address=192.168.0.0/24 new-routing-mark=ovpn_rout passthrough=no src-address=172.21.108.0/24
    /ip route
    add distance=1 gateway=192.168.5.2 routing-mark=ovpn_rout
     

     
    Это к сети 192.168.0.0/24, хотя у вас остальные сети видит ovpn клиент, смотрите на микротике с диапазоном 192.168.0.0 а так же 2.0 маршрут прописан к сети 172.21.108.0/24 через тунель
    Так же в разделе нат смотрите что включено нат или маскардинг между этими сетями, между виртуальной и реальной.
     
    А реальные клиенты нормально видят другие подсети ?, включите маскардинг между виртуальной сетью и реальной. Должны пинговаться, в сетевом окружении не увидят

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 12:22 11-02-2017 | Исправлено: alexnov66, 12:38 11-02-2017
    Darktime



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Код:

    Добавил правило, не помогло. Клиент по прежнему не видит сеть 192.168.0.0/24

    Всего записей: 87 | Зарегистр. 02-06-2010 | Отправлено: 12:39 11-02-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как по вашему он должен их увидеть ?
    Гадать можно до бесконечности, выкладывайте экспорт конфига микротика с диапазоном 1.0, фиг знает что там настроено.
     
    ps: чота знакомые диапазоны и количество микротиков.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 12:52 11-02-2017 | Исправлено: alexnov66, 12:54 11-02-2017
    Darktime



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    А реальные клиенты нормально видят другие подсети ?, включите маскардинг между виртуальной сетью и реальной.

    Реальные клиенты внутри сети видят другие сети без проблем.
    Вот так выглядит маскардинг.
     

    Всего записей: 87 | Зарегистр. 02-06-2010 | Отправлено: 12:52 11-02-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Darktime
    Так у вас прописана всего одна подсеть 1.0
    И какие диапазоны введены в адрес листе local ?
    Указано всё кроме адрес листа local

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 12:56 11-02-2017 | Исправлено: alexnov66, 13:01 11-02-2017
    Darktime



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Так у вас прописана всего одна подсеть 1.0
    И какие диапазоны введены в адрес листе local ?
    Указано всё кроме адрес листа local

    Вполне возможно, что там прописано не то. Настройщик из меня еще тот.
    Вот конфиг (88.88.88.88 записаны вместо настоящих внешних айпи)
    Conf.rsc
     
    Добавлено:

    Цитата:
    И какие диапазоны введены в адрес листе local ?
    Указано всё кроме адрес листа local

     

    Всего записей: 87 | Зарегистр. 02-06-2010 | Отправлено: 13:08 11-02-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Darktime
    Уберите восклицательный знак в 2 правиле, и добавте в правиле диапазон адресов охватывающий все адреса микротиков, в разделе dst-address, можно и весь диапазон 192.168.0.0/16, а прежде создайте ниже правило маскардинга без адресов и интерфейсов и проверте, а то у вас в внешний интерфейс к провайдеру нет правила ната.
    Правилами вы исключили маскардинг для подсетей из адрес листа local
    Восклицательный зак означает всё кроме указанного параметра.
    У вас сеть 1.0 не в адрес листе, её видят, отсюда делайте вывод почему другие подсети клиенты ovpn не видят.
     
    Исключить весь внутренний диапазон адресов из ната можно таким правилом, оно должно быть выше правил маскардинга.

    Код:
    /ip firewall nat
    add action=accept chain=srcnat comment=src_no_nat_lan dst-address=192.168.0.0/16 src-address=192.168.0.0/16
     

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 13:19 11-02-2017 | Исправлено: alexnov66, 13:35 11-02-2017
    Darktime



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    Большое вам спасибо! Исправление маскардинга помогло, подсети сразу появились у клиента openvpn. Золотой вы человек, что в выходной день помогли очередному балбесу =)

    Всего записей: 87 | Зарегистр. 02-06-2010 | Отправлено: 13:44 11-02-2017 | Исправлено: Darktime, 13:47 11-02-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Darktime
    А что это в конфиге часовая зона правильная указана или нет, я то же отсюда.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 14:24 11-02-2017
    Darktime



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    А что это в конфиге часовая зона правильная указана или нет, я то же отсюда.

    Привет из Кемерово =)

    Всего записей: 87 | Зарегистр. 02-06-2010 | Отправлено: 14:41 11-02-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Darktime
    Тока там год не тот, походу не обновляется зона и часы. возможно экспорт так сделался.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 14:43 11-02-2017 | Исправлено: alexnov66, 14:48 11-02-2017
    55550000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребят, подскажите, пожалуйста, можно ли используя сабж разрешить доступ внутрь локальной сети только с определенного ip, заблокировав тем самым все remote программы (rdp, teamviewer, radmin и тп) с неуказанного в списке ip?
     
    Если да, то как правильно?
     
    Схема подключения:
     
    Интернет-микротик- лвс

    ----------
    Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что...

    Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 13:07 14-02-2017
    bignab

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите с микротиком, я не пойму почему показывается такой трафик
    https://yadi.sk/i/KNiB6TjO3E4hT7
    ведь клиентов нет - активности почти нет, а внешний канал забит 85-95%%
     
    Заранее спасибо.

    Всего записей: 144 | Зарегистр. 10-07-2006 | Отправлено: 14:13 14-02-2017
    jfx



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Трояны?
     
    Добавлено:
    По делу: снифайте трафик и смотрите, что внутри.

    Всего записей: 3072 | Зарегистр. 06-02-2003 | Отправлено: 14:17 14-02-2017
    bignab

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    53 порт снаружи стук идёт, а роутером всё принимается, надо правило чтобы дропать входящие на 53 порт. Правильно понимаю?
     
    Внутри вроде всё чисто сейчас, работает только мой комп и айфон.

    Всего записей: 144 | Зарегистр. 10-07-2006 | Отправлено: 14:35 14-02-2017 | Исправлено: bignab, 14:37 14-02-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    bignab

    Цитата:
    53 порт снаружи стук идёт, а роутером всё принимается, надо правило чтобы дропать входящие на 53 порт. Правильно понимаю?  

    правильно. это вас используют в качестве усилителя в банальной DDoS-атаке типа "DNS Amplification"
     
    55550000

    Цитата:
    разрешить доступ внутрь локальной сети только с определенного ip, заблокировав тем самым все remote программы (rdp, teamviewer, radmin и тп) с неуказанного в списке ip


    Код:
    /ip firewall filter
    add chain=forward in-interface=WAN connection-state=new src-address=!раз.ре.шён.ный action=reject

    (восклицательный знак важен)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:30 14-02-2017
    obtim



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нашел на Хабре статью по связке сабжа с KerioСontrol по IPSEC. Начал настраивать. Kerio будет стучаться на Mikrotik. Kerio сидит на железным фаерволом, на котором разрешен 500-ый порт на входящие принудительно. У Kerio IP 109.167.xxx.xxx. У Mikrotik IP 94.125.xxx.xxx
    Скрины настроек.  
     
     
     


     
     
     
    Проблема в том, что на Kerio в логах получаю

    Цитата:
    [14/Feb/2017 15:15:13] {IPsec} TunnelsList|thread: 'ipsec up tunnel_1_2_1_1' returned 0
    [14/Feb/2017 15:15:13] {charon} charon: 09[CFG] received stroke: initiate 'tunnel_1_3_1_1'
    [14/Feb/2017 15:15:13] {charon} charon: 08[IKE] initiating Main Mode IKE_SA tunnel_1_1_1_1[97] to 94.125.4.5
    [14/Feb/2017 15:15:13] {charon} charon: 08[CFG] configured proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:3DES_CBC/AES_CBC_128/AES_CBC_192/AES_CBC_256/HMAC_MD5_96/HMAC_SHA1_96/AES_XCBC_96/AES_CMAC_96/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_AES128_XCBC/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_CMAC/MODP_1024/MODP_1536/MODP_2048/MODP_3072/MODP_4096/MODP_8192/MODP_1024_160/MODP_2048_224/MODP_2048_256
    [14/Feb/2017 15:15:13] {charon} charon: 08[ENC] generating ID_PROT request 0 [ SA V V V V ]
    [14/Feb/2017 15:15:13] {charon} charon: 08[NET] sending packet: from 192.168.2.200[500] to 94.125.4.5[500] (220 bytes)
    [14/Feb/2017 15:15:17] {charon} charon: 14[IKE] sending retransmit 1 of request message ID 0, seq 1
    [14/Feb/2017 15:15:17] {charon} charon: 14[NET] sending packet: from 192.168.2.200[500] to 94.125.4.5[500] (220 bytes)
    [14/Feb/2017 15:15:24] {charon} charon: 05[IKE] giving up after 1 retransmits
    [14/Feb/2017 15:15:24] {charon} charon: 05[IKE] establishing IKE_SA failed, peer not responding

    Пинг с Kerio на Микротик-идет
    Проверяю открытые порты на Mikrotik через сторонний сервис
     
     
    Куда смотреть на кривость рук?

    ----------
    Дьявол коварен - он может явиться к нам просто в образе дьявола

    Всего записей: 8928 | Зарегистр. 03-03-2002 | Отправлено: 17:37 14-02-2017 | Исправлено: obtim, 17:38 14-02-2017
    55550000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Спасибо большое!

    ----------
    Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что...

    Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 19:01 14-02-2017
    Chekhov

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    # Блокируем DNS запросы на внешний интерфейс (запрещающее правило для дропа флуда на 53 порту)
    /ip firewall filter
    add action=add-src-to-address-list address-list="dns flood" address-list-timeout=30d chain=input dst-port=53 in-interface=ether1 protocol=udp comment="dns flood"
    add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp src-address-list="dns flood" comment="dns flood"
    add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp src-address-list="dns flood" comment="dns flood"

    Цитата:
    Спасибо большое!


    Всего записей: 5 | Зарегистр. 23-05-2016 | Отправлено: 09:43 15-02-2017
    vadimhome

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги, я понимаю, что телепаты все в отпуске, поэтому прошу по данной проблеме дать направление, где и как копать: имеется Mikrotik RB951-2n для обслуживания домашней сетки. Для удаленного управления с телефона на базе 6 Андроид установлено Mikro Winbox и родная прога производителей Tik-App. Обе отлично работают по Wifi изнутри сети (те софт рабочий). На Mikrotik активирован сервис vpn. Телефон нормально подключается по vpn: я могу браузером зайти на MT, могу зайти на ПК в домашней сети по RDP (те и VPN тоже рабочий). До недавнего времени и Mikro Winbox и Tik-App отлично работали при подключении vpn. Однако вчера Tik-App отказалась подключаться (просто ничего не говорит - делает вид, что подключается, но не может подключиться). При этом Mikro Winbox работает исправно (использует порт 8728, и 80 для графического модуля). Я конечно понимаю, что можно довольствоваться ею (и даже купить платную версию), но очень хочется докопаться до истины. Чем подключение по VPN в домашнюю сеть хуже, чем прямое подключение в домашней сетке, находясь в ней непосредственно? Где копать?
     
    UPD: подсказал тут один человек, что наличие VPN подключения не гарантирует открытость всех портов, которые открыты изнутри, и что они настраиваются наравне с внешними портами роутера. Где-то (где?) оказался закрыт для VPN некий порт, который нужен для Tik-App.

    Всего записей: 49 | Зарегистр. 04-02-2006 | Отправлено: 13:05 15-02-2017 | Исправлено: vadimhome, 13:19 15-02-2017
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru