Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    55550000



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые коллеги!
     
    Как ранее писал, была проблема с доступом к удаленным компам.
     
    Пока составлял схемы, проверил еще раз все возможные настройки. Оказалось, что виной всему KIS, который решил, что сеть внутри удаленного офиса - локальная, а весь остальной домен - интернет, и соответственно, заблокировал все подключения из нее.  
     
    Решилось все настройкой одного исключения для Каспера.
     
    Благодарю, что дали время на самостоятельно изучение вопроса Заодно и router os подучил немного.


    ----------
    Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что...

    Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 20:22 17-03-2018 | Исправлено: 55550000, 20:25 17-03-2018
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    И так, резюмирую мою тему.  
    Имеем сеть, вот такая схема:  
    http://images.vfl.ru/ii/1521440014/8b91cf5c/21018208.jpg
     
    Вся проблема в том, что не могу настроить интернет в ТД. он раньше был в мосту со всеми интерфейсами и все работал. сейчас решил отделить и дать отдельный интерфейс, но видимо что то пошло не так и ТД полностью отделился.  
     
    лист интерфейсов:
    http://images.vfl.ru/ii/1520921044/4333baca/20935811.jpg
     
    настройки интерфейса ТД:
    http://images.vfl.ru/ii/1520930833/13dd1d13/20937647.jpg
     
    Вся проблема в том, что интерфейс ТД только из самого микротика пингуется, а вот даже если подключится к ETH5 порту напрямую, поставишь IP из подсети 192.168.255.0/24, то пингуется только локальный интерфейс микротика, а ТД не пингуется.  
    Ну и соответственно,  в ТД нет интернета. пробовал там в DHCP дать разные настройки, как DG, так и DNS
     
    В чем может быть причина еще?

    Всего записей: 3288 | Зарегистр. 21-04-2008 | Отправлено: 09:22 19-03-2018
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    из Wi-Fi клиента пробовал пинговать на 192.168.0.1 / 192.168.255.1
    Все прошли отлично. И что самое интересное - пинговал mail.ru - тоже идут нормально пинги.  
    А вот интернета все равно нет

    Всего записей: 3288 | Зарегистр. 21-04-2008 | Отправлено: 16:52 19-03-2018
    lleysan

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги поделитесь правилами блокировки torrent трафика по Layer 7 может у кого есть рабочий вариант? А то я не силён в регулярных выражениях, а те правила что нахожу не работают или работают частично.

    Всего записей: 145 | Зарегистр. 26-08-2008 | Отправлено: 11:29 20-03-2018
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    lleysan

    Цитата:
    А то я не силён в регулярных выражениях, а те правила что нахожу не работают или работают частично.

     
    https://habrahabr.ru/sandbox/65236/
    https://forum.mikrotik.com/viewtopic.php?f=2&t=73462
    http://www.technotrade.com.ua/Articles/mikrotik_torrent_limit.php

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 12:44 20-03-2018
    lleysan

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    leshiy_odessa

    Думаете я не гуглил перед тем как попросить рабочее решение?
     
    До выхода определённой RouterOS в микротике вовсе был отделён торрент протокол и заблокировать его было проще простого. Но в текущих реалиях посты от 2013 года являются не рабочими, если у вас чёткий признак который можно добавить в L7 и промаркировать торрент траффик, пожалуйста поделитесь, а не кидайте мне олдфэшн форумы, т.к. эти решения либо блочат всё, включая весь торрентоподобный траффик, что недопустимо, либо нагружают ЦПУ до 100% т.к. выражение очень сложное и обработка 200-300 одновременных сессий вызывает проблемы, либо игнорируют часть трафика.

    Всего записей: 145 | Зарегистр. 26-08-2008 | Отправлено: 14:33 20-03-2018
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    del

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 16:33 20-03-2018 | Исправлено: Accessor, 17:06 20-03-2018
    LevT



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть  
    /interface l2tp-client
    add connect-to=88.222.33.33 disabled=no ipsec-secret=zzzzz  name=l2tp-myserver \
        password=yyyyyy profile=custom use-ipsec=yes user=xxxxxxx
     
    Добавлен статический маршрут через него в сеть предприятия 172.16/16 (возможности прописать обратный маршрут нет)
    Настроены NAT и условный DNS форвардинг.
     
    Проблема в том, что клиент чаще не подключается, чем подключается  
    Иногда помогает вручную отключить клиентский интерфейс, затем включить - но чаще не помогает.
     
    Смотрю логи
    После отключения интерфейса удаляется ISAKMP-SA, а потом клиент пытается sent control message серверу c адреса 0.0.0.0, затем только туннель замечает что ему не отвечают и отваливается.
    Но последовательность бывает разная
     
    Во включённом состоянии l2tp интерфейса ISAKMP флапает
     
    Помогите подобрать наиболее толерантные настройки клиента, чтобы подключаться уверенно.
    Галочка Dial-on-demand скорее вредна по моему невеликому опыту - так что она отключена, и в таком виде туннель был поднят сутками
    но вот сейчас подниматься не хочет

    Всего записей: 17108 | Зарегистр. 14-10-2001 | Отправлено: 14:59 21-03-2018 | Исправлено: LevT, 15:40 21-03-2018
    denisshiln

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день.
     
    Mikrotik внутренняя сеть 10.0.0.0/24 транспортная для vpn 192.168.21.0/24
    Клиенты поlключаются, получают IP 192.168.21.*.
    Необходим доступ к ресурсам клиента из 10.0.0.0/24. Как это сделать не прописывая маршрута 10.0.0.0 mask 255.255.255.0 192.168.21.* на клиенте?

    Всего записей: 48 | Зарегистр. 20-11-2006 | Отправлено: 10:08 23-03-2018 | Исправлено: denisshiln, 10:15 23-03-2018
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    denisshiln

    Цитата:
    Необходим доступ к ресурсам клиента из 10.0.0.0/24.

    Прописать в роутере маршрут.
     

    Цитата:
    Как это сделать не прописывая маршрута 10.0.0.0 mask 255.255.255.0 192.168.21.* на клиенте?  

    Выдавать клиенту маршрут по DHCP.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 11:19 23-03-2018
    denisshiln

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Выдавать клиенту маршрут по DHCP.

     
    К VPN серверу нельзя подцепить DHCP, там просто раздача адресов из пула.

    Всего записей: 48 | Зарегистр. 20-11-2006 | Отправлено: 11:54 23-03-2018
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    denisshiln

    Цитата:
    раздача адресов из пула

    разве нельзя использовать один и тот же пул для VPN и для DHCP?

    Всего записей: 1634 | Зарегистр. 20-02-2007 | Отправлено: 17:58 23-03-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    denisshiln
    Теоритически доступ у вас должен быть при подключении vpn клиентов, попробуйте в фаере создать два правила разрешающие forward трафика между этими диапазонами адресов. И на компьютере клиента должен быть разрешен доступ.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 17:49 24-03-2018 | Исправлено: alexnov66, 17:50 24-03-2018
    denisshiln

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Теоритически доступ у вас должен быть при подключении vpn клиентов, попробуйте в фаере создать два правила разрешающие forward трафика между этими диапазонами адресов. И на компьютере клиента должен быть разрешен доступ.
     

    Да видеть то он видет. Только ему пакет прилетает с 10.0.0.0/24 подсети, и он в душе не знает об этой подсети и ответ улетает на основной шлюз VPN клиента. Если прописать машрут 10.0.0.0 mask 255.255.255.0 192.168.21.* то все будет работать. Вопрос как это сделать без этого, и не выдавая адресов для VPN  из подсети 10.0.0.0/24.

    Всего записей: 48 | Зарегистр. 20-11-2006 | Отправлено: 18:48 26-03-2018 | Исправлено: denisshiln, 18:49 26-03-2018
    Institor

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    На клиенте должен быть маршрут до 10.0.0.0/24 через VPN.  
    Второй вариант (костыльный) - NAT. Прописать на VPN сервере (микротике) что-то вроде
     
    /ip firewall nat add chain=srcnat action=masquerade dst-address=192.168.21.0/24
     
    Тогда, теоретически, пакеты на клиента VPN будут приходить с local адресом VPN сервера, и маршруты не нужны.
    Не уверен, что это заработает корректно, но попробовать стоит.
     
    Еще можно продавливать маршруты VPN клиентам, но все зависит от типа VPN. ipsec+modeconf наше все
    Остальные типы VPN на микротике, похоже, этого не умеют.

    Всего записей: 37 | Зарегистр. 04-02-2007 | Отправлено: 05:24 27-03-2018 | Исправлено: Institor, 05:25 27-03-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    denisshiln
    Если компьютер подключается по pptp и у него не снята галочка использовать шлюз в удалённой сети то к всем адресам в том числе и к 10.0.0.0 он будет ходить через шлюз выдаваемый ему на микротике, если так не понимает то метить пакеты пользователей vpn и указать через какой интерфейс ходить к диапазону 10.0.0.0
    Можно попробовать в /ip route rule указать правилом в вместо правил в мангле.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 05:41 27-03-2018
    denisshiln

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Второй вариант (костыльный) - NAT.

    Это первое что попробовал, но пакеты на Микротике не попадают в цепочку srcnat сразу уходят на интерфейс VPN Клиента.
     

    Цитата:
    Еще можно продавливать маршруты VPN клиентам, но все зависит от типа VPN. ipsec+modeconf наше все
    Остальные типы VPN на микротике, похоже, этого не умеют.

     
    Можно поподробней, VPN L2TP+IPSEC.
     

    Всего записей: 48 | Зарегистр. 20-11-2006 | Отправлено: 07:28 27-03-2018
    Institor

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Странно, судя по packet flow они должны проходить через srcnat.
    https://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6
     
    С L2TP вряд ли получится, речь про IKE (чистый ipsec + xauth). Я не спец по ipsec, честно говоря там сам черт ногу сломит
     
    Почему не работает NAT, вот это интересно. В бридже не включен firewall случайно?

    Всего записей: 37 | Зарегистр. 04-02-2007 | Отправлено: 07:58 27-03-2018
    denisshiln

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Почему не работает NAT, вот это интересно. В бридже не включен firewall случайно?

    Нет. В мангл погстроутинг есть, в srcnat  нету(

    Всего записей: 48 | Зарегистр. 20-11-2006 | Отправлено: 08:20 27-03-2018
    Institor

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Эммм, а зачем mangle? SrcNat это часть postrouting, настраивается /ip firewall nat
    Пакет по диаграмме должен проходить через блок Routing, от буквы K на диаграмме и дальше до физического интерфейса. Соответственно должен применяться Srcnat в блоке postrouting.

    Всего записей: 37 | Зарегистр. 04-02-2007 | Отправлено: 08:28 27-03-2018
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru