evgeniy7676 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     актуальные версии RouterOS: Stable: 6.44 Long-term: 6.42.11 актуальная версия SwitchOS: 2.9 актуальная версия WinBox: 3.18   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019

vlary Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору IvanovEv Цитата: чтобы при недоступности IP1 он переключал на IP2 А ты уверен, что IP1 не остается доступен через 2-го провайдера? ---------- Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек Всего записей: 17282 | Зарегистр. 13-06-2007 | Отправлено: 12:43 04-07-2016

Lik_MigTel Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: /ip firewall filter add chain=forward src-address=мой_айпишник out-interface=!pptp-out1 action=reject   таким образом если PPTP падает то правило перестает работаеть и пишет "PPTP not ready" и трафик все равно идет через дефолтный айпи.   я тут подумал мне же не надо знать кучу айпи игровыХ?   может как то адрес впн сервера в качестве gateway прописать чтобы с моего внутреннего айпи только туда ходило а остальное дропалось? Всего записей: 44 | Зарегистр. 02-07-2016 | Отправлено: 16:30 04-07-2016

Lik_MigTel Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka   это правило работает только если PPTP ready а если он отвалился то правило не работает и пишет "PPTP NOT READY"   может какой то мой внутренний айпи заставить ходить только на внешний IP VPN? чтобы даже при условии отвала PPTP пакеты долбились только туда Всего записей: 44 | Зарегистр. 02-07-2016 | Отправлено: 09:33 05-07-2016

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Lik_MigTel ну, можно поменять на out-interface=!all-ppp (если основное подключение не PPP, а Ethernet) или сделать два правила:   Код: /ip firewall filter add chain=forward src-address=мой_айпишник out-interface=pptp-out1 action=accept add chain=forward src-address=мой_айпишник action=reject ---------- Заходите в гости: Форум о MikroTik в Беларуси и не только! =) Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 17:11 05-07-2016

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Chupaka А как правильно прописать блокировку хождения сетей впн-клиентов (192.168.1.0, 192.168.2.1 и т.д.) на 192.168.222.0 и при этом оставить обмен между 192.168.111.0? Как понимаете, вместо сетей 192.168.1.0, 192.168.2.1 могут оказаться другие   Как правильно прописать регулярное выражение L7 для форвардинга ДНС по шаблону: оканчивается .local ?   Добавлено: И как динамически добавлять маршруты на ВПН сервер в сети клиентов? ППП-сикрет-роут ?? В каком формате? Вики смотрел, но не понял ---------- Человек по своей природе существо злое. А его добрые поступки - это лишь проявление его силы воли! Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 20:59 05-07-2016 | Исправлено: melboyscout, 10:23 06-07-2016

Lik_MigTel Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka СПАСИБО ОГРОМНОЕ! то что надо. спасибо Руборду за то что спустя десять лет тут все еще можно получить грамотный ответ. Всего записей: 44 | Зарегистр. 02-07-2016 | Отправлено: 23:23 05-07-2016

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору melboyscout Цитата: А как правильно прописать блокировку хождения сетей впн-клиентов (192.168.1.0, 192.168.2.1 и т.д.) на 192.168.222.0 и при этом оставить обмен между 192.168.111.0?   Как понимаете, вместо сетей 192.168.1.0, 192.168.2.1 могут оказаться другие Запрещающее правило на форвард, для не нужных сетей, для нужных в исключение добавте.   Код: /ip firewall filter add action=drop chain=forward dst-address=!192.168.222.0/24 dst-address-list=\     list_ip_all src-address=!192.168.111.0/24   В адрес лист list_ip_all добавить весь диапазон адресов 192.168.0.0/16 можно еще указать и src адрес лист   Цитата: И как динамически добавлять маршруты на ВПН сервер в сети клиентов? ППП-сикрет-роут ?? В каком формате? Вики смотрел, но не понял     192.168.0.0/24 192.168.150.1 1,192.168.1.0/24 192.168.150.1 1,192.168.2.0/24 192.168.150.1 1   можно и без метрики   192.168.0.0/24 192.168.150.1,192.168.1.0/24 192.168.150.1,192.168.2.0/24 192.168.150.1     Код: /ppp secret add name=user-ovpn password=user-ovpn profile=ovpn150 remote-address=\     192.168.150.1 routes="192.168.0.0/24 192.168.150.1,192.168.1.0/24 192.168.150.1,192.168.2.0/24 192.168.150.1" service=ovpn Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 11:02 06-07-2016 | Исправлено: alexnov66, 20:00 06-07-2016

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору alexnov66 192.168.х.0/24 - это подсети клиентских роутеров? 192.168.150.1 - адрес сервера ВПН?   Если так, то тогда динамически получится маршруты: 192.168.х.0/24 via 192.168.150.1?   Но мне ведь нужно вместо ...150.1 что б был адрес ВПН клиента!   Да, и вроде для ОВПН (как у вас) не работает: Цитата: Routes that appear on the server when the client is connected. The route format is: dst-address gateway metric (for example, 10.1.0.0/ 24 10.0.0.1 1). Several routes may be specified separated with commas. This parameter will be ignored for OpenVPN. Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 11:22 06-07-2016

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору melboyscout Я лиш пример привёл как на микротике в настройках клиента прописываются маршруты. 192.168.150.1 это адрес выдаваемый клиенту на микротике, и маршруты создаваемые на сети находящиеся за клиентским микротиком или другим оборудованием подключающихся к основному микротику, если вам нужно прописывать маршруты в программе ovpn у клиента на компьютере то это не в эту тему. Адрес сервера выдаваемый клиенту прописывается в профиле этого клиента на микротике, конечно можно указать и в самих настройках клиента. Там же в примере указан remote-address удалённый адрес   Передавать маршруты считаю извращением, разруливать должно оборудование провайдера и клиентское оборудование не должно знать как и куда идёт трафик. Если у вас на микротике правильно прописаны маршруты к нужным сетям то не зачем их передавать клиенту.   Цитата: Да, и вроде для ОВПН (как у вас) не работает: разници нет по какому сервису подключается клиент, прописывается в настройках клиента подключающегося к микротику, на самом микротике к которому подключается пользователь компьютером или оборудованием. Даже исли не сработает для ovpn то что мешает прописать маршрут статически на микротике. Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 11:29 06-07-2016 | Исправлено: alexnov66, 12:09 06-07-2016

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору alexnov66 ну так если у меня клиенты получают адреса из пула при подключению к ВПН? я ж не могу заранее его знать Все дело в том, что мне нужно доступ только к локалке сервера ВПН, и ни инет ни другие подсети  анонсировать не нужно. Поэтому галка "добавлять дефолтный маршрут" снята Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 12:10 06-07-2016

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору melboyscout В мангле пометте весь диапазон выдаваемый клиентам ovpn и разруливайте на микротике их куда хотите прописав маршрут к внутренней сети, тогда пропишите маршрут на микротике один и не нужно их плодить при подключении каждого пользователя. можно попробовать прописать в роутах в рулес, проверте должно работать.   Код: /ip route rule add action=lookup-only-in-table dst-address=192.168.111.0/24 src-address=\     192.168.1.0/24 table=ovpn add action=lookup-only-in-table dst-address=192.168.111.0/24 src-address=\     192.168.2.0/24 table=ovpn   И маршрут пропишите на эту метку через интерфейс к локалке, это в место правил в мангле. Естественно в фильтре должен быть разрешен форвард трафика для нужных диапазонов адресов и включен маскардинг между ними в нат Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 12:18 06-07-2016 | Исправлено: alexnov66, 12:42 06-07-2016

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору alexnov66 у меня ж сайт-ту-сайт, а не удаленные клиенты Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 12:43 06-07-2016

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору melboyscout Вы сами не знаете чего хотите, вам нужен доступ ovpn клиентов к локалке, я вам привел как прописать, а что там сайт или десятки серверов должно работать. Вообще если нужен доступ к серверу к примеру web на сайт с внешнего реального ip адреса то делается проброс портов. Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 12:48 06-07-2016 | Исправлено: alexnov66, 12:56 06-07-2016

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Друзья, помогите пожалуйста пробросить порт на qqBittorrent. Стыдно даже признаваться, честное слово. Но не пойму, что не так делаю - не работает. Тик смотрит в инет интерфейсом 0_PPPoE qBittorrent слушает порт 13162 на компе с адресом 192.168.2.26, который и получает от тиковского DHCP. Создаю 2 правила: Код: chain=dstnat protocol=tcp dst-port=13162 in-interface=0_PPPoE action=dst-nat to-address=192.168.2.26 to-ports=13162   второе такое же, только для протокола UDP. Не работает. В qBittorrente горит желтый кружок и отдачи нет. Подсобите пожалуйста. Всего записей: 4459 | Зарегистр. 08-06-2003 | Отправлено: 18:25 06-07-2016

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Germanus для проброса портов нужно еще второе правило, с форвард Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 19:14 06-07-2016

Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору melboyscout В файрволе, в смысле? Я это в NAT создал эти 2 правила. Всего записей: 4459 | Зарегистр. 08-06-2003 | Отправлено: 19:22 06-07-2016

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Germanus именно... Слишком старо, поновее alexnov66 Цитата: а что там сайт или десятки серверов должно работать.   причем тут это, у меня ВПН для site-to-site, а не "доступ сотрудника в корпоративную сеть". Цитата: Вообще если нужен доступ к серверу к примеру web на сайт с внешнего реального ip адреса то делается проброс портов. об этом никто и не заикался.   Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН. Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 19:38 06-07-2016 | Исправлено: melboyscout, 19:44 06-07-2016

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Germanus   Кроме правил проброса должны быть правила в фаере разрешающее подключение на input Можно включить upnp на микротике и правила проброса должны создаваться автоматически.     melboyscout Цитата: Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН я вам приводил пример прописывания маршрута, при подключении маршрут будет создаваться автоматически а при отключении удаляться. Прописывается в настройках клиента на микротике.   Код: /ppp secret add name=user-ovpn password=user-ovpn profile=ovpn150 remote-address=\     192.168.150.1 routes="192.168.0.0/24 192.168.150.1,192.168.1.0/24 192.168.150.1,192.168.2.0/24 192.168.150.1" service=ovpn   Еще раз повторяю это лиш пример, пропишите то что вам надо, к такой то сети через такой то адрес, насколько помню можно указать не адрес а имя интерфейса. Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 19:53 06-07-2016 | Исправлено: alexnov66, 20:07 06-07-2016

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование